В широко используемом антивирусе обнаружена серьезная уязвимость безопасности. WordPress плагин Forminator, размещающий более 600,000 XNUMX активных WordPress сайты под угрозой. Недостаток, раскрыто исследователями безопасности Wordfence 2 июля 2025 г., позволяет аутентифицированным злоумышленникам удалять произвольные файлы на сервере.
В чем уязвимость плагина Forminator?
Уязвимость затрагивает версии Forminator до 1.29.3. Forminator — популярный плагин, используемый для создания контактных форм, опросов, викторин и голосований на WordPress сайты. Из-за отсутствия надлежащей проверки ввода в функции загрузки файлов злоумышленники с доступом на уровне подписчика или выше могут манипулировать запросами и давать команду плагину удалить любой файл на сервере, к которому пользователь веб-сервера может получить доступ.
Это означает, что критический WordPress Основные файлы, темы или плагины могут быть удалены, что приведет к поломке сайта или его полному закрытию.
Как работает атака?
Сначала злоумышленнику необходимо получить доступ к любой действительной учетной записи пользователя на уязвимом компьютере. WordPress сайт. После аутентификации они могут создавать вредоносные запросы, используя небезопасный механизм удаления файлов в конечной точке загрузки Forminator. Поскольку многие WordPress сайты допускают регистрацию пользователей (например, членство, LMS или сайты сообществ), для начала атаки достаточно даже учетной записи подписчика.
Кто пострадал?
Все WordPress Сайт, работающий под управлением версии Forminator ниже 1.29.3, уязвим.
По оценкам WordPress.org, у Forminator более 600,000 XNUMX активных установок, а это значит, что значительное количество веб-сайтов остаются уязвимыми, если они не обновляются.
Веб-сайты, на которых разрешена регистрация пользователей, подвергаются особому риску, поскольку злоумышленники могут просто создать учетную запись и воспользоваться уязвимостью, не имея прав администратора.
Wordfence вручает рекордную награду за обнаружение ошибок
В знак признания серьезности этой уязвимости Wordfence выдала самую большую награду за всю историю: $8,100. Эта награда была выплачена исследователю, который ответственно раскрыл уязвимость через программу Wordfence Bug Bounty. По данным Wordfence, это самая высокая сумма единовременной награды за всю историю программы.
Беспрецедентная выплата подчеркивает критическую природу уязвимости и подчеркивает важность программ ответственного раскрытия информации для сохранения WordPress Экосистема безопасна.
Что делать владельцам сайтов?
Wordfence рекомендует всем WordPress Владельцы сайтов, использующих Forminator, немедленно обновите его до исправленной версии 1.29.3 или более новой. Обновление включает исправление уязвимости и не позволяет злоумышленникам использовать ее.
Помимо обновления, владельцам сайтов следует:
- Просмотр учетных записей пользователей: Проверяйте все регистрации пользователей на предмет подозрительных или неожиданных учетных записей.
- затвердеть WordPress безопасность: Отключите ненужную регистрацию пользователей или ограничьте ее с помощью таких инструментов, как CAPTCHA или проверка электронной почты.
- Используйте плагин безопасности: Внедрите брандмауэр, например Wordfence или аналогичные решения, для превентивной блокировки вредоносного трафика.
Была ли уязвимость использована?
На момент отчета Wordfence не было публичных доказательств широкомасштабной эксплуатации. Однако, учитывая простоту атаки и легкость получения доступа на уровне подписчика, активные эксплойты могут начаться в любое время.
Заключение
Эта уязвимость в Forminator служит суровым напоминанием о важности проактивного обслуживания и обеспечения безопасности веб-сайта. WordPress Плагины могут добавить невероятную функциональность вашему сайту, но они также могут представлять серьезные риски, если их не обновлять. Один устаревший плагин может дать злоумышленникам плацдарм для компрометации всего вашего сайта, нанесения ущерба вашей репутации или даже стирания ваших данных.
At HostScore.net, мы настоятельно рекомендуем не только регулярно обновлять плагины, но и инвестировать время в изучение того, какие функции и средства защиты предлагает ваш хостинг-провайдер для обеспечения безопасности вашего сайта. От продвинутый DDoS защиту в сканировании вредоносных программСовременные тарифные планы хостинга часто включают функции безопасности, которые могут иметь решающее значение при возникновении таких уязвимостей.
Хотите узнать, как лучше защитить свой сайт? Ознакомьтесь с нашим подробным руководством, Защита ваших сайтов: основные функции безопасности веб-хостинга, которые вам нужно знать. В нем рассматриваются основные инструменты и методы обеспечения безопасности, которые должен использовать каждый владелец веб-сайта, чтобы быть в курсе потенциальных угроз.
