Теория заговора или как создатели WordPress удаленно управляют вашими сайтами

До сих пор считаете, что только вы управляете своим WordPress-сайтом? Такой же точки зрения придерживались и остальные владельцы интернет-ресурсов… Но, оказывается, что разработчики WordPress держат на коротком поводке миллионы сайтов…

Немного полемики и предыстории

В представлении многих CMS – это закрытая экосистема, ключи от которой хранятся у владельца сайта, развернутом на его основе. При этом создатели движка могут только рекомендовать хозяину сайта обновить систему CMS, но не управлять им. В действительности теория отличается от царящих реалий. И это доказывает следующая история… Несколько дней назад один из экспертов в области кибербезопасности обнаружил серьезную уязвимость в популярном WordPress-плагине Loginizer. Он используется более чем на миллионе сайтов. Loginizer – специализированный плагин для усиления нативных возможностей движка в сфере защиты от взлома через формы авторизации. Найденный баг позволяет злоумышленникам получить доступ к базе данных WordPress путем SQL-инъекции без перебора значений логина и пароля.

Что было дальше?

Специалисты WPScan назвали обнаруженную уязвимость одной из самых опасных за всю историю существования WordPress. А дальше начинается самое интересное… Разработчики CMS применили для принудительного обновления всех WordPress-сайтов до безопасной версии плагина Loginizer доселе неизвестный тайный инструмент. Проще говоря, проснувшись утром, вебмастера обнаружили, что движок обновил плагин без их ведома и участия. О чем они гневно поведали на тематических форумах. Основатель сервиса WPScan Райан Дьюхерст пояснил, что средство для удаленного принудительного апдейта появилась еще в WordPress 3.7. Она была выпущена в 2013 г. Также Райан сообщил, что на его памяти данный инструмент применялся дважды. Первый раз – для нейтрализации уязвимости, которую он обнаружил в плагине Yoast SEO в 2015 г. Хотя по сравнению с багом, найденным в Loginizer, она была менее серьезной.

Сколько еще камней за пазухой?

Ну как теперь поживает ваше эго? До сих пор чувствуете себя полноправным хозяином собственного WordPress-сайта? Вот и я теперь ощущаю под своей издательской… Бочку, набитую порохом, с детонатором непредсказуемого действия. Ведь у создателей движка может быть за пазухой еще не один такой инструмент. Да и кто даст гарантию, что ими не овладеют вездесущие хакеры…