Новости Работает и ладно. Более 70% сайтов WordPress используют устаревшие версии PHP

NewsMaker

I'm just a script
Премиум
28,142
46
8 Ноя 2022
«Работает же» — любимая фраза владельцев WordPress-сайтов. И хакеры с ней согласны.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
z1pzblysy0y3nue1d01bwb39pq40dlsi.jpg

Сотни сайтов на WordPress годами остаются удобной мишенью не из-за редких уязвимостей, а из-за старых версий PHP, забытых расширений и настроек, которые владельцы когда-то оставили «по умолчанию».

Специалисты Censys изучили открытые в интернете установки WordPress и выяснили, что больше 70% сайтов с видимыми сведениями о PHP работают на устаревших версиях серверного языка. Только 14% публично доступных сайтов WordPress используют самое свежее исправление самой системы управления содержимым. Даже если учитывать WordPress 6.9, поддержка которого завершилась 20 марта 2026 года, доля относительно актуальных установок достигает лишь 31%.

WordPress остаётся одной из самых популярных систем для запуска сайтов без прямой работы с кодом. По данным Censys на июнь 2026 года, в интернете видно больше 59 млн веб-объектов на WordPress, размещённых более чем на 1 млн разных IP-адресов. Проблема в том, что сама система может получать обновления, а серверная основа под ней при этом годами не меняется.

Самой распространённой версией PHP среди изученных сайтов оказалась PHP 7.4. Её используют больше 20% ресурсов, хотя поддержка PHP 7.4 закончилась ещё в ноябре 2022 года. Для владельца сайта старая версия часто выглядит как «работает и ладно», но для атакующих такой сервер становится предсказуемой целью с хорошо известными ошибками.

Отдельную проблему создают расширения WordPress . На июнь 2026 года почти 7,5 млн сайтов открыто показывали хотя бы одно установленное расширение. Даже у популярного Yoast SEO только меньше 22% сайтов с видимой версией работали на самом свежем выпуске 27.7 от 27 мая 2026 года. С учётом версии 27.6 показатель поднимается до 40%, но большинство установок всё равно остаётся устаревшим.

У расширений своя зона риска. Их проверяют не так строго, как ядро WordPress, а у популярных дополнений за годы находили множество уязвимостей. Старые версии могут открывать доступ к данным, позволять обходить вход в систему или загружать вредоносный код. Атакующие также могут подделывать известные расширения, покупать заброшенные проекты или встраивать в них скрытый доступ.

Censys приводит пример кампании MR.GREEN, в рамках которой неизвестные взламывают сайты и заменяют содержимое сообщением «Hacked By MR.GREEN». На июнь 2026 года специалисты нашли больше 900 таких испорченных сайтов. Почти все пострадавшие ресурсы работали на системах управления содержимым, чаще всего на WordPress.

Следы подобных взломов встречались ещё в 2020 году, но кампания остаётся активной. Как именно злоумышленники проникли – неизвестно, однако у многих пострадавших сайтов заметны одни и те же слабые места: устаревшее программное обеспечение, открытая страница установки WordPress, доступный файл xmlrpc.php и удалённый доступ по SSH без жёстких ограничений.

Файл xmlrpc.php относится к старому механизму удалённого управления WordPress. Если оставить его открытым, атакующие могут подбирать пароли и искать установленные расширения. Данные GreyNoise за последние 90 дней показывают 70 IP-адресов, которые активно сканировали такие точки входа.

Судя по наблюдениям Censys, MR.GREEN не всегда преследует сложную цель. Злоумышленники часто просто оставляют сайт с надписью о взломе и стандартной темой WordPress. Но даже такой сценарий показывает, как быстро мелкие ошибки складываются в серьёзный риск: старая версия PHP, забытое расширение, открытый служебный файл и слабые настройки удалённого доступа вместе дают атакующим слишком много шансов.

Специалисты Censys владельцам сайтов рекомендуют обновлять не только WordPress, но и PHP, расширения, темы и настройки сервера. PHP поддерживают в течение ограниченного срока, поэтому проверять наличие обновлений стоит каждые 1–3 месяца, а критические патчи устанавливать как можно быстрее. Для WordPress опасно слепо включать автоматические обновления всего подряд, но откладывать исправления на годы ещё хуже. Сайт может выглядеть обычным и рабочим, пока сервер под ним постепенно превращается в открытую дверь.
 
Источник новости
www.securitylab.ru

Похожие темы