Исследование: Более 8 800 плагинов для WordPress имеют уязвимости

Олег Иванов 16 Декабря 2016 - 09:14

...

Исследование: Более 8 800 плагинов для WordPress имеют уязвимости

Исследователи из RIPS Technologies, специализирующиеся на безопасности веб-приложений, проанализировали 44 705 из приблизительно 48 000 плагинов в официальном каталоге WordPress. Оказалось, что более чем 8 800 из них затрагивает, по крайней мере, одна уязвимость.

Компания загрузила все плагины и использовала свой статический анализатор кода, чтобы проверить те, у которых есть, по крайней мере, один PHP-файл. Анализ размера этих модулей показал, что примерно 14 000 из них имеют только 2-5 файлов и только в 10 500 из них есть более 500 строк кода.

Проанализировав плагины с более чем 500 строками кода (были классифицированы как «большие плагины»), эксперты пришил к выводу, что 4 559 или 43% из них имеют, по крайней мере, одну брешь средней степени опасности, например, межсайтовый скриптинг.

Также анализ RIPS показал, что в почти 36 тысячах плагинов нет каких-либо уязвимостей, а 1426 имеют бреши только низкого уровня опасности. Дыры средней степени были найдены в более чем 4 600 плагинах, высокой в 2 799, а критические в 41 плагине.

В общей сложности в плагинах было обнаружено 67 486 уязвимостей. Эксперты отметили, что большинство модулей не затрагивают уязвимости из-за их небольшого размера (меньше строк кода).

Что касается типов уязвимостей, то тут процентное соотношение распределилось следующим образом: более 68% XSS-брешей, чуть более 20% SQL-инъекции. XSS-уязвимости могут представлять серьезную опасность в случае с WordPress, но их эксплуатация требует взаимодействия с администратором. SQL-инъекции, с другой стороны, могут быть использованы без взаимодействия с пользователем и атаки могут быть автоматизированы.

В период с января по декабрь 2016 года, приманка компании RIPS обнаружила более 200 атак на плагины WordPress. 69 атаки были нацелены на Revolution Slider, 46 на Beauty & Clean Theme, 41 на MiwoFTP и 33 на Simple Backup. Эти атаки экслуатировали давно известные и хорошо задокументированные уязвимости.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Ноября 2025 - 13:29

Общее Защита от мошенничества Безопасность платежей F6

Банки Беларуси предотвратили 31 тыс. мошенничеств благодаря AntiFraud Club

Российский разработчик F6 сообщил о масштабном расширении AntiFraud Club — профессионального сообщества, которое объединяет банки Беларуси для совместной борьбы с финансовыми мошенниками. В основе работы клуба лежит технология F6 Fraud Protection, позволяющая организациям обмениваться данными об инцидентах и координировать действия в реальном времени.

AntiFraud Club стартовал в Минске в марте 2024 года с участием шести банков. Спустя полтора года сообщество выросло в несколько раз.

На ноябрьской встрече среди участников были: «Альфа-Банк» (ЗАО), «Белагропромбанк», «Банк БелВЭБ», «Белгазпромбанк», «МТБанк», «Нео Банк Азия», «Приорбанк», «СтатусБанк», «Технобанк» и партнёр F6 — «Позитив Вью».

Главная задача клуба — совместно выявлять новые мошеннические схемы, обмениваться инцидентами и внедрять защитные решения.

По оценкам F6, только в 2025 году участники AntiFraud Club предотвратили свыше 31 200 мошеннических попыток, связанных с дистанционным банковским обслуживанием. Чаще всего пользователей атакуют через:

распространение зловредов (включая CraxsRAT и NFCGate);
инвестскам;
фальшивые розыгрыши от имени банков;
взлом аккаунтов в мессенджерах;
фейковые компенсации и мошеннические опросы.

Отдельно эксперты отмечают рост атак с использованием таких зловредов, как CraxsRAT и NFCGate. Аналогичная тенденция наблюдалась и в России: только в феврале 2025 года число заражений CraxsRAT выросло в 2,5 раза и превысило 22 тысячи скомпрометированных Android-устройств.

Главный канал распространения зловредов остаётся прежним — социальная инженерия. Поддельные приложения маскируются под сервисы мобильных операторов, платёжные платформы, VPN, приложения для знакомств или коммунальных услуг. Жертвы устанавливают их по ссылкам из мессенджеров или из неофициальных источников.

Директор департамента розничных рисков «Альфа-Банка» Владимир Короб отмечает, что масштабы и скорость эволюции мошенничества требуют объединения усилий:

«Современные мошенники действуют глобально. ИИ, большие данные, поддельные сервисы — всё это уже реальность. Поэтому важны не только технологии, но и партнёрство. Мы работаем с разработчиками, регулятором, правоохранителями и AntiFraud Club, чтобы сделать платежи максимально надёжными».

Руководитель направления F6 Fraud Protection Дмитрий Ермаков подчёркивает, что эффект от объединения уже заметен:

«Благодаря координации и обмену инцидентами банки Беларуси значительно усилили защиту клиентов. Решения F6 и совместный анализ схем позволяют быстрее реагировать на атаки и снижать риски».

AntiFraud Club продолжает расширяться, а участники готовят новые форматы сотрудничества в борьбе с мошенничеством.