Было дано предупреждение о серьезной слабости WordPress, которая позволяет потенциальным хакерам вставлять случайные короткие коды на веб-сайты, использующие плагин WordPress Popular Posts, без необходимости учетной записи пользователя. Это означает, что атаки могут быть инициированы независимо от наличия учетной записи на сайте.
🎁 Любишь бесплатные токены?
Airdrop раздаёт крипту каждый день – успей получить свою!
WordPress Popular Posts, установленный на более чем 100 000 веб-сайтов по всему миру, показывает наиболее просматриваемые публикации за любой конкретный период времени. Этот универсальный плагин доступен на шестнадцати языках для глобального использования. Он предлагает возможности кэширования для повышения производительности и удобную консоль администратора, где менеджеры веб-сайтов могут отслеживать статистику популярности.
Уязвимость шорткода WordPress
[вставка-контактная-форма]. Затем этот шорткод автоматически вставляет необходимый скрипт, выполняющий нужную функцию.
WordPress постепенно движется к использованию блоков со специфическими функциями вместо того, чтобы полагаться на шорткоды. Официальный сайт разработчика WordPress предлагает разработчикам плагинов и тем прекратить использование шорткодов, отдав предпочтение выделенным блокам. Это изменение в первую очередь связано с более упрощенным пользовательским интерфейсом выбора и вставки блока, а не с настройкой короткого кода внутри плагина и встраиванием его в веб-страницу вручную.
WordPress советует:
«Мы бы рекомендовали людям со временем обновить свои короткие коды до блоков».
Как эксперт по SEO, я недавно обнаружил проблему в плагине WordPress Popular Posts — она связана с использованием функций шорткодов, а точнее, компонента do_shortcode, который представляет собой встроенную функцию WordPress для анализа и выполнения шорткодов. К сожалению, эта функция требует очистки ввода и соблюдения общих протоколов безопасности плагинов и тем WordPress, чтобы предотвратить потенциальные уязвимости, подобные той, которую я обнаружил.
Плагин WordPress Popular Posts в версиях до 7.1.0 имеет недостаток безопасности. Эта проблема связана с тем, что программное обеспечение не проверяет должным образом предоставленные пользователем данные перед запуском функции короткого кода. В результате неавторизованные пользователи могут воспользоваться этим и выполнить свои собственные короткие коды.
Проще говоря, «проверка значения» относится к процессу проверки того, что данные, введенные пользователем («значение»), такие как содержимое короткого кода, соответствуют определенным стандартам безопасности и соответствуют ожидаемому формату ввода до их отправки. использование на сайте.
Официальный журнал изменений плагина
Как опытный веб-мастер, я всегда подчеркиваю важность ведения журнала изменений — записи с подробным описанием всех изменений, внесенных в мои плагины. Этот журнал служит ценным ресурсом для пользователей, предлагая им информацию о том, что обновляется. Понимая эти изменения, они могут принимать обоснованные решения о том, следует ли обновлять свою установку, обеспечивая прозрачность на протяжении всего нашего сотрудничества.
Плагин WordPress Popular Posts ответственно прозрачен в своей документации по обновлению.
Журнал изменений плагина сообщает:
Решена проблема, связанная с неожиданным выполнением коротких кодов, благодаря открытиям Майкайерса и команды Wordfence!»
Или просто,
«Решает проблему, приводящую к непреднамеренному выполнению короткого кода. Благодарим Майкайерса и команду Wordfence за их открытие!
Рекомендуемые действия
Все плагины WordPress Popular Posts до версии 7.1.0 включительно были идентифицированы как имеющие уязвимости. Wordfence рекомендует пользователям обновиться до самой последней версии — 7.2.0.
Популярные публикации WordPress <= 7.1.0 – выполнение произвольного короткого кода без аутентификации
Смотрите также
- Акции PIKK. ПИК: прогноз акций.
- Биткоин только что достиг отметки в 97,000 долларов США! Сможет ли он преодолеть планку в 100,000 или снова упадет? Узнайте сейчас!
- Google запускает новый вид «24 часа» в консоли поиска
- ЛУНА взлетает до небес: поворот в медвежьем рынке заставляет криптотрейдеров плакать от радости 😂🚀
- Клиентская сторона против. Серверный рендеринг
- Биткоин по цене 100 тысяч долларов? Быки радуются, медведи грустят, и все наблюдают – это ли Луна?
- Акции UWGN. ОВК: прогноз акций.
- Секреты GameDev шифра: хомяки, которые взламывают, и как вы можете тоже 🤯
- Google отказывается от расширения Web Vitals и переносит все на DevTools
- Акции ELMT. Элемент: прогноз акций.
2025-01-05 22:08