К четверти взломов сайтов на основе Wordpress привели дыры в трёх плагин

Александр Панасенко 20 Мая 2016 - 10:33

...

К четверти взломов сайтов на основе Wordpress привели дыры в трёх плагин

Для взлома сайтов на основе WordPress злоумышленники используют уязвимости не в самой системе управления контентом, а в её плагинах. Такой вывод сделали специалисты компании Sucuri, проанализировав 11485 взломанных сайтов. WordPress остаётся наиболее часто взламываемой системой управления контентом.

В наборе данных Sucuri на неё приходятся 78 процентов взломов. Второе место занимает Joomla с 14 процентами. На 5 процентах взломанных сайтов используется Magento, популярный движок для построения интернет-магазинов. Два процента взломов пришлись на сайты c Drupal.

pl-graph

Причина частых взломов WordPress — его популярность, а не плохая защищённость. Как раз с защищённостью у этого движка всё в порядке: разработчики оперативно устраняют дыры, а пользователи регулярно устанавливают обновления. В результате ни один из инцидентов, проанализированных специалистами Sucuri, не был связан с уязвимостями в самом WordPress.

Свежая версия софта установлена на 44 процентах сайтов с WordPress. Это совсем не мало: для сравнения, 85 процентов сайтов на Joomla и 81 процент сайтов на Drupal используют устаревшее и уязвимое программное обеспечение. Сайты с Magento и вовсе почти никогда не обновляются. Специалисты Sucuri обнаружили актуальную версию движка лишь на трёх процентах сайтов с Magento, пишет xakep.ru.

Причиной взлома сайта на базе WordPress почти всегда становится уязвимость в одном из плагинов. Особенно коварны плагины, встроенные непосредственно в тему оформления. Их нельзя обновить стандартными средствами WordPress, пока соответствующие исправления не будут внесены и в плагин, и в тему. Это случается реже, чем хотелось бы.

plugins

Каждый четвёртый взлом WordPress связан с уязвимостями в трёх плагинах: RevSlider, GravityForms и TimThumb. GravityForms упрощает создание форм, TimThumb служит для редактирования изображений, а RevSlider помогает создавать интерактивные галереи. Разработчики всех трёх плагинов давно внесли исправления. GravityForms и RevSlider обновились год назад, а TinThumb избавился от дыр целых четыре года назад. Тем не менее, владельцы многих сайтов не либо не смогли, либо не захотели устанавливать обновления.

В большинстве случаев взлом сайта на базе WordPress, Joomla и Drupal ведёт к засорению страниц оптимизаторским спамом или внедрению экспойт-кита, устанавливающего вредоносные программы на компьютеры посетителей. Magento ломают для кражи данных кредитных карт.

Бывают и более тяжёлые случаи. В апреле RevSlider упоминали в новостях в связи с «панамскими документами». Специалисты не исключают, что сведения об офшорах политиков и бизнесменов утекли через дыру именно в этом плагине.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »