Действительно, WordPress находится под угрозой, по крайней мере сообщение такого характера было получено мной от хостинг-провайдера, и я решил поделиться данной информацией с вами на страницах своего сайта.
Чтобы вы понимали, о чем идет речь, я выкладываю скриншот указанного письма от службы поддержки «Интернет Хостинг Центр»:
Из данного письма вытекает примерно следующее: в таких системах управления контентом, как WordPress и Drupal выявлено слабое место (уязвимость), и существует вероятность потери работоспособности ресурсов, построенных на данных CMS, вследствие проведения атак XML Quadratic Blowup Attack.
Что же из себя представляет эта самая атака XML Quadratic Blowup?
Если не углубляться во все тонкости, то можно сказать, что данная атака основывается на Dos-атаке (в вычислительной технике DoS-атака (Denial of Service — отказ от обслуживания) и DDoS-атака (Distributed Denial of Service — распределенный отказ от обслуживания) являются попытками сделать вычислительную систему или сетевой ресурс недоступным для пользователей) на базу данных MySQL, в ходе которой многократно повторяется одна и та же запись с десятками тысяч символов и XML-документ размером несколько сотен килобайт в конечном итоге может занимать сотни мегабайт или даже гигабайты памяти.
И не сложно догадаться, что произойдет в том случае, если будет занята вся доступная память — нарушится нормальная работоспособность системы и ресурс станет недоступен.
В зоне риска находятся следующие версии CMS:
- WordPress — 3.5 — 3.9
- Drupal — 6x — 7x
В WordPress данная проблема устранена с версии 3.9.2.
Способы предотвратить данную уязвимость
На самом деле, в настоящее время как WordPress, так и Drupal, уже решили данную проблему и разработали патчи. Для защиты ресурса от возможных атак, описанных в статье, достаточно обновить данные CMS до последних версий (WordPress по крайней мере до версии 3.9.2).
Также в случае с WordPress можно удалить файл xmlrpc.php, размещенный в корне проекта на хостинге, ведь атаки идут через XML-RPC сервис.
А вы уже обновили WordPress, или все еще продолжаете оставаться в зоне риска?
Никогда не понимал блогеров. которые категорически отказывались от обновления Вордпесса!Ведь уже давно известно, что любые обновления в любых программных обеспечениях, а вордпресса и подавно, связано с защитой от хакерских атак и вирусов!
Спасибо за этот пост Владимир! Очень важно обновлять Вордпресс!
Согласен, Игорь, обновляться надо, но желательно не забывать при этом о мерах безопасности (резервное копирование) 🙂
Я тоже не люблю обновляться, хоть и понимаю, что это необходимо. Обычно стараюсь сначала протестировать свежую версию Вордпресс на своем ГС, и если меня все устраивает в новой версии, обновляю вордпресс на блоге.
Неплохой способ протестировать новую версию WordPress 🙂
Так безопаснее, если что не жаль будет ГС 😉
Это точно 😉
Обновлять вордпресс необходимо сразу! 😉
А почему это так важно, Артём? Поделитесь соображениями по этому поводу?
Ну, Володь, ты и напугал! 😯 Глядя на картинку статьи можно инфаркт получить. Я так то всегда обновляюсь, когда приходит уведомление в панель вордпресс.
Андрей, я и сам напугался 🙂
А обновляться полезно 😉
У меня вордпресс автоматически обновился до 3.9.2 версии, а я еще была не довольна, что они это сделали без разрешения. Но файл из корневого каталога я не удаляла.
Софья, раз обновили, то файл удалять не нужно, в новой версии нет данной проблемы)
Кстати, у меня то же самое. Обновили без предупреждения.
Хм, странно, а у меня запрашивали разрешение на обновление 😐
Владимир, заходите в гости за своей наградой http://telets.com.zp.ua/blog/nagrada-dlya-bloga/ С уважением Андрей ➡
Я свой ворпресс удалил, я не хочу находится в зоне риска.
Вообще не вижу смысла паниковать. Ошибки есть на любых сайтах и периодически их находят. Раз уязвимость попала в паблик, стало быть с ней уже наигрались (ну либо взломщих попался чересчур совестливый).
Кстати, обновляться тоже нужно очень аккуратно, многие плагины вполне могут еще и не поддерживать новую версию движка.
И, кстати, да, Владимир правильно заметил — обязательно делайте бэкапы, тогда все будет хорошо.
Согласен, паниковать не стоит, вообще если уж захотят взломать, то взломают 🙂
Я так понимаю, что для устранения уязвимости достаточно просто обновить старую версию движка на новую — и подобных проблем не будет (впрочем и без сообщения хостинга это понятно — обновляться нужно вовремя).
Все верно, достаточно обновиться и забыть о данной проблеме!
Тогда мне сложно понять мотивы самих хостингов, которые рассылают подобные уведомления — ведь создатели WP уже пришили функции автообновления, и не спрашивают авторов блогов об этом (как минимум у меня несколько десятков сами перешли на новую версию без моего согласия).
В случае с моим блогом для обновления требуется подтверждение.
Это где-то в настройках WP такая галочка устанавливается, Владимир?
Сейчас тоже задался данным вопросом, Юрий, но никаких галочек, к сожалению, не нашел. То есть на данный момент для меня это необъяснимо, просто когда появляется свежая версия Вордпресс, в консоли в админке моего блога появляется соответствующее уведомление с предложением установить обновление, автоматически ничего не происходит.
Видимо устанавливаются новые версии исключительно с критическими обновлениями, либо же первых несколько дней показывается уведомление, чтобы дать возможность автору сделать резервные копии базы данных.
Тоже не понимаю людей, которые не обновляют свои блоги. Слышала один раз вот такой вердикт: «Не хочу обновлять блог, потому что все мои настройки слетят». Ну, а если ты не обновишь, то вообще весь блог слетит, не дай бог. Я, конечно же, обновляю блог до последних версий.