Najnowszy Wordpress ma błąd pozwalający (pod pewnymi warunkami) na przejęcie konta admina/redaktora.
Źródło: https://twitter.com/Sekurak/status/1355084215507890177
Najnowszy Wordpress ma błąd pozwalający (pod pewnymi warunkami) na przejęcie konta admina/redaktora.
Źródło: https://twitter.com/Sekurak/status/1355084215507890177
Nowy rok nowy ja... A tak poważnie, chcę odświeżyć swoją stronę firmową. Jest to zwykła strona robiąca za wizytówkę.
Polećcie jakiś fajny szablon wordpress, ważne aby był czysty layout.
#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #WordPress #atak #przestepca #plugin
Przed kilkoma dniami doszło do wielkiego atak na 1,3 miliona witryn korzystających z oprogramowania WordPress. Przestępcy próbowali ukraść pliki konfiguracyjne oraz informacje potrzebne do logowania do bazy danych. Nieudana próba ataku została przeprowadzona na stare luki XSS w pluginach i skórkach do WordPressa.
Atak na ponad milion witryn wykorzystujących WordPressa
Jak poinformowali specjaliści z firmy Wordfence, którzy powstrzymali napastników, przestępcy chcieli pobrać pliki wp-config.php. Ich zdobycie pozwoliłoby im na uzyskanie dostępu du baz danych. Pomiędzy 29 a 31 maja zaobserwowano i zablokowano ponad 130 milionów prób ataku skierowanych przeciwko 1,3 milionowi witryn. Szczyt nastąpił 30 maja. W tym dniu dokonano 75% wszystkich prób nielegalnego zdobycia danych, usiłując wykorzystać dziury w pluginach i skórkach na platformach WordPress, czytamy w wydanym komunikacie.
Badacze połączyli te ataki z działaniem tej samej grupy, która 28 kwietnia próbowała wstrzyknąć na witryny złośliwy kod JavaScript. Jego zadaniem było przekierowywanie użytkownika z uprawnieniami administratora na złośliwą witrynę, z której można było dokonać ataku. Oba ataki udało się połączyć dzięki temu, że zarówno w kwietniu jak i maju przestępcy korzystali z tej samej puli 20 000 adresów IP.
Eksperci przypominają właścicielom witryn, że jeśli ich strona padła ofiarą ataku, należy natychmiast zmienić hasła dostępu oraz klucze uwierzytelniające. Jeśli konfiguracja twojego serwera pozwala na uzyskanie zdalnego dostępu do bazy danych, napastnik, który zdobył taki dostęp może z łatwością dodać konto administratora, uzyskać dostęp do poufnych informacji lub w ogóle zlikwidować twoją witrynę. Nawet jeśli twój serwer nie pozwala na zdalny dostęp do bazy danych, to jeśli napastnik zdobył klucze uwierzytelniające, może ich użyć do ominięcia kolejnych zabezpieczeń, czytamy w oświadczeniu.
Osoby korzystające z WordPressa powinny też upewnić się, czy wykorzystują najnowsze wersje dodatków i czy na bieżąco łatają pojawiające się dziury. Warto przypomnieć, że przed kilkoma tygodniami znaleziono dwie dziury w pluginie Page Builder. Plugin ten jest zainstalowany na milionie witryn, a zanlezione dziury pozwalają przestępcom na przejęcie kontroli nad witryną.
Macie może swoją stronę na wordpress.com?
Platforma dla VIPów zaliczyła dzisiaj awarię: po pół godzinie nieobecności wszystkie strony wróciły zresetowane do domyślnych tematów.
Zabolało to m.in:
– BBC America
– TechCrunch
– Wikimedia Foundation
https://www.zdnet.com/article/wordpress-com-vip-platform-outage-reverts-sites-back-to-default-themes/
Mam szablon zakodowany w css + html, chciałbym go przerobić do wordpresa. Ile taka usługa może kosztować?
Mogę fakturkę wystawić
Dobry szablon … na boku ;p