Prieš dvi savaites „WordPress“ išleido naujinimo paketą 4.7.2, o visi šia tinklalapių talpinimo sistema besinaudojantys administratoriai buvo raginami kuo skubiau atnaujinti turimas svetaines. Tuo metu „Wordpress“ nutylėjo, kad 4.7.2 naujinimas turėjo svarbų pataisymą vienai kritinei saugumo spragai, apie kurią nebuvo viešai paskelbta.

Ši spraga leido kibernetiniams nusikaltėliams pakeisti bet kurį „WordPress“ svetainės puslapį ar įrašą, tad kompanija stengėsi to neviešinti, kad programišiai nepasinaudotų galimybe įsilaužti į svetaines, jei jų administratoriai nespėtų įsidiegti 4.7.2 naujinimo. Juo labiau, kad dauguma „WordPress“ svetainių yra nustatytos atsinaujinti automatiškai arba tam tereikia vieno vartotojo spragtelėjimo pelyte.

Pasinaudojo spraga

Deja, paviešinus žinią apie saugumo spragą, programišiams pakako 48 val., kad pakeistų daugybę „WordPress“ internetinių puslapių. Pavyzdžiui, viena programišių grupė išplatino žodžius „by w4l3XzY3“ virš 66 tūkst. skirtingų puslapių. Remiantis „Google“ paieškos rezultatais, įsilaužėlių ataką patyrė daugiau nei 100 tūkst. internetinių puslapių.

„Nors iš pažiūros tokia saugumo spraga nekelia didelės grėsmės pačioms svetainėms, programišiai gali pasinaudoti galimybe platinti sukčiavimo kampanijas ir taip siekti finansinės naudos“, – komentuoja „eScan“ antivirusines programas platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.

Saugumo ekspertai pataria „WordPress“ svetainių administratoriams laiku diegti aktualius turinio valdymo sistemos naujinimus – tam rekomenduojama nustatyti automatinį naujinimų diegimą.