Есть одна очень удобная для пользователей штука - Telegram Instantview. Она подгружает контент со ссылки прямо в приложении телеграма, показывая удобную для чтения версию и экономит трафик. Существует два официальных способа включить его для вашего сайта или блога: нерабочий (добавить ваш шаблон для домена, после чего просто ничего не произойдёт) и кривой (формировать уродливые ссылки руками вида t.me/iv?url=...&rhash=... ).
Есть ещё один способ, как заставить Телеграм отображать Instantview глобально, для любых прямых ссылок вашего блога или сайта. Реализацию оформил в виде небольшого плагина для WordPress. Так же, способ без проблем адаптируется для других платформ при необходимости.
Добрый день, уважаемые читатели! Сегодня мы разберем одну старую уязвимость в плагине Discount Rules for WooCommerce < 2.2.0 для WordPress.
WooCommerce - это плагин для создания онлайн-магазина на движке WordPress, а WooCommerce Discout Rules - дополнение для WooCommerсe для предоставления и управления скидками на товары.
Суть уязвимости заключается в возможности использовать некоторые методы плагина через admin-ajax.php, которые позволяют перечислять товары, пользователей, а самое главное - сделать товар бесплатным посредством добавления правила на скидку.
WordPress - самый популярный CMS для создания сайтов. Поэтому появление уязвимостей в различных плагинах затрагивает множество пользователей по всему миру. Усугубляет общую картину и тот факт, что во многих плагинах отсутствует автоматическое обновление версий. Не исключением стал и плагин LayerSlider в котором была найдена уязвимость типа SQL-injection, получившая идентификатор CVE-2024-2879 и балл CVSS равный 9,8 (критический).
Давайте вместе с вами более детально рассмотрим данную уязвимость в нашей статье и покажем ее эксплуатацию.
Это первая статья из цикла, в котором расскажем о практических способах обеспечить безопасность сервера. В качестве примера — операционная система Linux Debian с панелью управления ispmanager 6 и сайт на WordPress.
В этой статье опишу: ▪️ Безопасность в процессе установки Debian ▪️ Защита загрузчика ▪️ Безопасность SSH ▪️ Настройка ядра Linux ▪️ Стратегия усиления безопасности аутентификации ▪️ Шифрование канала ▪️ Удаление ненужного ПО ▪️ Отключение ненужных сервисов ▪️ Настройка Firewall iptables ▪️ Конфигурация Fail2ban ▪️ Профилирование AppArmor
Я привожу базовые рекомендации. Они не исчерпывают всех возможных способов усилить информационную безопасность, но пригодятся как отправная точка.
22 ноября 2021 года регистратор доменных имен и хостинг-провайдер GoDaddyраскрыл подробности инцидента, приведшего к утечке данных 1,2 млн клиентов на WordPress, включая их логины и пароли от баз данных и sFTP.
По информации Bleeping Computer, регистратор доменных имен и хостинг-провайдер GoDaddy раскрыл список реселлеров, которых затронула глобальная утечка данных клиентов на WordPress.
Компания Apple не станет требовать от разработчиков мобильного приложения WordPress для iOS встраивать внутренние покупки, сообщает The Verge. Ранее компания заблокировала обновления приложения, поскольку в нём не отображалась возможность купить подписку на премиум, которая есть на сайте WordPress.
Gravatar — это онлайн-сервис аватаров, который позволяет пользователям устанавливать изображение профиля на нескольких веб-сайтах, поддерживающих данный сервис. Gravatar используется на веб-сайтах WordPress, интегрированных с сервисом и GitHub. Методика подсчета пользователей, открытая исследователем безопасности Карло Ди Дато, демонстрирует, как можно использовать Gravatar для массового сбора данных о его профилях веб-сканерами и ботами.
WordPress объявил, что рассматривает новую технологию отслеживания FLoC от Google как проблему безопасности и может заблокировать ее по умолчанию на своих сайтах. FLoC не будет работать в будущих версиях программного обеспечения для ведения блогов.
Разработчики выпустили версию WordPress 6.5 Regina. В ней доступны новые способы тонкой настройки, управления типографикой сайта, а также обновления редактора сайта и улучшенная производительность.
Сегодня в ТОП-5 — критические обновления безопасности для фреймворка Struts 2, уязвимость «aspnet_compiler.exe», RCE-уязвимость в плагине резервного копирования WordPress, отчет с разбором хакерских атак FakeSG, Akira и AMOS и восемь уязвимостей в Dell PowerProtect, представляющих потенциальные риски для безопасности систем. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Павел Давыдов.
Агентство Kinsta 2 января 2024 года обновило данные бенчмарк-тестов популярных CMS и PHP фреймворков. При выборе движков для теста учитываются популярность, примерное количество живых сайтов, доля рынка, тенденции использования, доля в поиске (США).
В сравнение попали как популярные CMS, так и "серьёзные" PHP-фреймворки. Тем интереснее посмотреть на цифры RPS "из коробки".
Хостинговая компания и регистратор доменных имён WordPress представила 100-летний тарифный план для тех клиентов, кто ищет максимальную безопасность и долговечность своего цифрового присутствия в сети интернет.
Сегодня в ТОП-5 — спам-кампания c использованием PikaBot, риск компрометации более 150 тысяч WordPress-cайтов, обновления безопасности Windows, исправление двух критических уязвимостей от GitLab и новая кампания по распространению ВПО Mimic. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Евгений Тюрин.
Недавно подразделение Microsoft, отвечающее за кибербезопасность, в своем аккаунте в Twitter рассказала об атаках ботнета Sysrv. Данный вредонос использует эксплойты уязвимостей во фреймворках Spring и WordPress. Его целью является установка криптомайнера на разные серверы с ОС Windows и ОС Linux.
И вот специалисты Jetpack обнаружили неизвестный бэкдор в плагине School Management Pro для WordPress. Данная уязвимость получила идентификатор CVE-2022-1609 и 10 баллов из 10 по шкале оценивания опасности.
Подразделение Microsoft, отвечающее за кибербезопасность, в своем аккаунте в Twitter рассказала об атаках ботнета Sysrv. Данный вредонос использует эксплойты уязвимостей во фреймворках Spring и WordPress. Его целью является установка криптомайнера на разные серверы с ОС Windows и ОС Linux.
Специалист Microsoft Security Response Center Эндрю Паверд и независимый исследователь Авинаш Судходанан изучили 75 популярных сервисов и обнаружили уязвимости на 35 из них. Баги позволяют взламывать аккаунты ещё до их регистрации.
Компания Sucuri, специализирующаяся на информационной безопасности, заявила, что злоумышленники используют WebAssembly для запуска криптомайнеров в браузере пользователей. Специалисты компании провели подробное расследование после того, как один из клиентов пожаловался, что его компьютер значительно замедляется после перехода на собственный портал на базе WordPress.
Веб-хостинг и регистратор доменных имён GoDaddy признал новый факт атаки хакерами, в ходе которой злоумышленники украли исходный код части сервисов и установили вредоносное ПО на серверы компании. Неизвестные лица имели доступ к внутренней сети GoDaddy в течение нескольких лет.
