Было дано предупреждение о серьезной слабости WordPress, которая позволяет потенциальным хакерам вставлять случайные короткие коды на веб-сайты, использующие плагин WordPress Popular Posts, без необходимости учетной записи пользователя. Это означает, что атаки могут быть инициированы независимо от наличия учетной записи на сайте.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)WordPress Popular Posts, установленный на более чем 100 000 веб-сайтов по всему миру, показывает наиболее просматриваемые публикации за любой конкретный период времени. Этот универсальный плагин доступен на шестнадцати языках для глобального использования. Он предлагает возможности кэширования для повышения производительности и удобную консоль администратора, где менеджеры веб-сайтов могут отслеживать статистику популярности.
Уязвимость шорткода WordPress
[вставка-контактная-форма]. Затем этот шорткод автоматически вставляет необходимый скрипт, выполняющий нужную функцию.
WordPress постепенно движется к использованию блоков со специфическими функциями вместо того, чтобы полагаться на шорткоды. Официальный сайт разработчика WordPress предлагает разработчикам плагинов и тем прекратить использование шорткодов, отдав предпочтение выделенным блокам. Это изменение в первую очередь связано с более упрощенным пользовательским интерфейсом выбора и вставки блока, а не с настройкой короткого кода внутри плагина и встраиванием его в веб-страницу вручную.
WordPress советует:
«Мы бы рекомендовали людям со временем обновить свои короткие коды до блоков».
Как эксперт по SEO, я недавно обнаружил проблему в плагине WordPress Popular Posts — она связана с использованием функций шорткодов, а точнее, компонента do_shortcode, который представляет собой встроенную функцию WordPress для анализа и выполнения шорткодов. К сожалению, эта функция требует очистки ввода и соблюдения общих протоколов безопасности плагинов и тем WordPress, чтобы предотвратить потенциальные уязвимости, подобные той, которую я обнаружил.
Плагин WordPress Popular Posts в версиях до 7.1.0 имеет недостаток безопасности. Эта проблема связана с тем, что программное обеспечение не проверяет должным образом предоставленные пользователем данные перед запуском функции короткого кода. В результате неавторизованные пользователи могут воспользоваться этим и выполнить свои собственные короткие коды.
Проще говоря, «проверка значения» относится к процессу проверки того, что данные, введенные пользователем («значение»), такие как содержимое короткого кода, соответствуют определенным стандартам безопасности и соответствуют ожидаемому формату ввода до их отправки. использование на сайте.
Официальный журнал изменений плагина
Как опытный веб-мастер, я всегда подчеркиваю важность ведения журнала изменений — записи с подробным описанием всех изменений, внесенных в мои плагины. Этот журнал служит ценным ресурсом для пользователей, предлагая им информацию о том, что обновляется. Понимая эти изменения, они могут принимать обоснованные решения о том, следует ли обновлять свою установку, обеспечивая прозрачность на протяжении всего нашего сотрудничества.
Плагин WordPress Popular Posts ответственно прозрачен в своей документации по обновлению.
Журнал изменений плагина сообщает:
Решена проблема, связанная с неожиданным выполнением коротких кодов, благодаря открытиям Майкайерса и команды Wordfence!»
Или просто,
«Решает проблему, приводящую к непреднамеренному выполнению короткого кода. Благодарим Майкайерса и команду Wordfence за их открытие!
Рекомендуемые действия
Все плагины WordPress Popular Posts до версии 7.1.0 включительно были идентифицированы как имеющие уязвимости. Wordfence рекомендует пользователям обновиться до самой последней версии — 7.2.0.
Популярные публикации WordPress <= 7.1.0 – выполнение произвольного короткого кода без аутентификации
Смотрите также
- Акции KLVZ. Кристалл: прогноз акций.
- Google запрещает добавлять страны или штаты к предприятиям в зоне обслуживания.
- Акции ORUP. Обувь России: прогноз акций.
- Анализ динамики цен на криптовалюту JUP: прогнозы JUP
- Реклама местных услуг Google теперь на мобильных устройствах Local Business Finder
- Акции VEON-RX. VEON: прогноз акций.
- Акции TGKA. ТГК-1: прогноз акций.
- Google снова о том, когда использовать Noindex или Canonical (или оба)
- Исследование показало, что видеопосты в LinkedIn приносят в 3 раза больше охвата
- Google Sitelinks Algorithm Bug Shows Wrong Links
2025-01-05 22:08