Теория заговора или как создатели WordPress удаленно управляют вашими сайтами
До сих пор считаете, что только вы управляете своим WordPress-сайтом? Такой же точки зрения придерживались и остальные владельцы интернет-ресурсов… Но, оказывается, что разработчики WordPress держат на коротком поводке миллионы сайтов…
Немного полемики и предыстории
В представлении многих CMS – это закрытая экосистема, ключи от которой хранятся у владельца сайта, развернутом на его основе. При этом создатели движка могут только рекомендовать хозяину сайта обновить систему CMS, но не управлять им.
В действительности теория отличается от царящих реалий. И это доказывает следующая история…
Несколько дней назад один из экспертов в области кибербезопасности обнаружил серьезную уязвимость в популярном WordPress-плагине Loginizer. Он используется более чем на миллионе сайтов.
Loginizer – специализированный плагин для усиления нативных возможностей движка в сфере защиты от взлома через формы авторизации. Найденный баг позволяет злоумышленникам получить доступ к базе данных WordPress путем SQL-инъекции без перебора значений логина и пароля.
Что было дальше?
Специалисты WPScan назвали обнаруженную уязвимость одной из самых опасных за всю историю существования WordPress. А дальше начинается самое интересное…
Разработчики CMS применили для принудительного обновления всех WordPress-сайтов до безопасной версии плагина Loginizer доселе неизвестный тайный инструмент.
Проще говоря, проснувшись утром, вебмастера обнаружили, что движок обновил плагин без их ведома и участия. О чем они гневно поведали на тематических форумах.
Основатель сервиса WPScan Райан Дьюхерст пояснил, что средство для удаленного принудительного апдейта появилась еще в WordPress 3.7. Она была выпущена в 2013 г.
Также Райан сообщил, что на его памяти данный инструмент применялся дважды. Первый раз – для нейтрализации уязвимости, которую он обнаружил в плагине Yoast SEO в 2015 г. Хотя по сравнению с багом, найденным в Loginizer, она была менее серьезной.
Сколько еще камней за пазухой?
Ну как теперь поживает ваше эго? До сих пор чувствуете себя полноправным хозяином собственного WordPress-сайта? Вот и я теперь ощущаю под своей издательской… Бочку, набитую порохом, с детонатором непредсказуемого действия. Ведь у создателей движка может быть за пазухой еще не один такой инструмент. Да и кто даст гарантию, что ими не овладеют вездесущие хакеры…
