Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Татьяна Никитина 22 Октября 2020 - 14:21

...

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Команда, отвечающая за безопасность WordPress, принудительно обновила плагин Loginizer до сборки 1.6.4 у всех пользователей. Обновление содержит патч для опасной уязвимости, позволяющей взломать сайт посредством SQLi-атаки (SQL injection, внедрение SQL-кода). В настоящее время число установок Loginizer превышает 1 миллион.

Этот WP-плагин предназначен для защиты от брутфорса; он по умолчанию включен и ограничивает число попыток регистрации на сайте, блокируя IP-адреса, превысившие заданный лимит. Пользователь Loginizer также может оперировать черными и белыми списками IP, отсеивать боты с помощью тестов reCAPTCHA, ввести двухфакторную аутентификацию или установить беспарольный вход.

Согласно описанию уязвимости, возможность SQLi возникла из-за неадекватной санации входных данных, которые плагин записывает в базу на стороне сервера. Для эксплуатации данной уязвимости злоумышленнику достаточно внедрить SQL-оператор в имя пользователя, которое он вводит при попытке регистрации на сайте.

«Это позволяет без авторизации полностью скомпрометировать WordPress-сайт», — комментирует Райан Дьюхёрст (Ryan Dewhurst), основатель и гендиректор проекта WPScan, регистрирующего уязвимости в ядре CMS-системы, ее темах и плагинах.

Заплатка, включенная в состав сборки 1.6.4 Loginizer, устраняет SQLi, а также обеспечивает дополнительные проверки на случай XSS-атаки.

Ввиду высокой опасности уязвимости и обширности пользовательской базы плагина безопасники WordPress приняли решение принудительно пропатчить все затронутые сайты. Механизм, позволяющий массово произвести обновление, присутствует в WordPress с 2013 года, однако его редко используют — только в тех случаях, когда баг очень опасен и широко распространен. К тому же подобный шаг неизменно вызывает недовольство пользователей, запретивших автоматическую установку обновлений.

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Яков Шпунт 30 Января 2026 - 10:04

Банкоматы и платежные терминалы Домашние пользователи Безопасность платежей Безопасность банковских карт

Специалисты рекомендуют как можно скорее заменить карты Visa и Mastercard

Карты платежных систем Visa и Mastercard сегодня хуже защищены от мошенничества, поэтому их использование несет дополнительные риски. Эксперты советуют по возможности заменить такие карты: после истечения сроков действия сертификатов безопасности проверка данных по операциям фактически не проводится, а самих защитных механизмов у них стало заметно меньше.

Проблемы с безопасностью связаны с тем, что сертификаты защиты этих карт истекли еще 1 января 2025 года. При этом российские банки после ухода международных платежных систем в 2022 году сделали карты Visa и Mastercard бессрочными, переведя их обслуживание на инфраструктуру НСПК.

Однако доцент кафедры государственных и муниципальных финансов РЭУ им. Г. В. Плеханова Мери Валишвили в комментарии для агентства «Прайм» отметила, что длительное использование таких карт повышает риск кражи данных именно из-за ослабленных механизмов защиты.

При этом базовая функциональность карт сохраняется. По оценке Мери Валишвили, лишь небольшая доля терминалов может отклонять операции по таким картам, хотя полностью исключать такую вероятность нельзя. По данным НСПК, около 1% POS-терминалов и банкоматов не поддерживают операции по картам с недействительными сертификатами безопасности.

Председатель комитета Госдумы по финансовому рынку Анатолий Аксаков в комментарии для ТАСС также подчеркнул, что риски при использовании карт Visa и Mastercard со временем только растут, поскольку их защитные механизмы устаревают. По его мнению, Банк России должен получить право устанавливать срок действия таких карт с учетом реального уровня рисков.

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »