Приветствую в мире цифровой безопасности!
Поговорим о проблемах с безопасностью сайтов на базе WordPress.Отдельно от «просто уязвимых» плагинов существуют также откровенно вредоносные. К примеру, не так давно исследователи обнаружили WordPress-плагин, который притворялся плагином для кэширования страниц, но на самом деле представлял собой полноценный бэкдор.
Основной его функцией было создание нелегальных учетных записей с правами администратора и получение полного контроля над зараженными сайтами.
Проблема состоит в том, что XML-RPC может быть использован хакерами для 2 типов атак на ваш сайт. Во-первых, это брутфорс-атаки, направленные на подбор пароля к учетным записям ваших WordPress-пользователей. Дело в том, что XML-RPC позволяет объединять множество попыток логина в один запрос, что упрощает и ускоряет задачу хакерам. Во-вторых, протокол XML-RPC может быть использован для организации DDoS-атак на ваш WordPress-веб-сайт через так называемые пингбэки.
ZeroDay | #Угрозы