Новости / WordPress (2)

Исследователи обнаружили скрытую закладку в WordPress, маскирующуюся под системный файл в директории `mu-plugins`

https://kinsta.com/knowledgebase/what-is-wordpress/

Такой подход позволяет злоумышленникам закрепиться на сайте, незаметно получив полный контроль и возможность выполнять произвольный PHP-код, пишет Securitylab. Мu-плагины (must-use plugins) активируются автоматически при каждом запуске сайта и не отображаются в стандартном интерфейсе администрирования WordPress. Их нельзя отключить с панели управле …

Читать пост

Уязвимость в визуальной теме WordPress под названием "Motors" позволяла хакерам массово захватывать права администратора

https://unsplash.com/photos/silver-mercedes-benz-emblem-on-blue-surface-5MlBMYDsGBY

Брешь, получившая идентификатор CVE-2025-4322, представляет собой проблему повышения привилегий и была обнаружена 2 мая 2025 года. Её исследовала команда безопасности Wordfence , которая 19 мая опубликовала отчёт и настоятельно порекомендовала пользователям немедленно установить исправление.

Читать пост

Интернет-магазины на WordPress оказались под угрозой из-за критической уязвимости в плагине TI WooCommerce Wishlist

Wordpress

По данным специалистов PatchStack, этот модуль, обеспечивающий функцию списков желаемого для WooCommerce, содержит опасную брешь, которая позволяет злоумышленникам загружать на сервер любые файлы, включая вредоносные скрипты.

Читать пост

Критическая уязвимость повышения привилегий в теме Motors для WordPress позволяет получить  контроль над сайтом

WordPress

Обнаруженная проблема уже получила идентификатор CVE-2025-4322 и оценку CVSS: 9.8. Motors — одна из самых популярных автомобильных тем на платформе WordPress. Её разработала компания StylemixThemes, а активнее всего она используется автосалонами, сервисами проката и площадками по продаже подержанных автомобилей. Тема была продана более 22 300 раз и …

Читать пост

Обнаружен особо искусный неудалямый вредоносный плагин для Wordpress

WordPress

Один из самых популярных способов атак на WordPress — маскировка вредоносного кода под безобидный плагин. Но на этот раз зловред ушёл гораздо дальше обычного обмана. Команда Wordfence обнаружила любопытный пример вредоносного плагина, который внешне ничем не отличался от обычных инструментов для администрирования, но фактически давал полный контрол …

Читать пост

Мошенническая схема Scallywag, построена на специально созданных плагинах WordPress

реклама

По данным компании HUMAN, специализирующейся на обнаружении ботов и рекламного мошенничества, Scallywag представляла собой целую сеть из 407 доменов. Суть схемы заключалась в том, чтобы превращать сомнительные сайты — в первую очередь ресурсы с пиратским контентом и сервисы для сокращения ссылок — в источники дохода за счёт поддельных показов рекла …

Читать пост

Хакеры атаковали WordPress уже через 4 часа после раскрытия уязвимости в плагине OttoKit

WordPress

Хакеры начали массово эксплуатировать критическую уязвимость в популярном плагине OttoKit (ранее SureTriggers ) для WordPress всего через несколько часов после её публичного раскрытия. Уязвимость позволяет обойти авторизацию и получить полный контроль над сайтом. OttoKit предоставляет пользователям возможность без программирования автоматизировать …

Читать пост

BI.ZONE фиксирует свыше 250 попыток атак на 13 организаций при помощи техники эксплуатации WordPress

Bi.Zone

С февраля 2025 года специалисты BI.ZONE WAF фиксируют рост атак на сайты WordPress — системы управления контентом (CMS) с открытым исходным кодом. При этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней.

Читать пост

Хакеры скрывают вредоносный код в особой директории WordPress

Wordpress

Специалисты по безопасности из компании Sucuri зафиксировали новую схему атак , при которой злоумышленники используют особую директорию WordPress — «mu-plugins» — для сокрытия вредоносного кода. Эта папка предназначена для так называемых must-use плагинов, которые автоматически активируются без участия администратора и не отображаются в стандартном …

Читать пост

Вредонос DollyWay уже 9 лет взламывает сайты WordPress

WordPress

С 2016 года в ходе вредоносной кампании DollyWay было взломано более 20 000 сайтов на WordPress по всему миру путем перенаправления пользователей на мошеннические ресурсы. За 9 лет атака значительно эволюционировала, добавив сложные механизмы уклонения, повторного заражения и монетизации, согласно Securitylab.

Читать пост