Используя уязвимость которая проявилась в WordPress 4.7 и 4.7.1 злоумышленникам удалось скомпрометировать более 3300000 интернет-сайтов по всему миру. Если говорить о рунете, то здесь зафиксировано порядка 25000 взломов.
Напомним, уязвимость была устранена еще 26 января в обновлении 4.7.2. Позже, представители CMS пояснили, почему в релизе не было сказано об обнаружении уязвимости – они не хотели придавать данному инциденту большую огласку и не допустить волны очередных взломов.
Проблема проявляется только в выпусках WordPress 4.7 и 4.7.1, более ранние версии не подвержены проблеме, даже при включении плагина REST API. REST API по умолчанию включён начиная с ветки 4.7 и предоставлет альтернативный способ манипуляции с настойками, комментариями и публикациями.
Многие из сайтов которые удалось взломать, на текущий момент уже успели попасть в блеклисты поисковых систем. Чтобы не оказаться жертвой взлома, вебмастерам достаточно делать своевременные обновления своих WordPress.
Клиенты нашего хостинга, установившие WordPress через предустановленные скрипты Cpanel, смогли получить обновление в автоматическом режиме без своего участия.