Исследователи кибербезопасности помогли исправить несколько уязвимостей в чрезвычайно популярном плагине WordPress, который любой посетитель мог использовать для выполнения ряда действий против уязвимых веб-сайтов WordPress, таких как экспорт конфиденциальной информации. Уязвимости, обнаруженные экспертами по безопасности WordPress Wordfence, существовали в плагине OptinMonster, база пользователей которого насчитывает более миллиона веб-сайтов. OptinMonster позволяет без особых усилий создавать кампании продаж на сайтах WordPress. с помощью диалогов. Wordfence объясняет, что подавляющее большинство функций плагина, а также сайта приложения OptinMonster основаны на использовании конечных точек API.
Абрете Сезамо
«К сожалению, большинство конечных точек REST-API не были реализованы небезопасным образом, что позволило злоумышленникам, не прошедшим проверку подлинности, получить доступ к многочисленным конечным точкам на сайтах с уязвимой версией плагина -In», — написала Хлоя Чемберленд, аналитик угроз в Wordfence. В своем обзоре уязвимости Чемберленд отмечает, что одна из уязвимых конечных точек могла быть использована для раскрытия конфиденциальных данных, таких как полный путь сайта на сервере, а также ключ API, который веб-сайт использует для выполнения операций. Сайт Оптинмонстр. «Имея доступ к ключу API, злоумышленник может внести изменения в любую кампанию, связанную с зарегистрированной на сайте учетной записью OptinMonster, и добавить вредоносный код JavaScript, который будет выполняться каждый раз при просмотре кампании на управляемом сайте», — объясняет Чемберленд. Он отмечает, что, к сожалению, любой посетитель веб-сайта мог воспользоваться этой уязвимостью. Хотя сообщений об используемых уязвимостях в дикой природе нет, разработчик плагина делает недействительными все ключи API, заставляя пользователей генерировать новые. Они также исправили все уязвимости и изменили способ внесения изменений в кампании. Вы хотите создать сайт? Используйте один из этих лучших конструкторов веб-сайтов WordPress и украсьте их одной из этих лучших тем WordPress.