Специалисты компании Wordfence, работающей в сфере информационной безопасности, зафиксировали резкий рост числа хакерских атак на веб-сайты на базе WordPress. Согласно имеющимся данным, всего за 36 часов было выявлено около 13,7 млн атак с использованием уязвимостей WordPress-плагинов и тем Epsilon Framework, которые исходят с 16 тыс. IP-адресов и направлены против более чем 1,6 млн сайтов.

Источник изображения: B_A / Pixabay

В сообщении сказано, что преимущественно атаки злоумышленников связаны с уязвимостями четырёх плагинов: PublishPress Capabilities, Kiwi Social Share, WordPress Automatic и Pinterest Automatic. Отмечается, что патчи для исправления некоторых уязвимостей были выпущены ещё в 2018 году. Однако некоторые из уязвимостей были исправлены только в этом году, поэтому они всё ещё могут оставаться актуальными. Кроме того, жертвами злоумышленников могут стать ресурсы, использующие темы Epsilon Framework, такие как Shapely, News Mag, Activello и др.

В большинстве случаев злоумышленники пытаются осуществить обновление параметров, таких как user_can_register, активируя и настраивая с правами администратора опцию default_role. В случае успеха злоумышленники регистрируют пользователя с правами администратора, что позволяет им перехватить контроль над уязвимым ресурсом.

Пользователям уязвимых плагинов и тем рекомендуется убедиться, что их сайты не были скомпрометированы в ходе масштабной вредоносной кампании. Для предотвращения атак следует обновить используемое программное обеспечение до актуальных версий. Также необходимо убедиться в отсутствии зарегистрированных учётных записей с правами администратора, которым такие привилегии не должны были быть выданы. Ознакомиться с полным списком уязвимых тем, а также актуальных версий ПО, можно на сайте Wordfence.

Более 300 сайтов на движке WordPress стали жертвами хакеров, взломавших веб-ресурсы и требовавших по 0,1 биткоина за дешифровку данных. По словам специалистов по кибербезопасности, все атаки оказались фейком — никакого шифрования на самом деле не осуществлялось.

Источник изображения: TheDigitalArtist/pixabay.com

Владельцы ресурсов обнаруживали на своих сайтах требование выплаты выкупа и таймер обратного отсчёта, вероятно, запущенный для дополнительного психологического давления. Секрет атаки ложных «программ-шифровальщиков» раскрыли эксперты компании Sucuri, к которым обратился один из пострадавших. Как только они начали расследование, выяснилось, что страницы никто не шифровал.

По данным экспертов, «атака» имитировала признаки реального злонамеренного шифрования программами-вымогателями. На первый взгляд сайт действительно был зашифрован. Хотя сумма в 0,1 биткоин значительно ниже, чем обычно требуют вымогатели, она всё же составляет по текущему курсу более $6000.

По данным Sucuri, быстрый анализ веб-сервера показал, что файлы не были зашифрованы, а страница с требованием выкупа генерировалась несложным плагином для WordPress.

Помимо демонстрации сообщения и таймера, схема предусматривала использование простой SQL-команды, позволявшей найти все страницы и посты со статусом «опубликовано», после чего страницы автоматически снимались с публикации и вместо каждой пользователь получал «ошибку 404».

Хотя действия оказались более безобидными, чем ожидалось, эксперты так и не смогли установить, каким путём хакерам удалось взломать ресурсы, получив в результате права администраторов.

Ранее в этом году компания Google объявила о намерении прекратить использование идентификаторов пользователей для персонализированной рекламы, заменив их технологией Federated Learning of Cohorts. Не так давно разработчики из DuckDuckGo, Brave, Vivaldi и Electronic Frontier Foundation выступили против этой технологии, а теперь к ним присоединились разработчики WordPress.

Что касается самой технологии FLoC, то она использует алгоритмы машинного обучения в процессе анализа поведения пользователей в Сети. Особенность заключается в том, что в процессе анализа не осуществляется идентификация отдельных пользователей. Вместо этого они делятся на группы в зависимости от схожести их предпочтений. Благодаря этому собираются данные более широкой аудитории, но конфиденциальность отдельных пользователей не нарушается.

Упомянутые разработчики ранее уже высказывались в негативном ключе по поводу новой технологии Google, посчитав, что технологический гигант попросту заменяет один риск конфиденциальности пользователей другим. Теперь же к ним присоединились разработчики WordPress, которые также предлагают рассматривать FLoC как угрозу безопасности.

Они опубликовали сообщение, в котором, помимо прочего, говорится о том, что на сайтах под управлением WordPress технология FLoC будет блокироваться автоматически благодаря четырём строчкам кода, которые позволят отправлять браузеру запрос на отключение FLoC для конкретного сайта. Разработчики также отметили, что владельцы сайтов на WordPress, которые хотят использовать новую технологию Google, должны удалить упомянутые строки кода. Данное изменение будет включено в WordPress 5.8, релиз которой ожидается в июле этого года. Разработчики также не исключили возможности добавления автоматической блокировки FLoC в более ранние версии CMS.

На прошедшей неделе миллионы сайтов на платформе WordPress были атакованы злоумышленниками. Всплеск активности хакеров связан с обнаруженной уязвимостью нулевого дня в File Manager, популярном плагине для WordPress, который используется более чем на 700 тыс. сайтов. Об этом сообщила компания Defiant.

Что касается уязвимости в File Manager, то её эксплуатация позволяет осуществлять загрузку вредоносных файлов на сайт. Она присутствует в старых версиях плагина, чем и пытались воспользоваться хакеры. Неизвестно, как именно злоумышленники обнаружили уязвимость, но за последние несколько дней их активность, направленная на поиск сайтов с установленным File Manager, резко возросла. Если хакерам удавалась успешная атака, то после эксплуатации уязвимости плагина у них появлялся доступ к административной панели CMS, а затем сайт становился частью действующего ботнета.

Представитель Defiant рассказал о том, что компания фиксировала постепенный рост количества атак на сайты, работающие под управлением WordPress. Так, 4 сентября компания зафиксировала около 1 млн атак на разные веб-сайты. В Defiant считают, что действия хакеров значительно масштабнее, поскольку под управлением WordPress работает значительно больше сайтов.

Стоит отметить, что разработчики File Manager выпустили исправление уязвимости нулевого дня в тот же день, когда узнали о наличии проблемы. Некоторые владельцы сайтов уже успели установить обновление. Тем же, кто не сделал этого, рекомендуется как можно скорее обновить плагин до актуальной версии.

Спор Apple с WordPress по поводу покупок в приложении завершился почти сразу после начала. Несколько дней назад основатель WordPress Мэтт Малленвег (Matt Mullenweg) объявил о том, что его бесплатное приложение для iOS было заблокировано Apple из-за отсутствия поддержки внутренних покупок. Теперь же он сообщил, что Apple пересмотрела свою политику в отношении WordPress, заключив, что необходимость в добавлении поддержки покупок внутри приложения отсутствует.

Трудно сказать, что именно повлияло на решение Apple пересмотреть своё отношение к приложению WordPress. В заявлении компании сказано, что проблема была решена после того, как разработчик отказался от упоминания вариантов оплаты. Теперь это «отдельное бесплатное приложение», которому не нужно использовать систему покупок. Apple также добавила, что компания «приносит свои извинения за путаницу, которая могла произойти по её вине».

Стоит отметить, что удаление упоминаний о платных функциях могло произойти задолго до того, как Apple потребовала от WordPress добавить поддержку покупок внутри приложения. В актуальной версии приложения нет возможности купить что-либо или оформить платный тариф. В старой версии приложения был отдельный раздел, позволяющий ознакомиться с платными тарифами, но он не позволял осуществлять покупки. Возможность покупки дополнительных функций присутствует на сайте WordPress, но в приложении для iOS этого нет, поэтому всё ещё остаётся непонятным, почему Apple хотела заставить разработчиков осуществить интеграцию системы покупок внутри приложения в свой продукт.

Появился очередной пример натянутых отношений Apple с разработчиками. Основатель Wordpress Мэтт Малленвег (Matt Mullenweg) написал в Twitter, что его бесплатное приложение для iOS какое-то время не получает обновлений, потому что компания была заблокирована в App Store.

Hoch Zwei / Getty Images

Согласно его твиту, у команды не было возможности выпускать обновления или исправления ошибок, пока она не уступила требованиям купертинского гиганта добавить поддержку покупок внутри приложении (от которых Apple получит 30 %) для своих платных планов с сайта Wordpress.com.

Наиболее примечательное в этой ситуации то, что приложение WordPress для iOS вообще не содержало покупок — его можно использовать совершенно бесплатно. Оно просто предлагает пользователям способ создавать веб-сайты и управлять ими. WordPress отдельно продаёт доменные имена .com, и, похоже, именно на этом Apple пытается получить прибыль. Однако, опять же, эти продажи не проходят через приложение WordPress для iOS. Почему Apple считает, что должна получать часть этого дохода — загадка.

Господин Малленвег, со своей стороны, похоже, спокойно относится к требованиям Apple. «Я твердо верю в неприкосновенность лицензий, — написал он в своём твите. — Мы согласились с этой лицензией, когда подписались и остались в магазине приложений, поэтому собираемся следовать правилам и соблюдать их. Мы не пытаемся обойти их, поэтому делаем то, о чем нас просили».

То, как именно разработчик и его команда будут соблюдать правила — вопрос более сложный. Мэтт Малленвег всё ещё пытается придумать, как лучше всего подойти к ситуации и соблюдать политику Apple, не доставляя неудобств пользователям. Пока он рассматривает возможность ребрендинга приложения или проведение оплаты через платное дополнение WordPress — впрочем, ни один из вариантов пока не принят окончательно.

Недавно Apple столкнулась с борьбой со стороны Epic Games за условия работы на площадке App Store, а также с растущим вниманием к своему доминированию на рынке и тому, как она осуществляет контроль над разработчиками через свой App Store. Посмотрим, к чему всё это приведёт.

Платформа WordPress продолжает оставаться наиболее востребованной системой управления сайтами (Content Management Systems, CMS) в Рунете. Об этом свидетельствует исследование, проведённое хостинг-провайдером и регистратором доменов Reg.ru совместно с аналитическим сервисом StatOnline.ru.

Источник: Reg.ru

Согласно представленным данным, WordPress является абсолютным лидером в обеих доменных зонах: в .RU доля CMS составляет 51 % (526 тысяч сайтов), а в .РФ — 42 % (45 тысяч веб-ресурсов). По мнению экспертов, популярность этой платформы обусловлена открытостью исходного кода системы и большим сообществом разработчиков, которые постоянно внедряют новые плагины и функции. Играют роль также простота управления, что важно новичкам, и относительно несложная кастомизация сайтов под разные задачи.

На втором месте фигурирует коммерческая платформа «1С-Битрикс» с долей 13,4 % в зоне .RU (138 тысяч сайтов) и 13,6 % в .РФ (14,7 тысяч площадок). Интерес сетевой аудитории к этой CMS объясняется тесной интеграцией с продуктами «1С», которые используют около 90 % российских торговых компаний. Это делает систему широко востребованной в бизнес-сообществе.

Источник: Reg.ru

Замыкает тройку лидеров Joomla, которая за последние два года опустилась со второго на третье место. В зоне .RU её доля равна десяти процентам (122,6 тысяч сайтов), в .РФ — 13,5 % (14,5 тысяч веб-ресурсов). У этой открытой CMS также много разработчиков и плагинов, однако по удобству управления она уступает WordPress.

На четвёртом месте расположилась MODx с долей рынка 5,3 % в зоне .RU и 5,5 % в .РФ. На пятом — CMS Drupal, доля которой в .RU составляет 5,3 %, а в .РФ — 3,5 %.

Сообщество разработчиков WordPress объявило о выпуске новой версии одноименной системы управления сайтами (CMS), получившей индекс 5.0 и распространяемой под лицензией GNU GPL с открытыми исходными кодами.

Новый веб-редактор WordPress 5.0

Ключевым новшеством WordPress 5.0 (кодовое имя Bebo) является новый визуальный интерфейс редактирования Gutenberg, реализующий «блочный» подход к вёрстке публикаций и созданный с прицелом на начинающих пользователей. Для возврата к классическому веб-редактору участники проекта советуют использовать плагин Classic Editor, доступный для бесплатного скачивания в магазине расширений для CMS. В числе прочих доработок платформы фигурирует обновлённая тема оформления Twenty Nineteen. С полным списком реализованных в системе изменений можно ознакомиться по этой ссылке.

WordPress позиционируется разработчиками, как удобная и мощная платформа для создания любых типов ресурсов: от микросайтов и блогов до порталов и крупных социальных проектов. Система допускает установку дополнительных модулей, расширяющих базовые функции CMS, и поддерживает локализацию интерфейса для различных языков, включая русский. Дистрибутив продукта и дополнительные сведения о программном решении представлены на сайте проекта wordpress.org.

Рейтинг CMS по версии iTrack

Согласно последним исследованиям компании iTrack, WordPress является наиболее востребованной платформой в российском сегменте сети (42,8 % от общей доли систем управления сайтами) за которой следует Joomla (15,2 % рынка). Третью позицию по числу инсталляций занимает коммерческое решение «1С-Битрикс» (9,8 %), четвертую — система OpenCart, контролирующая примерно 4 % российского рынка CMS.

Несколько дней назад была зафиксирована автоматизированная массовая атака, направленная на сайты на движке WordPress. Учитывая, что он применяется примерно на 30 % из десяти миллионов крупнейших сайтов, это можно считать серьёзной проблемой. Под угрозой оказались ресурсы со старой версией движка. А для атаки используются различные уязвимости в самом WordPress и плагинах к нему.

xakep.ru

В частности, это файлы JavaScript с расширением .js, php-файлы с темами и плагинами WordPress, а также записи из таблицы wp_posts в базе данных. Во все эти файлы интегрируется вредоносный компонент, который после выполнения запускает загрузку скрипта с ряда сайтов. Для защиты от этого рекомендуется обновление самого движка с плагином до последней версии. Также крайне желательно провести проверку баз данных и критичных файлов системы.

В результате этого пользователя перенаправляют на сторонние мошеннические ресурсы, где предлагают установить якобы антивирус, позвонить по определённому телефону или указать параметры своей учётной записи. Также используются более изощрённые методы вроде блокировки перемещения курсора, чтобы пользователь не закрыл вкладку.

malwarebytes.com

Отметим, что движок WordPress по-прежнему лидирует на российском рынке. По состоянию на март текущего года, эта CMS была обнаружена почти на половине ресурсов в российском сегменте Интернета. В анализе учитывали более 5,4 миллиона доменов второго уровня. При этом пока не уточняется, какие страны более подвержены уязвимости.

Вместо того, чтобы конкурировать с Google Docs, система управления содержимым сайта WordPress собирается интегрировать популярный текстовый редактор, позволив пользователям публиковать материалы на своих сайтах прямо через него. Благодаря этому должен упроститься процесс ведения совместной работы с другими людьми, поскольку Google Docs уже давно стал стандартным средством редактирования документов в реальном времени.

Более четверти сайтов в Сети работают на WordPress. Другими словами, миллионы людей ежедневно используют интерфейс платформы для публикации статей в своих блогах. Несмотря на то, что интерфейс этот можно настроить полностью под себя, не имея при этом каких-то особых навыков написания кода, люди всё равно обращаются к другим сервисам и приложениям для создания своих публикаций. Одним из таких приложений является Google Docs.

Также важно отметить, что WordPress не позволяет вести совместную работу над документами в режиме реального времени. Если кто-то хочет взглянуть на работу, прежде чем она будет опубликована, то автору сначала необходимо выйти из редактора. В таких случаях Google Docs является куда более мощным инструментом, поскольку через него редактировать текст могут одновременно несколько пользователей.

Благодаря нововведению черновой вариант работы, созданный в Google Docs, теперь можно отправить прямо на сайт на базе WordPress. При этом черновик сохранит весь присутствующий в нём контент — например, изображения. После этого его можно обновлять прямо через Google Docs.

Чтобы воспользоваться новой возможностью, необходимо установить бесплатное расширение, а затем открыть его, используя меню «Дополнения» в Google Docs, и привязать к сайту.

Команда разработчиков WordPress, популярной системы управления сайтами (Content Management System, CMS), сообщила о выпуске обновления 4.7.2 и устранении трёх критических уязвимостей в коде платформы.

Первый баг позволял злоумышленникам получать доступ к компонентам пользовательского интерфейса CMS и был связан с функцией Press This, используемой для публикации постов. Вторая проблема была связана с классом WP_Query, используемым для получения доступа к переменным и функциям в ядре WordPress. Суть её заключалась в том, что при передаче «небезопасных» данных система становилась уязвимой для внедрения SQL-кода. Последняя брешь позволяла киберпреступникам использовать CMS для проведения атак типа XSS (Cross-Site Scripting — «межсайтовый скриптинг»).

Обновление безопасности системы вышло всего спустя две недели после выпуска патча под номером 4.7.1, исправившего восемь уязвимостей, которые могли позволить злоумышленнику осуществить удалённую атаку, включая баги, связанные с межсайтовым скриптингом, удалённым выполнением кода в PHPMailer и межсайтовой подделкой запросов.

WordPress 4.7.2 можно загрузить вручную или автоматически через панель управления системы. Также обновление автоматически устанавливается на сайты, поддерживающие такую функцию.

Все блоги на платформе WordPress теперь поддерживают полноценную работу с виртуальной реальностью, а точнее — с 360-градусными фотографиями и видеороликами. Просматривать их можно на компьютере, мобильном устройстве или через шлем виртуальной реальности.

Естественно, то, насколько глубоко пользователь может погрузиться в виртуальную реальность, зависит от того, как он заходит на сайт. Например, при просмотре сайта через настольный браузер можно будет менять обзор с помощью мыши — то же самое уже давно можно делать с контентом в YouTube и Facebook*. Но если к компьютеру подключен шлем виртуальной реальности, то осматривать разные уголки 360-градусных фото и видео можно движениями головы.

Просмотр VR-контента на мобильных устройствах — это что-то среднее между просмотром на компьютере или через шлем. WordPress может использовать гироскоп телефона или планшета, чтобы фотографии или видеоролики реагировали на движения устройства в пространстве. Если поместить смартфон в нечто вроде картонных очков виртуальной реальности Google Cardboard, то можно получить практически тот же самый опыт использования, что и через полноценный шлем. Впрочем, даже просто удерживая телефон в воздухе и перемещаясь с ним по помещению, можно получить куда больше впечатлений, чем при просмотре 360-градусного контента через браузер с помощью мыши.

Для обеспечения таких возможностей WordPress использует технологию с открытым исходным кодом WebVR, позволяющую браузерам отображать VR-контент. По словам разработчиков, блоги на базе их платформы ежемесячно посещаются 409 миллионами пользователей, поэтому возможность просматривать фото и видео в режиме виртуальной реальности открывается огромной публике.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Платформа WordPress объявила о добавлении поддержки HTTPS-шифрования на все свои сайты. Касается это как личных доменных имён, так и блогов с доменом wordpress.com. Стоит отметить, что многие социальные сервисы вроде Facebook* и Twitter поддерживают вышеуказанный протокол уже довольно давно, однако владельцы сайтов под управлением WordPress с личными доменами до недавнего времени обходились без HTTPS.

В 2014 году поддержка протокола шифрования появилась у поддоменов WordPress — однако ими всё и ограничилось. Трудность заключалась в том, что для перехода на HTTPS разработчикам платформы требовались сертификаты для всех доменных имён.

Благодаря проекту Let’s Encrypt переход на HTTPS-шифрование стал значительно проще и легче. Теперь у каждого сайта на базе WordPress есть свой SSL-сертификат. Примечательно, что Google отдаёт преимущество именно сайтам с HTTPS, поэтому сайты на WordPress теперь должны отображаться в результатах поиска выше, чем раньше.

Для перехода на HTTPS администраторам сайтов не нужно совершать никаких лишних телодвижений — весь процесс полностью автоматизирован.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Пользователи, постоянно читающие новости через Facebook*, наверняка не раз сталкивались с так называемыми «мгновенными статьями» (Instant Articles), позволяющими очень быстро загружать материалы на мобильных устройствах. Пока такая возможность доступна лишь ограниченному числу издательств, но с 12 апреля технология станет доступна всем, включая блогеров. Facebook* объединилась с корпорацией Automattic, известной благодаря созданию сервиса WordPress, чтобы позволить блогерам по всему миру делиться в социальной сети своими статьями, которые будут загружаться в 10 раз быстрее, чем обычно.

В частности, две компании объединили усилия для создания плагина с рядом встроенных в него инструментов, позволяющих подготовить блог на базе WordPress к глобальному запуску «мгновенных статей». Среди этих инструментов — возможности, позволяющие блогерам публиковать автоматически проигрываемые видеоролики и создавать галереи с функцией увеличения изображений простым нажатием на них пальцем. Все эти инструменты позволят сделать публикации в блогах куда более привлекательными.

Для Facebook* это очень важный шаг, особенно если учесть, что на WordPress сейчас работает более четверти сайтов в Интернете. Компания заверила, что её плагин будут поддерживать все стандартные шаблоны, однако также предупредила, что если владелец сайта изменял свои шаблоны, то ему придётся настроить плагин для его оптимальной работоспособности.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Каждый четвёртый сайт в Интернете используют систему управления контентом WordPress, сообщает компания W3Techs, опираясь на своё последнее исследование. С учётом того, что по состоянию на конец первой недели ноября 2015 года 57,4 % всех ресурсов Всемирной паутины вообще обходятся без CMS, WordPress является безоговорочным лидером среди аналогичных решений с долей в 58,7 %, оставляя далеко позади таких конкурентов, как Joomla (6,6 %), Drupal (5,0 %) и Magento (2,9 %).

Рынок систем управления контентом в ноябре 2015 года

Статистика использования сайтами различных CMS

Впрочем, данный показатель не является самым высоким за всю историю WordPress. Если обратиться к статистике прошлого года, то можно обнаружить, что её доля в последнее время даже немного сократилась, ведь в октябре 2014 года она достигала 61 %, да и затем на протяжении почти целого года держалась на уровне выше 60 %.

Рынок систем управления контентом за последние три года

Заметим также, что для получения информации по использованию той или иной системы управления контентом W3Techs проанализировала не весь Интернет, а 10 миллионов наиболее посещаемых сайтов согласно данным рейтинга Alexa за последние три месяца. При этом в исследовании не принимали участия поддомены и домены, на которые трафик перенаправляется с другого адреса (яркий пример — Sun.com и Oracle.com).