Dziurawy WordPress: do aktualizacji 4.7.2 wystąp!

WordPress – nieautoryzowany dostęp

Od rana internetowe fora wielbicieli i użytkowników WordPressa zelektryzowała wiadomość o ogromnej wyrwie w zabezpieczeniach CMS-a, które pozwalają na edycję postów bez konieczności logowania się do panelu administracyjnego. Pokrótce oznacza to, że co bardziej zorientowany gość na naszej stronie jest w stanie zaspamować wpisy dowolnymi treściami i uzupełnić je linkami do szemranych stron, narażając nasze serwisy na kary ręczne.

Skala problemu?

Jest naprawdę spora! Od rana Google Search Console rozsyła informacje o konieczności aktualizacji WordPressa do właścicieli stron z tym systemem, a branżowa prasa wskazuje na rosnącą liczbę stron, które już zostały zainfekowane i zaindeksowane w wyszukiwarce Google. W serwisie Sucuri (https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerability-abused-in-defacement-campaigns.html) pojawiły się informacje o grupach, które stoją za włamaniami poprzez wskazaną lukę. Rozmach z jakim wzięli się za hackowanie dziurawych jest niepokojący – liczba zaindeksowanych stron z podpisem:
by w4l3XzY3
rośnie z godziny na godzinę (128 tysiecy wyników). Inne grupy, wykorzystujące lukę w CMSie to:
Cyb3r-Shia, By+NeT.Defacer, By+NeT.Defacer, By+Hawleri_hacker.

Dokładne skutki włamań nie są jeszcze znane, można jednak przypuszczać, że dostęp do wpisów zostanie w dużej mierze wykorzystany przez seo spammerów. Jeśli nie chcecie aby wasze WordPressy stały jednym z punktów na nielegalnych farmach linków, AKTUALIZUJCIE je już TERAZ!