club762.ruКак сообщает сайт Sucuri, плагин WPTouch имеет опасную уязвимость, поэтому пользователи должны незамедлительно обновить его. WPTouch используется для быстрого добавления поддержки мобильных устройств к сайтам; на данный момент плагин имеет более 5 миллионов скачиваний, что делает его одним из популярных плагинов в каталоге плагинов WordPress.
Как указывает Sucuri, WPTouch некорректно использует хук admin_init, который может привести к тому, что пользователи без корректных прав доступа смогут загружать вредоносные файлы на сервер. В Mailpoet, еще одном популярном плагине, недавно была обнаружена та же самая проблема с безопасностью. Использование бага в своих интересах – это очень простой процесс.
Вот что нужно сделать злоумышленнику, это:
- Войти и получить свой nonce в wp-admin
- Отправить AJAX-запрос на загрузку файла, содержащий данный nonce и бэкдор
Мораль всего этого: не стоит использовать nonces (случайные числа) для защиты важных методов, всегда добавляйте функции, такие как current_user_can(), чтобы подтвердить право пользователя совершать какие-либо действия.
Уязвимость затрагивает только те сайты, на которых включена регистрация, однако обновиться лучше в любом случае. Пользователи должны уже были получить уведомление об обновлении в консоли.
Здравствуйте, Дмитрий! С выходом WordPress 5.5 у меня перестал работать WP Touch — на мобильной версии сайта не работает меню, поиск и прокрутка. Не встречались с таким? Знаете ли какие-нибудь достойные плагины для создания мобильной версии сайта? У меня тема ещё 2011 года и не приспособленная к мобильным устройствам.
Возможно, что связано с проблемами с jQuery. Посмотрите последний пост, который у нас был в ленте. Там приведен плагин для решения проблем.