HabrDec 4

Уязвимости в WordPress и как их обнаружить: практическое руководство по WPScan

По последним данным статистики (данные W3Techs за 2025 год), в настоящий момент 43,1% сайтов в интернете работают на CMS Wordpress. Это самая массовая система управления содержимым. Этот факт автоматически делает эту CMS приоритетной целью для злоумышленников: широкое использование CMS дает возможности для массовых воспроизводимых атак при обнаружении любой уязвимости. По статистике Wordfence за 2024 год , количество обнаруженных уязвимостей в плагинах и темах выросло на 68% год к году . Причём Wordfence фиксирует, что значимая доля уязвимостей длительное время остаётся непропатченной — в том числе из-за заброшенных расширений, которые администраторы нередко продолжают держать активными. В практической жизни это выглядит очень просто: сегодня вы честно обновили ядро и главные плагины, а завтра выходит критический баг в каком-нибудь маленьком заброшенном модуле, модуль тихо продолжает работать, делая сайт уязвимым. Под катом мы поговорим о WPScan — инструменте, которому, на мой взгляд, уделено незаслуженно мало внимания на Хабре — всего две статьи за все время, да еще в трёх-четырёх этот инструмент упоминается вскользь. Помимо освещения практического использования самого сканера, мы разберём куда более фундаментальные вопросы: как обстоит вопрос с уязвимостями в WP и как вообще строить процесс управления уязвимостями.

https://habr.com/ru/companies/first/articles/973330/

#wordpress #wordpress_plugins #wordpress_security

Уязвимости в WordPress и как их обнаружить: практическое руководство по WPScan

По последним данным статистики (данные W3Techs за 2025 год), в настоящий момент 43,1% сайтов в интернете работают на CMS Wordpress. Это самая массовая система управления содержимым. Этот факт...

Хабр
RedPacket SecurityJul 16, 2024

WP Time Capsule Plugin Update Urged After Critical Security Flaw - https://www.redpacketsecurity.com/wp-time-capsule-plugin-update-urged-after-critical-security-flaw/

#threatintel #wordpress_security #wp_plugin #vulnerability_fix

WP Time Capsule Plugin Update Urged After Critical Security Flaw - RedPacket Security

Security researchers have found a new vulnerability in the Backup and Staging by WP Time Capsule plugin, affecting versions 1.22.20 and below.

RedPacket Security
RedPacket SecurityJul 4, 2024

WordPress Plugins at Risk From Polyfill Library Compromise - https://www.redpacketsecurity.com/wordpress-plugins-at-risk-from-polyfill-library-compromise/

#threatintel #wordpress_security #plugin_vulnerabilities #cyber_threats

WordPress Plugins at Risk From Polyfill Library Compromise - RedPacket Security

WordPress plugins are currently facing significant security risks due to a recent discovery detailed in a security advisory published by Patchstack today. 

RedPacket Security
RedPacket SecurityJun 4, 2024

XSS Vulnerabilities Found in WordPress Plugin Slider Revolution - https://www.redpacketsecurity.com/xss-vulnerabilities-found-in-wordpress-plugin-slider-revolution/

#threatintel #slider_revolution #wordpress_security #xss_vulnerability

XSS Vulnerabilities Found in WordPress Plugin Slider Revolution - RedPacket Security

A recent security audit of the Slider Revolution plugin has uncovered two significant vulnerabilities that could compromise the security of WordPress

RedPacket Security
Hans-Gerd GerhardsFeb 16, 2024
Bricks 1.9.6.1 behebt kritische RCE-Schwachstelle und betrifft alle Versionen von Bricks Builder vor Version 1.9.6.1:
https://wptavern.com/bricks-1-9-6-1-patches-critical-rce-vulnerability
#wordpress #bricks #security #wordpress_security
Bricks 1.9.6.1 Patches Critical RCE Vulnerability

The vulnerability impacts all versions of Bricks Builder before version 1.9.6.1. Identified as a Remote Code Execution (RCE) flaw, it poses a critical security risk, allowing attackers to potential…

WP Tavern
Vorlaser / SebJan 15, 2024
Habt ihr in den letzten Tagen von eurer #Wordpress Webseite die Meldung erhalten, dass jemand einen Passwort-Reset für den Admin-Account angefordert hat? Dann checkt das mal genauer. Es gab eine Sicherheitslücke im „POST SMTP“-Plugin, welche es Angreifern ermöglicht, die Kontrolle über die Seite zu erlangen. Bei uns waren neue Admin-User angelegt, was die Attacke sehr gut nachvollziehen ließ. #wordpress_security https://www.bleepingcomputer.com/news/security/over-150k-wordpress-sites-at-takeover-risk-via-vulnerable-plugin/
Over 150k WordPress sites at takeover risk via vulnerable plugin

Two vulnerabilities impacting the POST SMTP Mailer WordPress plugin, an email delivery tool used by 300,000 websites, could help attackers take complete control of a site authentication.

BleepingComputer
Vorlaser / SebJan 15, 2024
Unsere #Wordpress Webseiten haben alle einen neuen Admin-Benutzer wp_update-xxxxxxx (die x-e irgendeine Zeichenkombi) und ich finde im Netz tatsächlich nicht wirklich was dazu. Ideen…? #wordpress_security
RedPacket SecurityJan 10, 2024

Flaw in AI Plugin Exposes 50,000 WordPress Sites to Remote Attack - https://www.redpacketsecurity.com/flaw-in-ai-plugin-exposes-wordpress-sites-to-remote-attack/

#threatintel #WordPress_security #AI_Engine_plugin #Vulnerability_mitigation

Flaw in AI Plugin Exposes 50,000 WordPress Sites to Remote Attack - RedPacket Security

A critical vulnerability has been identified in the AI Engine plugin for WordPress, specifically affecting its free version with over 50,000 active

RedPacket Security