Spis treści
Czytasz teraz:
Dziurawy WordPress: do aktualizacji 4.7.2 wystąp!
Zamknij
WordPress – nieautoryzowany dostęp
Od rana internetowe fora wielbicieli i użytkowników WordPressa zelektryzowała wiadomość o ogromnej wyrwie w zabezpieczeniach CMS-a, które pozwalają na edycję postów bez konieczności logowania się do panelu administracyjnego. Pokrótce oznacza to, że co bardziej zorientowany gość na naszej stronie jest w stanie zaspamować wpisy dowolnymi treściami i uzupełnić je linkami do szemranych stron, narażając nasze serwisy na kary ręczne.
(Dalszą część artykułu znajdziesz pod formularzem)
Wypełnij formularz i odbierz wycenę
Zapoznamy się z Twoim biznesem i przygotujemy indywidualną ofertę cenową na optymalny dla Ciebie mix marketingowy. Zupełnie za darmo.
Administratorem Twoich danych osobowych jest Verseo spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, przy ul. Węglowej 1/3.
O Verseo
Siedziba Spółki znajduje się w Poznaniu. Spółka jest wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000910174, NIP: 7773257986. Możesz skontaktować się z nami listownie na podany wyżej adres lub e-mailem na adres: ochronadanych@verseo.pl
Masz prawo do:
- dostępu do swoich danych,
- sprostowania swoich danych,
- żądania usunięcia danych,
- ograniczenia przetwarzania,
- wniesienia sprzeciwu co do przetwarzania danych osobowych,
- przenoszenia danych osobowych,
- cofnięcia zgody.
Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi masz prawo wnieść skargę do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.
Twoje dane przetwarzamy w celu:
- obsługi Twojego zapytania, na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych osobowych (RODO);
- marketingowym polegającym na promocji naszych towarów i usług oraz nas samych w związku z udzieloną przez Ciebie zgodą, na podstawie art. 6 ust. 1 lit. a RODO;
- zabezpieczenia lub dochodzenia ewentualnych roszczeń w związku z naszym uzasadnionym interesem, na podstawie art. 6 ust. 1 lit. f. RODO.
Podanie przez Ciebie danych jest dobrowolne. Przy czym, bez ich podania nie będziesz mógł wysłać wiadomości do nas, a my nie będziemy mogli Tobie udzielić odpowiedzieć.
Twoje dane możemy przekazywać zaufanym odbiorcom:
- dostawcom narzędzi do: analityki ruchu na stronie, wysyłki informacji marketingowych.
- podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych.
Twoje dane będziemy przetwarzać przez czas:
- niezbędny do zrealizowania określonego celu, w którym zostały zebrane, a po jego upływie przez okres niezbędny do zabezpieczenia lub dochodzenia ewentualnych roszczeń
- w przypadku przetwarzanie danych na podstawie zgody do czasu jej odwołania. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.
Nie przetwarzamy danych osobowych w sposób, który wiązałby się z podejmowaniem wyłącznie zautomatyzowanych decyzji co do Twojej osoby. Więcej informacji dotyczących przetwarzania danych osobowych zawarliśmy w Polityce prywatności.
Skala problemu?
Jest naprawdę spora! Od rana Google Search Console rozsyła informacje o konieczności aktualizacji WordPressa do właścicieli stron z tym systemem, a branżowa prasa wskazuje na rosnącą liczbę stron, które już zostały zainfekowane i zaindeksowane w wyszukiwarce Google. W serwisie Sucuri (https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerability-abused-in-defacement-campaigns.html) pojawiły się informacje o grupach, które stoją za włamaniami poprzez wskazaną lukę. Rozmach z jakim wzięli się za hackowanie dziurawych jest niepokojący – liczba zaindeksowanych stron z podpisem:
by w4l3XzY3
rośnie z godziny na godzinę (128 tysiecy wyników). Inne grupy, wykorzystujące lukę w CMSie to:
Cyb3r-Shia, By+NeT.Defacer, By+NeT.Defacer, By+Hawleri_hacker.
Dokładne skutki włamań nie są jeszcze znane, można jednak przypuszczać, że dostęp do wpisów zostanie w dużej mierze wykorzystany przez seo spammerów. Jeśli nie chcecie aby wasze WordPressy stały jednym z punktów na nielegalnych farmach linków, AKTUALIZUJCIE je już TERAZ!
Karo`
09 lut 2017, 09:43
Nie wiem czy od rana, raczej już od początku lutego https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html
kto przespał ten robi za farmę 🙂
Barbara Grodzicka
09 lut 2017, 10:01
dziura to w grudniu się pojawiła 😉
info z Consoli pojawiło się teraz.
OkuniewiczK
30 mar 2022, 09:15
Ciekawy artykuł, chętnie poczytałem…