Федеральное бюро расследований (США) опубликовало (http://www.ic3.gov/media/2015/150407-1.aspx) предупреждение о массовых атаках на сайты, работающие под управлением платформы WordPress. Атаки осуществляются через эксплуатацию уязвимостей в плагинах к WordPress, проводятся от имени хакерской группы, указывающей на свою принадлежность к Исламскому государству (https://ru.wikipedia.org/wiki/%D0%98%D1%... и приводят к замене содержимого основной страницы на политические лозунги (дефейс).

Наиболее активно эксплуатируются уязвимости в старых версиях плагинов RevSlider и GravityForms, проблемы в которых были устранены в выпусках 4.2 и 1.8.20. Реже атаки производятся через плагины FancyBox, Wp Symposium и Mailpoet. Кроме плагинов для дефейса зафиксированы манипуляции c уязвимостями в темах оформления к WordPress. Администраторам сайтов на базе WordPress рекомендуется убедиться в применении актуальных выпусков плагинов и недопустить использование устаревших версий.

Одновременно обнародованы (https://blog.sucuri.net/2015/04/security-advisory-persistent... сведения об опасной уязвимости в популярном WordPress-плагине WP-Super-Cache (https://wordpress.org/plugins/wp-super-cache/), для которого зафиксировано (https://wordpress.org/plugins/wp-super-cache/stats/) более миллиона активных установок. Плагин предоставляет возможность организовать кэширование динамического контента через отдачу статических html-файлов.
Выявленная XSS-уявимость позволяет через отправку специально оформленного запроса добиться подстановки произвольного JavaScript-кода в страницу, отображаемую при просмотре списка файлов, сохранённых в кэше. При просмотре данной страницы администратором  сайта, атакующие могут перехватить содержимое его cookie и выполнить действие в WordPress с правами администратора. Проблема устранена в выпуске 1.4.4.

URL: http://blog.sucuri.net/2015/04/fbi-public-service-annoucemen...
Новость: http://www.opennet.me/opennews/art.shtml?num=42007

• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,анонимус, 10:35 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 10:42 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 11:01 , 09-Апр-15
      • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,прохожий, 17:07 , 09-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,бедный буратино, 10:44 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 10:48 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 10:51 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,бедный буратино, 10:57 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 14:02 , 09-Апр-15
      • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,yekm, 17:40 , 09-Апр-15
        • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,клоун, 17:47 , 09-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 11:03 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 11:14 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,arzeth, 11:26 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Ваганыч, 13:33 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,i_stas, 14:19 , 10-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 12:21 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 12:28 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,YetAnotherOnanym, 12:34 , 09-Апр-15
      • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 14:35 , 09-Апр-15
        • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,YetAnotherOnanym, 15:17 , 09-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,YetAnotherOnanym, 12:30 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 13:04 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,йцу, 10:15 , 10-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Pahanivo, 12:49 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Нанобот, 18:14 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Pahanivo, 20:29 , 12-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Black_Ru, 15:07 , 25-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,ТСА, 15:43 , 09-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,клоун, 17:48 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,ага, 18:03 , 09-Апр-15
    • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 21:44 , 09-Апр-15
• ФБР предупредило о волне атак на уязвимые плагины к WordPres...,Аноним, 12:37 , 10-Апр-15
  • ФБР предупредило о волне атак на уязвимые плагины к WordPres...,hhg, 17:10 , 10-Апр-15

О как. Теперь хацкеры заблаговременно ФБР ставят в известность о своих атаках. Чем мне это францию напоминает?... хм...

Кругом заговоры? Тяжело быть вами, сочувствую.

Где вы видите заговоры? Всё случайно происходит, само собой. Это же очевидно! Задумываться приходится только тем, кто не способен вещи понимать с первого раза. Поэтому думают, как правило, люди недалёкие и глуповатые. Таких, к сожалению, очень много - просто игнорируйте их. Они стремятся отнять ваше время и испортить настроение мыслями и прочими глупостями.

"испортить настроение мыслями"
Вы себе льстите

> ФБР предупредило о волне атак на уязвимые плагины к WordPress

ФБР собирается атаковать уязвимые сайты? И заранее об этом предупреждает? Вот это вежливость.

Нет, они предупреждают о хакерских атаках. В США принято что бы политик имел собственный сайт, а как он будет отчитываться о выполнении предвыборных обещаний? Так вот, такие атаки являются угрозой гос. безопасности поэтому ими и занимается Федеральное Бюро.

Так же, напомню что ФБР не нужно ничего взламывать, что бы получить доступ к информации которая размещена на серверах расположенных на территории США.

им скучно. залезть через дырку всегда интереснее.

> Так же, напомню что ФБР не нужно ничего взламывать, что бы получить
> доступ к информации которая размещена на серверах расположенных на территории США.

напоминаю, WordPress используется не только на территории СГА (state означает государство, вообще-то)

Ты не поверишь как много может значить одно слово, особенно state.

В названии государства United States of America у слова "state" значение одно и оно имеет официальный перевод на русский язык - "штат" - государственно-территориальная единица.

Другое дело, что чувак узнал как работает настоящая федерация (а не та, которая бензоколонку маскирует) и обалдел.

Если ФБР знает о том, что готовят хакеры, то, возможно, оно и хакеров знает? Почему ж не арестовывает или хотя бы не распространяет о них информацию для уполномоченных структур?

>проводятся от имени хакерской группы, указывающей на свою принадлежность к Исламскому государству

Наверное поэтому?

Пофиг кто знает, главное, чтобы люди обновились со старья. А то неприятно, если какая-то сволочь возьмёт и, например, поменяет кнопку пожертвования через PayPal на свою — это хуже дефейса. Или вот (недавно встречал) кто-то сделает так, чтобы для российского сайта россияне видели обычный сайт, а не россияне (либо если через curl загружать) видели сайт с рекламными ссылками про виагру — такой посетитель не вернётся.

Они выпустили новые версии пердукта, к которым пока только у них есть отмычки.

Как они могут арестовать собственных сотрудников? Ни как нельзя! Это удар ниже пояса.

Вот поднасрать соседнему отделу - это нормальная корпоративная практика подковерных игр. Видимо там в ФБР кто то скоро уходит на пенсию, и идет борьба за место для розовых ягодиц.

Ах! блин! Как не политкорректно! Может быть ягодицы будут другими? Прошу читать не "розовые ягодицы", а желтокожие/краснокожие/смуглые/чернокожие/(блин!)афроамериканские ягодицы.  (нужное подчеркнуть).

WormPress

Только самописные CMS, только хардкор!

Лучше домотканые портки, чем откутюр с дыркой на *.пе, через которую тебя может поиметь каждый встречный-поперечный.

А где гарантия, что на твоих домотканных нет дырок? Может ты, как истинный художник, взял выкройку от кружевных трусов и сшил на её основе очередные дизайнерско-концептуальные портки. Которые выглядят круто, но носить их никто, кроме тебя, в здравом уме не будет.

Так я не художник. Я ремесленник.

> Администраторам сайтов на базе WordPress рекомендуется перейти на более вменяемую и безопасную платформу

Fixed.

...и желательно не на похапе.

Сам WP, конечно, далеко не идеал. Но, как в большинстве предыдущих случаев, уязвимости снова относятся к его _плагинам_, написанным кем попало и как попало. Посмотрите базы CVE, у других популярных CMS ситуация аналогичная. Ваша "вменяемая и безопасная платформа" может быть как угодно защищена, но вся её надежность может накрыться медной этойсамой после установки какого-нибудь плагина. Не стоит вешать ответственность за дыры в каких-то левых расширениях на разработчиков платформ.

Ну пока они не научились поднимать серваки в воздух и сносить ими небоскребы, думаю волноваться не о чем.

владельцам сайтов на wordpress - есть о чём

> владельцам сайтов на wordpress - есть о чём

да я вообще про ФБР ))

  Как можно не видеть связь между наращиванием мощностей в информационно-технической области и военно-промышленной, не понимаю.

Типа «кто не спрятался я не виноват»?

Типа ФБР, в отличие от сами знаете кого, работает не за откаты, а на совесть.

ну ты и клоун)

Это очень воинственная совесть.

ФБР, плагины. вордпресс, - куда катится этот безумный мир?

в планету черномазых абезьян, которые пытаются написать Войну и Мир