WordPress принудительно обновил плагин владельцем сайтов в целях безопасности
Команда безопасности WordPress пошла на крайние меры и воспользовалась скрытой внутренней функцией для принудительного обновления часто используемого плагина. Таким образом владельцы сайтов со встроенным плагином Loginizer (обеспечивает усиление безопасности страниц авторизации на WordPress-сайтах) принудительно получили обновленную версию 1.6.4, в составе которой содержался фикс исправлений для шести уязвимостей информационной безопасности, позволяющих осуществить SQL-инъекцию и захватить управление сайтом.
Loginizer является одним из самых популярных WordPress-плагинов. Он интегрирован в более чем миллион сайтов под управлением CMS WordPress. Loginizer призван блокировать доступ к страницам авторизации IP-адресам из чёрных списков, добавлять поддержку двухфакторной аутентификации, добавлять Captcha и пр.
Ранее на этой неделе был идентифицирован ряд ИБ-брешей, связанных с реализованным в Loginizer механизмом защиты от брутфорс-атак (активирован по умолчанию). В ходе эксплуатации уязвимости хакер может произвести SQL-инъекцию и захватить контроль над сайтом жертвы. Данная уязвимость стала одной из самых масштабных уязвимостей в плагинах WordPress за последние несколько лет, в связи с чем команда безопасности WordPress пошла на крайние меры и принудительно установила обновление.