Бесплатные системы управления контентом, такие как Joomla и WordPress, недаром так люби- мы пользователями (на WordPress, по данным W3Tech, работает 23,9% всех сайтов мира). Они просты и кастомизируемы — для них существует невероятное количество плагинов на любой вкус. Однако у этой медали есть и обратная сторона — любимые публикой CMS таят в себе множество уязвимостей. Справедливости ради замечу, что в основном дырки находят именно в плаги- нах, но из-за них считать данные CMS безопасными можно с большой натяжкой. В этом месяце WordPress особенно не везет: новости о новых багах и взломах появляются одна за другой. Чаще всего ломают не сам движок, а разнообразные плагины к нему, однако недавно встре- тилось неприятное исключение из этого правила. Критическую уязвимость во встроенной системе публикации комментариев Wordpress 4.2 и ниже, которую использует множество сайтов, обнаружил финский хакер Йоуко Пюннёнен из компании Klikki Oy. Пюннёнен узнал, что, если опубликовать доста- точно длинный комментарий (64 тысячи символов), можно спровоцировать баг, который приводит к ис- полнению постороннего кода с данной HTML-страницы. Код будет выполнен для каждого посетителя, зашедшего на страницу с комментарием, в том числе на компьютере администратора системы. При- мер комментария: В WordPress Foundation оперативно выпустили патч, но все мы знаем, как «часто» обновляются сай- ты на бесплатных CMS. Еще одна уязвимость, обнаруженная в этом месяце, так сказать, более традиционна. На этот раз виноват плагин WP-Super-Cache, чья задача — генерировать статические файлы HTML из динамиче- ских блогов. Плагин оказался уязвим к межсайтовому скриптингу (XSS). Обнаруженный баг позволяет атакующей стороне внедрить вредоносный код в страницы, создаваемые с помощью этого расшире- ния. Хотя разработчики плагина уже устранили дыру, компания Sucuri присвоила уязвимости высокий уровень опасности: 8 из 10 баллов. Дело в том, что плагин используется почти миллионом сайтов. Настоящей вишенкой на торте этой череды багов стало официальное предупреждение от ФБР. Бюро проинформировало, что хакерская группа, причисляющая себя к Исламскому государству, устраивает массовые атаки на сайты под управлением WordPress, в основном через уязвимости в темах оформле- ния и старые версии плагинов RevSlider, Gravity Forms, FancyBox, WP Symposium и MailPoet. WordPress Foundation в этой связи еще раз призвала администраторов сайтов пользоваться актуальными версия- ми плагинов и вообще не забывать о своевременных обновлениях.
