Блог

Уязвимость в плагине для WordPress позволяет уничтожить весь контент сайта

Уязвимость в плагине для WordPress позволяет уничтожить весь контент сайта

По данным издания Wordfence, в популярном плагине для WordPress, который называется Hashthemes Demo Importer, обнаружена критическая уязвимость, позволяющая злоумышленникам стереть весь контент с ресурса в один клик. 

Hashthemes Demo Importer – это расширение для WP, которое без загрузки лишних пакетов данных помогает устанавливать в WP-блоги демоверсии платных тем. 

Благодаря багу в плагине любой авторизованный на сайте пользователь (даже с самыми базовыми привилегиями) мог запустить скрипт hdi_install_demo с параметром reset. Это позволяло удалить практически весь контент, связанный с блогом, на который было «совершено нападение». Скрипт активирует команду database_reset, которая зачищает каждую таблицу в базе данных за исключением wp_options, wp_users и wpusermeta. Что важно отметить, восстановить данные после использования уязвимости невозможно. Для этого потребуется резервная копия ресурса (если такая создавалась ранее). 

Разработчики плагина уже выпустили патч, закрывающий доступ к обнуляющему скрипту. Он был опубликован в сентябре, хотя об этом и не сообщалось. Всем пользователям Hashthemes Demo Importer рекомендуется оперативно установить последнюю версию дополнения, чтобы избежать потенциальных проблем.


Печать   E-mail

Интересные статьи

О хостинге

logo jurahost green white

Хостинг для сайтов JuraHost. Все сайты размещаются на быстрых и надежных серверах в лучших дата-центрах Европы.

Получать новости

Пожалуйста, включите javascript для отправки этой формы