Elegant Themes прошлой ночью уведомили всех своих клиентов по email о том, что в широкой линейке их продуктов найдена критическая уязвимость.
«Уязвимость была найдена в Divi Builder (который включен в наши темы Divi и Extra, а также в наш плагин Divi Builder), что вылилось в потенциальную возможность расширения пользовательских полномочий. При должном использовании уязвимость позволяла зарегистрированным пользователям вне зависимости от их роли выполнять некоторые действия в вашей сборке WordPress в пределах Divi Builder, включая возможность управления записями»
В дополнение к Divi Builder, уязвимость была также найдена в темах Divi, Extra, and Divi 2.3 (старая тема), а также в плагинах Boom и Monarch. Уязвимость была конфиденциально раскрыта и быстро исправлена Elegant Themes с помощью сторонней компании по обеспечению безопасности. Известных попыток эксплуатации уязвимости не зафиксировано.
Обновление тем и плагинов позволяет исправить уязвимость, однако патчи были созданы только для самых последних версий. Клиенты, пользующиеся старыми версиями тем, теперь имеют специальный патч, который позволяет устранить уязвимость без добавления новой функциональности. Клиентам, которые не готовы обновиться, рекомендовано отключить возможность регистрации на своих сайтах, поскольку вместе с непроверенными пользователями растет и риск расширения полномочий. Elegant Themes также рекомендуют установить плагин Security Patcher и использовать CloudProxy WAF от Sucuri, который фактически и исправил эту уязвимость.
На 2015 год компания Elegant Themes насчитывала более 300,000 клиентов. Учитывая значимость уязвимости, компания также сделала обновления доступными бесплатно для всех аккаунтов с истекшим сроком действия через свой плагин обновления. Клиенты, которые забыли свои учетные данные, могут связаться с Elegant Themes, чтобы получить последние версии тем и плагинов.
Хорошо, что уязвимость нашли они, а не хакеры)) Было бы весело)
На одном из сайтов я использую тему DiVi. Хорошо, что в моих проектах только один пользователь как правило =)
Я думаю что если капать более глубоко то даже в новых темах и обновлениях к тем же темам и плагинам для wordpress будут присутствовать уязвимости, в последнее время участились даже на территории РФ попытки брутфорса, лично у меня на сайте в сутки фиксирует сканер 5 — 6 попыток перебора паролей к панели администратора. Спасибо автору за статью, всегда более интересней читать что какую то уязвимость закрыли а не использовали
Брутфорс имеет место, это факт, но можно от него защититься путем установки спец. плагинов, которые помогают ограничить кол-во попыток ввода учетных данных.
Можно и переносить страницы входа со стандартных на другие, тогда вообще только вы будете знать, с какой страницы можно войти в админку.