Black Friday! Даруємо до 3 місяців вашого тарифу VPS!

Детальніше

ThemeGrill: уразливості плагіну для WordPress

post thumbnail

ThemeGrill – розробники преміальних тем для WordPress і власного плагіна ThemeGrill Demo Importer, що дозволяє адміністраторам імпортувати налаштування і теми на свій сайт.

На початку лютого WebARX розповіли про наявність небезпечної уразливості. Вона дозволяє зловмисникам стерти базу даних сайту або повністю перехопити управління ресурсом. На жаль, деякі наші клієнти безпосередньо зіткнулися з даною проблемою.

Що це за вразливості?

Проблема пов’язана з функцією reset_wizard_actions. Вразливість дозволяє сторонньому користувачеві, який не пройшов аутентифікацію, очистити вміст бази даних сайту і повернути стан БД до початкової точки установки. Крім того, в плагіні спостерігається проблема з перевіркою аутентифікації користувача, який передає привілейовані команди через скрипт /wp-admin/admin-ajax.php. Якщо в базі даних є користувач з ім’ям admin, система дозволить йому отримати повний контроль над сайтом.

У версії 1.6.3 вразливість була виправлена. Проте велика частина сайтів залишається в небезпеці через ігнорування оновлень. Тільки шість з десяти сайтів перейшли на версію 1.6. Інші продовжують використовувати версію 1.5 або ще старіші версії. Плагіном продовжує користуватися понад 100 тисяч сайтів.

До нас звернувся наш клієнт, власник сайту https://viveska911.com.ua, що працює в сфері реклами. Стартова сторінка сайту виглядає ось так:

Сайт «Вывеска 911» | Блог Hostpro

Але після підключення до уразливого плагіну стався запит. Він скинув базу даних сайту на початковий рівень. Сайт став виглядати ось так:

ThemeGrill | Блог HostPro

Звичайно, за допомогою резервних копій ми виправили цю ситуацію і повернули сайт до попереднього стану. Але наполегливо рекомендуємо стежити за оновленнями плагінів, які використовує ваш сайт, і встановлювати їх відразу після виходу. Це стосується не тільки плагінів. Але і оновлень для вашої діючої CMS системи – не ігноруйте їх.

У разі, якщо з вашим сайтом щось не так, звертайтеся до нашої служби підтримки.

Telegram Hostpro

Наш телеграм

з важливими анонсами, розіграшами й мемами

Приєднатися

Можливо, вас зацікавить

Ми змушені повернути автосуспенд
Ми змушені повернути автосуспенд

Друзі! В умовах війни ми несемо додаткові витрати, пов’язані з резервуванням даних та переміщенням...

Зустрічаємо оновлену панель управління ISPmanager 6
Зустрічаємо оновлену панель управління ISPmanager 6

Оскільки ISPmanager – російська панель управління, ми змушені припинити співпрацю з нею. Всі діючі...

Що таке кластерний хостинг?
Що таке кластерний хостинг?

Звичайний хостинг змушує вас ділитися. Ділитися диском, памʼяттю, ресурсами сервера. І все б нічого,...