В движке WordPress обнаружена критическая уязвимость

Популярный движок веб-сайтов WordPress вновь подвергся критике из-за найденной в нем серьезной уязвимости. Специалисты обнаружили значительную брешь в системе безопасности одного их его плагинов, за счет которой под угрозой взлома оказалось более 1 млн интернет-порталов по всему миру.

Уязвимость была обнаружена в плагине Slimstat, сообщает ресурс Tech Radar, и найти ее удалось специалистам компании Sucuri. Данное дополнение для движка было скачано более 1,3 млн раз, согласно официальной статистике. Это означает, что примерно такое же количество сайтов теперь находится под угрозой взлома. Однако представители WordPress заявили, что таких сайтов не более 100 тысяч.

Уязвимость касается плагина Slimstat всех версий, кроме самой последней с индексом 3.9.6. Она заключается в ключе, используемом для подписи данных, который очень легко расшифровать. Если расшифровка ключа пройдет успешно, то хакер получит возможность использования SQL-инъекций самого широкого спектра. С их помощью он может проникнуть в панель администрирования сайта на WordPress и даже выкрасть все пароли и данные пользователей. Как утверждают специалисты Sucuri, существует вероятность получения доступа к файлам WordPress Secret Keys, а это означает, что весь веб-сайт перейдет под контроль злоумышленника.

Эксперты, обнаружившие указанную уязвимость в плагине Slimstat, заявили, что на взлом шифра ключа при помощи распространенных в интернете программных инструментов уходит от 10 до 20 минут. Всем владельцам сайтов на базе WordPress настоятельно рекомендуется обновить плагин Slimstat до версии не ниже 3.9.6.