Уязвимость в WordPress REST API активно эксплуатируется

Сайты, работающие на Wordpress 4.7 и 4.7.1 находятся под угрозой атак ботов, которые подменяют контент в постах, используя брешь в REST API. Масштаб уже поражает - например, запрос "Hacked by NG689Skw" возвращает в Google уже порядка 220 тысяч проиндексированных результатов, "Hacked By SA3D HaCk3D" порядка 150 тысяч результатов.

Но это всё игрушки. Основная опасность в том, что можно осуществить внедрение мобильных редиректов, спам-ссылки и SEO-контент, а если в Wordpress используются плагины, которые интерпретируют код как php, то это прямая дорога к удаленному исполнению кода. Не тяните с обновлением до версии 4.7.2, которая закрывает уязвимость.

Если по какой-то причине вы не можете обновиться до версии 4.7.2, то рекомендуется закрыть доступ к REST API постов через .htaccess:

RewriteEngine On
RewriteRule /wp/v2/posts/ - [F,L]

Последние комментарии