Das beliebte WordPress-Plug-In mit dem Namen „Easy WP SMTP-Plug-In“ mit mehr als hunderttausend effektiven Installationen hat gerade ein Risiko entdeckt, бул чабуулчуга сайтты көзөмөлдөөгө мүмкүндүк берет. Бул WordPress плагининдеги ката киберпанктарга жол берет, администратордун сырсөзүн алмаштырып, веб-сайттын толук авторизациясын алыңыз.
Die festgestellte Sicherheitsanfälligkeit befindet sich in der Debug-Protokolldatei, бул плагин папканы кантип башкарарындагы абдан негизги кемчиликтен улам аялуу. Файлдар менен сервердеги плагиндер папкасы, колдонуучулар тарабынан сакталышы керек, адатта бош index.html файлын камтыйт. Бул файлдын максаты ушуну жасоо, бирөөнүн алдын алуу, ошол папкага өтүңүз жана ошол каталогдогу файлдардын тизмесин көрүңүз.
Эгер кимдир бирөө бул файлдардын тизмесин көрсө, ал бул файлдарга кирип жаткан болушу мүмкүн, көйгөй эмнеде.
Папка, бул мүчүлүштүктөрдү оңдоо журналы файлы кайда, index.html файлын камтыбайт. Серверлерде, каталог индексинин тизмелери өчүрүлгөн эмес, Демейки боюнча, жаман шылуун бул файлга кире алат.
Биринчи кезекте, алар WordPress сайтынан администратор деңгээлиндеги колдонуучу атын алышат. аракет кылып жатышат, белгилүү ыкмаларды колдонуу менен бузуп.
Андан кийин алар WordPress кирүү барагына барып, администратордун аккаунтунун сырсөзүн калыбына келтирүү өтүнүчүн жөнөтүшөт.
Алар ошондой эле мүчүлүштүктөрдү оңдоо журналынын файлдарына мүмкүнчүлүк алышат жана сырсөздү кайра орнотуу шилтемесин калыбына келтиришет, WordPress сайты тарабынан жөнөтүлгөн. Бул шилтемеге киргенде, аны киргизиңиз, сырсөздү кайра коюп, андан кийин сайтка толук кирүү мүмкүнчүлүгүнө ээ болуңуз.
Dieses Schwachstellen-Plug-In verwaltet ein Änderungsprotokoll, ал ар бир жаңыртуудагы бардык өзгөртүүлөрдү жазат. Өзгөртүү журналын окуу керек, колдонуучу таануу үчүн, кандай жаңыртуу жасалган.
Алсыздык табылганда, плагинди иштеп чыгуучулар көбүнчө табат, алсыздык жоюлат деп. Бул WordPress иштеп чыгуучусуна маалымат берет, ал керек деп, негизделген чечим кабыл алуу. Өзгөртүү журналы, бул тууралуу басмаканага маалымдоо, жаңыртуу коопсуздуктун алсыздыгын жаратат, чыгаруучуга уруксат берет, плагинди жаңыртуу жөнүндө негиздүү чечим кабыл алуу, хакердик чабуулдарды болтурбоо үчүн.
Бул катуу сунушталат, бардык Easy WP SMTP Plugin колдонуучулары версиядан жогорураак версияга жаңыртылат 1.4.2 Жаңыртуу.