Архив рубрики: CMS

Доля WordPress среди крупнейших сайтов достигла 30%

Лаборатория W3Techs сообщила о достижении системой управления web-контентом WordPress рубежа в 30% среди десяти миллионов крупнейших сайтов. Для сравнения в 2015 году доля WordPress составляла 25%, а в 2011 году 13%. На втором месте по популярности находится платформа Joomla (3.1%), а на третьем месте Drupal (2.2%).

Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером

Исследователи из компании Sucuri выявили атаку по подстановке на незащищённые сайты под управлением WordPress JavaScript-кода с реализацией кейлоггера, перехватывающего пароли и друге вводимые данные, и отправляющего их на серверы злоумышленников, используя протокол WebSocket.

Ещё в трёх плагинах к WordPress найдены бэкдоры

Следом за инцидентом с выявлением бэкдора в плагине Captcha, в репозитории WordPress.org по аналогичной причине заблокировано ещё три дополнения. В процессе разбора случившегося стало ясно, что несколько месяцев назад плагины были выкуплены у их владельцев, как и в случае с плагином Captcha.

В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор

В плагине Captcha к системе управления контентом WordPress, который насчитывает более 300 тысяч активных установок, выявлен бэкдор, предоставляющий доступ с правами администратора.

В WordPress 4.8.3 устранена уязвимость, которая может привести к подстановке SQL-кода

В системе управления web-контентом WordPress выявлена уязвимость, позволяющая выполнить произвольные SQL-запросы на сервере. Уязвимость устранена в выпуске 4.8.3.

Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости

В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 устранены три уязвимости. Одной из проблем (CVE-2017-6920) присвоен наивысший уровень опасности — ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.

Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path).