АРМАДА
Крупнейшие компании используют уязвимые версии WordPress
Новая тема Написать ответ

Miss Content
V.I.P.
Зарегистрирован: 05.03.2010
Сообщений: 7881
Обратиться по нику
# Добавлено:Пт Июл 01, 2016 11:50 amДобавить в избранноеОтветить с цитатой
Компания RiskIQ, специализирующаяся на информационной безопасности, обнародовала результаты изучения сайтов крупнейших корпораций, на которые установлен WordPress и Drupal. Собранные данные показывают, что многие из них используют устаревшие и уязвимые версии этих программ.



WordPress и Drupal — это едва ли не самые распространённые системы управления контентом. По оценке W3 Techs, они установлены на 65 процентах сайтов. Компании применяют их не менее активно, чем индивидуальные пользователи, и для них такие уязвимости особенно опасны. Существует теория, согласно которой грандиозная утечка сведений о держателях офшорных компаний произошла именно из-за уязвимостей в WordPress и Drupal на серверах юридической компании Mossack Fonseca.

В качестве объекта исследования RiskIQ избрала сайты компаний, которые входят в список FT 30 — старейший британский биржевой индекс, поддерживаемый изданием Financial Times. В нём состоят тридцать компаний, в том числе военно-промышленная фирма BAE Systems, нефтегазовые гиганты BP и British Gas, а также телекоммуникационная корпорация Vodafone.

Специалисты RiskIQ обнаружили, что компаниям из списка RiskIQ принадлежит 1069 сайтов, на которых установлен либо WordPress, либо Drupal. Для 773 из них удалось определить точную версию системы управления контентом.

Оказалось, что на 307 сайтах установлены устаревшие версии этих программ, обладающие известными уязвимостями, которым присвоен идентификатор CVE. Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.

Подавляющее большинство инсталляций WordPress с известной версией, изученных в ходе исследования, обновлены и безопасны. Ситуация с Drupal куда сложнее. Более половины инсталляций с известной версией обладают уязвимостями.

Если оптимистично предположить, что все сайты с неизвестной версией лишены уязвимостей, то доля уязвимых сайтов сокращается с 40 до 29 процентов. Впрочем, возможен и пессимистичный взгляд на вещи. Исследование RiskIQ не учитывает уязвимости плагинов, поэтому в действительности доля дела могут обстоять ещё хуже.
Место для Вашей рекламы!

liks2liks + +
Banned
Зарегистрирован: 20.06.2016
Сообщений: 46
Обратиться по нику
# Добавлено:Пт Июл 01, 2016 2:56 pmОтветить с цитатой
Ну конечно, сис.админ может установить wordpress на хостинг, и забыть на полгода, сайт будет сам "крутиться" на сервере...а за это время версия wordpress станет старой.

tavel
Свой
Зарегистрирован: 16.07.2009
Сообщений: 43
Обратиться по нику
# Добавлено:Вс Июл 03, 2016 9:23 pmОтветить с цитатой
Miss Content писал(а):
Таким образом, около 40 процентов сайтов крупнейших компаний, на которые установлены WordPress или Drupal, имеют уязвимости.


Это вообще ни о чем не говорит, потому что уязвимости для таких популярных движков публикуют без эксплойтов, а в 90% случаев - не раскрывая даже подробностей. Т.е. уязвимость вроде и есть, да только это тоже самое, что ее и нет, потому что о том, как ее проэксплуатировать, знает 1.5 человека на весь интернет. Вообще любой Wordpress версии 3.0 и выше ломается только через уязвимые плагины. Все остальные уязвимости, которые опубликованы тут, и которым присвоен CVE, никак не помогут взломать реальный Wordpress. Эксплойты публиковали последний раз в 2012 году и ничего серьезнее XSS там не было.
Профессиональный авторегер и чекер Outlook (Hotmail), Yahoo, Mail.com, Ojooo.com, Mail.ru, Yandex.ru, Rambler.ru, QIP.ru, ...

Tomas-R + +
V.I.P.
Зарегистрирован: 07.01.2008
Сообщений: 5567
Обратиться по нику
# Добавлено:Чт Июл 28, 2016 10:23 pmОтветить с цитатой
.htpassw на wp-admin.php
спасет от многих дурок
рекламная подпись (в PM)

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Пт Июл 29, 2016 1:22 amОтветить с цитатой
Если на сайте не нужны всякие динамические фичи, то я держу на домене только .html статичную версию сделанную плагином Really Static, а сам код и админка на компе.
Oscar the grouch Здесь могла быть ваша реклама

Tomas-R + +
V.I.P.
Зарегистрирован: 07.01.2008
Сообщений: 5567
Обратиться по нику
# Добавлено:Пт Июл 29, 2016 10:55 amОтветить с цитатой
это как?
после установки удаляешь/?
рекламная подпись (в PM)

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Пт Июл 29, 2016 3:31 pmОтветить с цитатой
Нет, по SFTP на сервер грузится только .html версия. Движок на компе.
Oscar the grouch Здесь могла быть ваша реклама

Tomas-R + +
V.I.P.
Зарегистрирован: 07.01.2008
Сообщений: 5567
Обратиться по нику
# Добавлено:Пт Июл 29, 2016 9:47 pmОтветить с цитатой
а если нужно добавить - поправить - снова задиваешь php?
рекламная подпись (в PM)

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Сб Июл 30, 2016 1:44 amОтветить с цитатой
Исправляешь что нужно и загружаешь свежий кэш Smile
Oscar the grouch Здесь могла быть ваша реклама
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры