WordPress швидко виправив свою помилку, однако владельцы десятков тысяч сайтов не приняли его помощи.
для WordPress минулий тиждень був кошмарної. Як виявилося в версії 4.7.1 була виявлена критична уразливість, якої зловмисники із задоволенням скористалися. Масштаб проблем міг бути менше, якби не один маленький на перший погляд нюанс.
Але давайте почнемо з самого початку. Так ось, WordPress в версії 4.7.1 (і як 4.7) виявився дірявим. Уразливість перебувала в інтерфейсі REST API, який дає вам доступ до всіх даних з панелі адміністратора. Іншими словами, зловмисник міг підмінити вміст на сторінці, без будь-якої авторизації.
В кінці січня була опублікована, версія 4.7.2 в якій була усунута ця проблема. Незважаючи на це, - як повідомляє сайт WPzen - десятки тисяч сайтів як і раніше залишаються вразливими. чому? Тому що їх адміністратори вручну відключили автоматичні оновлення і версію 4.7.2. не отримали. Найчастіше в страху за те, що наступне оновлення, може бути ще гірше, або щось "зіпсує".
Претензії до WordPress за надання дірявого поновлення і автоматичну активацію REST API, повністю виправдані. Проте так само велику відповідальність за масовані атаки несуть самі власники сайтів, які відключили автоматичне оновлення. Набагато краще (в інтересах сайтів) було б звичайнісіньке створення резервної копії. В такому випадку повернути сайт до свого попереднього стану можна було б в будь-який момент.