wordpress

Одного символа в заявке оказалось достаточно, чтобы чужой аккаунт получил повышенные права. Даже обычная форма обратной связи может стать начальным вектором атаки, если обработчик данных начинает выполнять присланный текст как код. Злоумышленники начали активно использовать критическую...

Следы атаки месяцами оставались на виду, но никто их не замечал. Злоумышленники нашли необычный способ скрывать управляющую инфраструктуру вредоносного ПО, используя популярную игровую платформу. Вместо собственных серверов для связи с заражёнными сайтами атакующие размещали зашифрованные...

Более 2000 роутеров TP-Link остаются беззащитными перед старой уязвимостью. Сразу несколько опасных уязвимостей в популярных серверных программах и плагинах оказались в центре внимания специалистов Vulncheck. Среди целей потенциальных атак — серверы NGINX, FTP-серверы ProFTPD, платформа для...

WordPress снова в заголовках. И снова не по хорошему поводу. Владельцы интернет-магазинов на WordPress оказались под ударом из-за критической уязвимости в плагине Funnel Builder от FunnelKit. Проблема затрагивает более 40 тысяч магазинов на WooCommerce , а злоумышленники уже начали...

Популярный плагин с 200 тыс. установок внезапно превратился в слабое место в защите сайта. Сайты на WordPress снова оказались под ударом из-за ошибки в популярном расширении. На этот раз злоумышленники нацелились на Burst Statistics — плагин аналитики, который используют около 200 тыс...

Хвалёная двойная проверка оказалась бессильна перед человеческим фактором. Мошенники нашли новый способ добраться до администраторов WordPress-сайтов — прямиком через рекламу в Google. Новая вредоносная кампания нацелена на пользователей ManageWP — сервиса GoDaddy для централизованного...

Почему сисадмины по всему миру просто пропустили момент вторжения? Уязвимость в cPanel , о которой владельцы серверов узнали только в конце апреля, оказалась куда опаснее, чем предполагалось сначала. Как недавно выяснилось , злоумышленники активно использовали брешь для захвата хостинговых...

Плагин для ускорения стал удобной лазейкой для хакеров. У популярного плагина Breeze Cache для WordPress нашли критическую уязвимость, которую уже пытаются использовать в реальных атаках. Ошибка позволяет загружать на сервер произвольные файлы без входа в учетную запись. Для сайта такой...

Всего одна подпись в договоре способна обнулить любую защиту. В экосистеме WordPress обнаружили скрытую угрозу, которая долгое время оставалась незамеченной. Десятки популярных плагинов, установленных на тысячах сайтов, оказались заражены встроенным бэкдором , способным незаметно внедрять...

Разбираемся, как невидимый посредник забрал бразды правления без единого сигнала тревоги. Обновление плагина, которому доверяли сотни тысяч сайтов, оказалось замаскированной атакой — злоумышленники проникли во внутреннюю инфраструктуру разработчика и подменили официальную сборку своей...

Привычный рабочий инструмент внезапно стал верным помощником хакеров. Популярный плагин для WordPress неожиданно оказался слабым звеном для тысяч сайтов по всему миру. По данным Wordfence, ошибка в модуле загрузки файлов Ninja Forms открыла злоумышленникам прямой путь к серверам, и...

Новая функция работает на базе уже имеющейся технологии WordPress Playground. WordPress представил новый формат работы с платформой — сервис my.WordPress.net, позволяющий запускать установку WordPress прямо в браузере. Инструмент избавляет от привычных шагов вроде регистрации, выбора...

Огромная веб-аудитория оказалась совершенно беззащитной. Уязвимость в популярном плагине Ally для WordPress, разработанном компанией Elementor, поставила под угрозу сотни тысяч сайтов. Ошибка позволяет злоумышленникам получать доступ к данным без авторизации, используя внедрение SQL-запросов...

Одного нажатия на кнопку достаточно, чтобы полностью потерять доступ к системе. Специалисты подразделения Insikt Group* опубликовали первый подробный отчёт о группировке GrayCharlie, которая с середины 2023 года заражает сайты на WordPress и распространяет вредоносное ПО через поддельные...

Пришло время проверить свои плагины для бэкапов. В популярном плагине резервного копирования для WordPress нашли критическую уязвимость, которая позволяет захватить сайт без входа в учётную запись. Проблема затрагивает расширение WPvivid Backup & Migration, установленное более чем на 900...

Теперь даже случайный гость может стать полноправным хозяином ваших данных. Спор вокруг очередной проблемы в популярном экосистемном компоненте WordPress быстро вышел за рамки короткого уведомления и превратился в подробный разбор с рабочей эксплуатацией. Речь идёт о CVE-2025-9501 в W3...

Нашелся вредонос на Perl, который никто не видит, но он уже везде. Специалисты Silent Push обнаружили волну заражений вредоносной программой SystemBC , которая незаметно превращает серверы и компьютеры в промежуточные узлы для преступного трафика. По новым данным, по всему миру выявлено...

Уязвимость в Modular DS позволяет получить права администратора сайта без прохождения аутентификации. Критическая уязвимость была обнаружена в популярном плагине WordPress Modular DS и уже активно используется злоумышленниками в реальных атаках. Об этом сообщила компания Patchstack...

Magecart возвращается, и он выучил новые трюки. Теперь — с любовью к WordPress. Скрытая кампания по перехвату данных банковских карт с онлайн-страниц оплаты действовала почти два года, оставаясь незамеченной. Злоумышленники нацелились на клиентов крупнейших платёжных систем, включая American...

Что на самом деле случилось с сайтом Xubuntu в октябре. Команда Xubuntu опубликовала подробности октябрьского инцидента , во время которого страница загрузок на https://xubuntu.org/download/ в течение нескольких дней раздавала вредоносный файл вместо обычных торрент-ссылок. Как...

Новая техника маскировки обманывает не только сканеры, но и человеческий глаз. Вредоносный загрузчик GootLoader, ранее связанный с распространением программ-вымогателей, снова активизировался — об этом сообщили специалисты из Huntress, зафиксировавшие три новых случая заражения с конца...

Рекордная волна нападений против GutenKit и Hunk Companion с десятками тысяч установок. Крупная кампания по эксплуатации уязвимостей обрушилась на сайты WordPress: злоумышленники атакуют ресурсы, где установлены плагины GutenKit и Hunk Companion, уязвимые к критическим ошибкам, позволяющим...

Хакеры нанесли уже свыше 13 000 ударов, а владельцы ресурсов до сих пор не знают об опасности. Уязвимость с критическим рейтингом затронула популярную WordPress-тему Service Finder, позволив злоумышленникам без авторизации получать доступ к любым аккаунтам на сайтах, включая...

Хакеры научились прятать команды там, где антивирусы даже не проверяют. В сложной структуре атак, задействующей вредоносную рекламу, DNS-управление и многоступенчатые схемы доставки, специалисты Infoblox обнаружили деятельность киберпреступника, известного под псевдонимом Detour Dog. Эта...

Новый механизм обмана уже работает на сотнях сайтов. Группа Lunar Spider, известная также под названиями Gold SwathMore и Elara, активизировала новую вредоносную кампанию , в которой использует поддельный интерфейс проверки CAPTCHA для заражения устройств. Основным методом проникновения стал...