WordPress šablony od pipdig útočí na další weby, mění obsah, mění hesla správce. Velký pozor!

WordPress šablony od pipdig útočí na další weby, mění obsah, mění hesla správce a dělají další zásadní škodlivé věci. Vedle krádeže webu je v kódu i „kill switch“ co smaže všechny tabulky a tím celý blog. Celé je to navíc podivné i tím, že aktualizace těchto šablon neprobíhá přes WordPress ale přes vlastní aktualizační službu. Viz Security alert: pipdig insecure, DDoSing competitors

2019-03-31 10_13_07-Security alert_ pipdig insecure, DDoSing competitors - Jem - UK blogger.png

Reklamy

Easy WP SMTP plugin pro WordPress je děravé a hackeři chybu aktivně zneužívají.

Easy WP SMTP plugin pro WordPress je děravé a hackeři chybu aktivně zneužívají. Jde o plugin s více než 300 tisíc instalacemi (osobně jsem ho také používal v době provozování vlastního WordPressu). Oprava je dostupná ve verzi v1.3.9.1 a po aktualizaci by bylo dobré prověřit stav WordPressu, může už totiž být napadený. Viz Zero-day in WordPress SMTP plugin abused by two hacker groups

2019-03-21 22_20_29-Easy WP SMTP – WordPress plugin _ WordPress.org.png

 

WPML web hacknut, prý naštvaným zákazníkem. Zda je WPML samotné bezpečné zatím jasné není.

WPML web hacknut, prý naštvaným zákazníkem, který přišel o dva weby skrz děravé pluginy od WPML. Navíc měl použít ty samé chyby, které setrvávaly ve WPML pluginech. Nutno dodat, že komerční plugin pro tvorbu vícejazyčných webů s pomocí WordPressu je aktivní na více než 600 tisících webech.

WPML ve vyjádření pro  WPML Website Hacked, Customer Emails Compromised uvádí, že za hacknutím stojí bývalý zaměstnanec, který na serveru nechal zadní vrátka. Řešit to prý budou právní cestou. Pro ty co WPML mají nasazené to ale stále znamená, že možná mají na serveru také zadní vrátka. Na webu WPML aktuálně ([20.01.19]) ani slovo.

[21.01.19 16:22] Informace přímo od WPML v WPML.org Site Back to Normal After an Attack During the Weekend

2019-01-20 12_39_40-WPML - The WordPress Multilingual Plugin.png

 

Populární plugin pro WordPress umožňoval ukrást účet na Twitteru

Populární plugin pro WordPress umožňoval ukrást účet na Twitteru – plný přístupový token k Twitteru plugin vkládal do HTML kódu. Těžko pochopitelné jak něco takového mohlo někoho vůbec napadnout. Co hůře, autoři plugin nejenom neopravili, ale ani nekomunikují. Viz A popular WordPress plugin leaked access tokens capable of hijacking Twitter accounts, CVE-2018-20555 a Social Network Tabs – což je přesně to, co musíte z vašeho WordPressu okamžitě odstranit. Otázkou je, proč to vůbec někdo použil, poslední aktualizace je ze srpna 2018. A také nezapomenout na účtu na Twitteru odebrat práva příslušné aplikaci.

DxGjMITV4AATkAW.jpg

WordPress 5.0 Bebo je k dispozici, ale rozhodně nespěchejte s přechodem.

WordPress 5.0 Bebo je k dispozici, ale rozhodně nespěchejte s přechodem. Je v něm krajně nepovedený a nedokončený editor, který sice umí „bloky“, ale zásadně ztížil ovládání a vkládání. Podstatně horší je to, že řada pluginů se po přechodu na 5.0 stane nefunkční. Jak už to tak chodí, prostě vyčkejte. Bohužel s novým editorem to asi bude hodně dlouhé čekání. Snad ale někdy někomu dojde, že pro klasické psaní článků je nový editor zásadní problém.

GDPR plugin pro WordPress hacknut a celé to tak nějak přesně ukazuje, jak to s tím GDPR je

GDPR plugin pro WordPress hacknut a celé to tak nějak přesně ukazuje, jak to s tím GDPR je. Především, žádný plugin pro žádné CMS vám nezajistí splnění podmínek GDPR. Žádné vyskakovací formuláře to také neřeší, ale tohle bohužel ani Evropské Unii stále nedošlo (dokonce ani po sušenkovém fiasku z minulosti). Každopádně, pokud jste podlehli a WP GDPR Compliance plugin máte na webu, tak rychle pryč s ní a velký pozor na to, zda už ho nemáte hacknutý. Viz WP GDPR Compliance <= 1.4.2 – Unauthenticated Call Any Action or Update Any Option. A opradu, nevracejte tuhle hloupost zpět, stejně to nic neřeší.

wordpress-plugin-hackers.png