Les commerçants en ligne utilisant WordPress comme une plate-forme peut devenir victimes d'une nouvelle faille d'exécution de code à distance. Un nouveau rapport de sécurité révèle que le bug peut interagir avec le plug-in WooCommerce, En conséquence, les criminels peuvent dépasser les magasins.
WooCommerce sites peuvent être pris en otage par le bogue WordPress: Les pirates informatiques va prendre le contrôle
Le système de gestion de contenu WordPress comme un outil populaire pour la mise en place des sites Web de tous les types, y compris les magasins web. Il est maintenant avéré qu'une équipe de chercheurs de sécurité ont découvert une faille critique dans ce. Selon les informations publiées le plug-in e-commerce est affecté par un bogue de suppression de fichiers qui permet aux pirates de prendre le contrôle des sites. Cela se fait par l'escalade de leurs privilèges et éventuellement exécuter le code nécessaire sur les sites piratés.
La raison citée est la “rôles” système qui permet d'affecter les niveaux d'accès privilégié aux visiteurs de la boutique. En supprimant un certain fichier via le principal bug WordPress les pirates seront en mesure de dépasser le contrôle des magasins. L'accès au fichier de configuration peut se faire via plusieurs des stratégies d'intrusion populaires:
- Cross-Site Scripting (XSS) attaques - Ils cherchent à manipuler les navigateurs en appelant des scripts dangereux et les commandes qui peuvent conduire à l'exécution du code nécessaire. Ils sont souvent situés sur des sites Web faux ou des communautés. Dans de nombreux cas e pirates peuvent les masquer comme utiles tutoriels ou des guides.
- Les sites de phishing - Les criminels peuvent également construire des fausses pages d'atterrissage qui posent comme des domaines officiels de WordPress ou le plugin WooCommerce. Ils peuvent utiliser des noms de domaine similaires ou de sondage des certificats de sécurité afin de contraindre les visiteurs en interaction avec eux.
- Infections à virus - infections de logiciels malveillants tels que les chevaux de Troie peuvent manipuler le système en exécutant le comportement dangereux.
Nous rappelons à nos lecteurs que les sites WordPress sont constamment ciblés par diverses attaques, un exemple récent est le [wplinkpreview url =”https://sensorstechforum.com/wordpress-site-owners-targeted-global-phishing-scam/”]escroquerie phishing mondiale Septembre. Un patch correction de la vulnérabilité de suppression de fichier arbitraire a été libéré aux propriétaires de sites WordPress en Octobre. Nous recommandons que tous les utilisateurs appliquent toutes les dernières mises à jour pour sécuriser leurs magasins en ligne. Pour plus d'informations sur la question de la lecture divulgation publique.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: