Top.Mail.Ru

Wordpress исправила уязвимость WPS Hide Login

 

Была обнаружена уязвимость в плагине безопасности WordPress WPS Hide Login. Она была немедленно исправлена, как только была найдена.

База данных уязвимостей WordPress описывает обновление следующим образом :

«Исправлена уязвимость в версии 1.5.4.2 и ниже, которая могла позволить злоумышленнику найти и получить доступ к секретной странице входа».

Что такое уязвимость WPS Hide Login?

WPS Hide Login — это плагин WordPress, который создает секретную страницу входа администратора. Это не позволяет хакерам атаковать страницу входа в систему администратора с помощью попытки подбора пароля, поскольку страница входа скрыта.

Уязвимость позволяет хакеру заставить плагин раскрывать URL-адрес скрытой страницы. Затем хакер может начать атаку.

Версии 1.5.4.2 и старше подвержены

Эта уязвимость влияет на плагин версии 1.5.4.2. Всем пользователям плагина настоятельно рекомендуется обновить их до версии 1.5.5.

Как была обнаружена уязвимость

Издатель брандмауэра веб-приложений NinTechNet обнаружил уязвимость 20 января 2020 года. Они сообщили об этой проблеме разработчикам из WPS Hide Login, которые в тот же день быстро решили эту проблему.

Изменения WPS Hide Login

Каждый плагин WordPress передает содержимое своих обновлений через формальный журнал, называемый журналом изменений. Веб-издатель может проверить журнал изменений на панели инструментов плагина WordPress и решить, важно ли обновление.

Некоторые администраторы могут отказаться от обновления, если это не связано с чем-то критическим.

В идеале, разработчики программного обеспечения должны сообщать, насколько важны обновления, как минимум.

Это обновление важно, потому что уязвимость ставит под угрозу способность WPS Hide Login сделать одну вещь: скрыть страницу входа администратора.

Разумно ли считать, что об этом следует сообщать в журнале изменений?

Вот скриншот журнала изменений для WPS Hide Login:

Wordpress исправила уязвимость WPS Hide Login, изображение №1
 

Как вы можете видеть на скриншоте, нет каких-либо намеков на важность обновления.

WPS Hide Login поступили ответственно

WPS Hide Login действовал ответственно, быстро исправляя свой плагин. Но было бы полезно, если бы они предприняли дополнительный шаг, чтобы сообщить о важности данного обновления, учитывая, что оно связано с уязвимостью безопасности.