Рождественские термосы в подарок к каждому Хостингу или VPS

Получить подарок

ThemeGrill: уязвимости плагина для WordPress

post thumbnail

ThemeGrill – разработчики премиальных тем для WordPress и собственного плагина ThemeGrill Demo Importer, позволяющего администраторам импортировать настройки и темы на свой сайт.

В начале февраля WebARX рассказали о наличии опасной уязвимости. Она позволяет злоумышленникам стереть базу данных сайта или полностью перехватить управление ресурсом. К сожалению, некоторые наши клиенты непосредственно столкнулись с данной проблемой. 

Что за уязвимости? 

Проблема связана с функцией reset_wizard_actions. Уязвимость позволяет стороннему пользователю, не прошедшему аутентификацию, очистить содержимое базы данных сайта и вернуть состояние БД к начальной точке установки. Кроме того, в плагине наблюдается проблема с проверкой аутентификации пользователя, передающего привилегированные команды через скрипт /wp-admin/admin-ajax.php. Если в базе данных есть пользователь с именем admin, система позволит ему получить полный контроль над сайтом. 

В версии 1.6.3 уязвимость была исправлена. Но весомая часть сайтов остается в опасности из-за игнорирования обновлений. Только шесть из десяти сайтов перешли на версию 1.6. Остальные продолжают использовать 1.5 или еще более ранние. Плагином продолжает пользоваться более 100 тысяч сайтов. 

К нам обратился наш клиент, владелец сайта https://viveska911.com.ua, работающий в сфере рекламы. Стартовая страница сайта выглядит вот так: 

Сайт «Вывеска 911» | Блог Hostpro

Но после подключения к уязвимому плагину произошел запрос, сбросивший базу данных сайта на начальный уровень. Сайт стал выглядеть вот так: 

ThemeGrill | Блог HostPro

Конечно, с помощью бэкапов мы исправили эту ситуацию и вернули сайт к прежнему состоянию. Но настоятельно рекомендуем следить за обновлениями плагинов, которые использует ваш сайт, и устанавливать их сразу после выхода. Это касается не только плагинов, но и обновлений для вашей действующей CMS системы – не игнорируйте их. 

В случае, если с вашим сайтом что-то не так, обращайтесь к нашей службе поддержки.

Telegram Hostpro

Наш телеграм

с важными анонсами, розыгрышами и мемами

Присоединиться

Возможно, вас заинтересует

Мы вынуждены вернуть автосуспенд
Мы вынуждены вернуть автосуспенд

Друзья! В условиях войны у нас возникли дополнительные расходы, связанные с резервированием данных и...

Встречаем обновленную панель управления ISPmanager 6
Встречаем обновленную панель управления ISPmanager 6

Поскольку ISPmanager – русская панель управления, мы обязаны прекратить сотрудничество с ней. Все действующие...

Что такое кластерный хостинг?
Что такое кластерный хостинг?

Обычный хостинг вынуждает вас делиться. Делиться диском, делиться памятью, делиться ресурсами сервера. И всё...