Крупнейшие компании используют уязвимые версии WordPress
Новая тема Написать ответ
# Пт Июл 01, 2016 11:50 amMiss Content Зарег.: 05.03.2010 ; Сообщ.: 7881Ответить с цитатой
Компания RiskIQ, специализирующаяся на информационной безопасности, обнародовала результаты изучения сайтов крупнейших корпораций, на которые установлен WordPress и Drupal. Собранные данные показывают, что многие из них используют устаревшие и уязвимые версии этих программ.



WordPress и Drupal — это едва ли не самые распространённые системы управления контентом. По оценке W3 Techs, они установлены на 65 процентах сайтов. Компании применяют их не менее активно, чем индивидуальные пользователи, и для них такие уязвимости особенно опасны. Существует теория, согласно которой грандиозная утечка сведений о держателях офшорных компаний произошла именно из-за уязвимостей в WordPress и Drupal на серверах юридической компании Mossack Fonseca.

В качестве объекта исследования RiskIQ избрала сайты компаний, которые входят в список FT 30 — старейший британский биржевой индекс, поддерживаемый изданием Financial Times. В нём состоят тридцать компаний, в том числе военно-промышленная фирма BAE Systems, нефтегазовые гиганты BP и British Gas, а также телекоммуникационная корпорация Vodafone.

Специалисты RiskIQ обнаружили, что компаниям из списка RiskIQ принадлежит 1069 сайтов, на которых установлен либо WordPress, либо Drupal. Для 773 из них удалось определить точную версию системы управления контентом.

Оказалось, что на 307 сайтах установлены устаревшие версии этих программ, обладающие известными уязвимостями, которым присвоен идентификатор CVE. Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.

Подавляющее большинство инсталляций WordPress с известной версией, изученных в ходе исследования, обновлены и безопасны. Ситуация с Drupal куда сложнее. Более половины инсталляций с известной версией обладают уязвимостями.

Если оптимистично предположить, что все сайты с неизвестной версией лишены уязвимостей, то доля уязвимых сайтов сокращается с 40 до 29 процентов. Впрочем, возможен и пессимистичный взгляд на вещи. Исследование RiskIQ не учитывает уязвимости плагинов, поэтому в действительности доля дела могут обстоять ещё хуже.
# Пт Июл 01, 2016 2:56 pmliks2liks Зарег.: 20.06.2016 ; Сообщ.: 46Ответить с цитатой
Ну конечно, сис.админ может установить wordpress на хостинг, и забыть на полгода, сайт будет сам "крутиться" на сервере...а за это время версия wordpress станет старой.
# Вс Июл 03, 2016 9:23 pmtavel Зарег.: 16.07.2009 ; Сообщ.: 43Ответить с цитатой
Miss Content писал(а):
Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.


Это вообще ни о чем не говорит, потому что уязвимости для таких популярных движков публикуют без эксплойтов, а в 90% случаев - не раскрывая даже подробностей. Т.е. уязвимость вроде и есть, да только это тоже самое, что ее и нет, потому что о том, как ее проэксплуатировать, знает 1.5 человека на весь интернет. Вообще любой Wordpress версии 3.0 и выше ломается только через уязвимые плагины. Все остальные уязвимости, которые опубликованы тут, и которым присвоен CVE, никак не помогут взломать реальный Wordpress. Эксплойты публиковали последний раз в 2012 году и ничего серьезнее XSS там не было.
# Чт Июл 28, 2016 10:23 pmTomas-R Зарег.: 07.01.2008 ; Сообщ.: 5567Ответить с цитатой
.htpassw на wp-admin.php
спасет от многих дурок
# Пт Июл 29, 2016 1:22 amDrKronos Зарег.: 11.03.2008 ; Сообщ.: 13024Ответить с цитатой
Если на сайте не нужны всякие динамические фичи, то я держу на домене только .html статичную версию сделанную плагином Really Static, а сам код и админка на компе.
# Пт Июл 29, 2016 10:55 amTomas-R Зарег.: 07.01.2008 ; Сообщ.: 5567Ответить с цитатой
это как?
после установки удаляешь/?
# Пт Июл 29, 2016 3:31 pmDrKronos Зарег.: 11.03.2008 ; Сообщ.: 13024Ответить с цитатой
Нет, по SFTP на сервер грузится только .html версия. Движок на компе.
# Пт Июл 29, 2016 9:47 pmTomas-R Зарег.: 07.01.2008 ; Сообщ.: 5567Ответить с цитатой
а если нужно добавить - поправить - снова задиваешь php?
# Сб Июл 30, 2016 1:44 amDrKronos Зарег.: 11.03.2008 ; Сообщ.: 13024Ответить с цитатой
Исправляешь что нужно и загружаешь свежий кэш Smile
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА
 
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.