|
|
|
|
|
Компания RiskIQ, специализирующаяся на информационной безопасности, обнародовала результаты изучения сайтов крупнейших корпораций, на которые установлен WordPress и Drupal. Собранные данные показывают, что многие из них используют устаревшие и уязвимые версии этих программ.
WordPress и Drupal — это едва ли не самые распространённые системы управления контентом. По оценке W3 Techs, они установлены на 65 процентах сайтов. Компании применяют их не менее активно, чем индивидуальные пользователи, и для них такие уязвимости особенно опасны. Существует теория, согласно которой грандиозная утечка сведений о держателях офшорных компаний произошла именно из-за уязвимостей в WordPress и Drupal на серверах юридической компании Mossack Fonseca.
В качестве объекта исследования RiskIQ избрала сайты компаний, которые входят в список FT 30 — старейший британский биржевой индекс, поддерживаемый изданием Financial Times. В нём состоят тридцать компаний, в том числе военно-промышленная фирма BAE Systems, нефтегазовые гиганты BP и British Gas, а также телекоммуникационная корпорация Vodafone.
Специалисты RiskIQ обнаружили, что компаниям из списка RiskIQ принадлежит 1069 сайтов, на которых установлен либо WordPress, либо Drupal. Для 773 из них удалось определить точную версию системы управления контентом.
Оказалось, что на 307 сайтах установлены устаревшие версии этих программ, обладающие известными уязвимостями, которым присвоен идентификатор CVE. Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.
Подавляющее большинство инсталляций WordPress с известной версией, изученных в ходе исследования, обновлены и безопасны. Ситуация с Drupal куда сложнее. Более половины инсталляций с известной версией обладают уязвимостями.
Если оптимистично предположить, что все сайты с неизвестной версией лишены уязвимостей, то доля уязвимых сайтов сокращается с 40 до 29 процентов. Впрочем, возможен и пессимистичный взгляд на вещи. Исследование RiskIQ не учитывает уязвимости плагинов, поэтому в действительности доля дела могут обстоять ещё хуже. |
|
|
|
|
|
| Ну конечно, сис.админ может установить wordpress на хостинг, и забыть на полгода, сайт будет сам "крутиться" на сервере...а за это время версия wordpress станет старой. |
|
|
|
|
|
| Miss Content писал(а): |
|
Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.
|
Это вообще ни о чем не говорит, потому что уязвимости для таких популярных движков публикуют без эксплойтов, а в 90% случаев - не раскрывая даже подробностей. Т.е. уязвимость вроде и есть, да только это тоже самое, что ее и нет, потому что о том, как ее проэксплуатировать, знает 1.5 человека на весь интернет. Вообще любой Wordpress версии 3.0 и выше ломается только через уязвимые плагины. Все остальные уязвимости, которые опубликованы тут, и которым присвоен CVE, никак не помогут взломать реальный Wordpress. Эксплойты публиковали последний раз в 2012 году и ничего серьезнее XSS там не было. |
|
|
|
|
|
.htpassw на wp-admin.php
спасет от многих дурок |
|
|
|
|
|
| Если на сайте не нужны всякие динамические фичи, то я держу на домене только .html статичную версию сделанную плагином Really Static, а сам код и админка на компе. |
|
|
|
|
|
это как?
после установки удаляешь/? |
|
|
|
|
|
| Нет, по SFTP на сервер грузится только .html версия. Движок на компе. |
|
|
|
|
|
| а если нужно добавить - поправить - снова задиваешь php? |
|
|
|
|
|
Исправляешь что нужно и загружаешь свежий кэш  |
|
|
|
|
|
|
|
|
