WordPress быстро исправил свою ошибку, однако владельцы десятков тысяч сайтов не приняли его помощи.
Для WordPress минувшая неделя была кошмарной. Как оказалось в версии 4.7.1 была обнаружена критическая уязвимость, которой злоумышленники с удовольствием воспользовались. Масштаб проблем мог быть меньше, если бы не один маленький на первый взгляд нюанс.
Но давайте начнем с самого начала. Так вот, WordPress в версии 4.7.1 (как и 4.7) оказался дырявым. Уязвимость находилась в интерфейсе REST API, который дает вам доступ ко всем данным из панели администратора. Другими словами, злоумышленник мог подменить содержимое на странице, без какой-либо авторизации.
В конце января была опубликована, версия 4.7.2 в которой была устранена эта проблема. Несмотря на это, – как сообщает сайт WPzen – десятки тысяч сайтов по-прежнему остаются уязвимы. Почему? Потому что их администраторы вручную отключили автоматические обновления и версию 4.7.2. не получили. Чаще всего в страхе за то, что следующее обновление, может быть еще хуже, или что-то „испортит”.
Претензии к WordPress за предоставление дырявого обновления и автоматическую активацию REST API, полностью оправданы. Однако столь же большую ответственность за массированные атаки несут сами владельцы сайтов, которые отключили автоматическое обновление. Гораздо лучше (в интересах сайтов) было бы самое обычное создание резервной копии. В таком случае вернуть сайт в прежнее состояние можно было бы в любой момент.
