חדשות וורדפרס

נוזקה בפלאגין גיבוי בסיס נתונים וורדפרס 06/13/19

אתר Sucuri מדווח על גילוי נוזקה בפלאגין WP Database Backup. הפלאגין מסייע לבעלי אתרי וורדפרס ליצור גיבוי של בסיס הנתונים של האתר ולשחזר אותו בקלות. הפלאגין מאפשר אחסון של בסיס הנתונים ב- Dropbox, כונן גוגל, אמזון S3. על פי אתר Sucuri, הפלאגין מותקן במעל 70,000 אתרי וורדפרס, כאשר הנוזקה שהתגלתה בפלאגין מאפשרת להאקרים להשתלט על […]




פרצת אבטחה בפלאגין Ultimate Member של וורדפרס 05/15/19

פלאגין Ultimate Member לאתרי וורדפרס הינו תוסף חברות באתר אשר מיועד עבור משתמשים חדשים המבקשים להירשם לאתר ולהיות חברים בו. התוסף מאפשר להוסיף פרופילים אטרקטיביים והוא טוב ליצירת קהילות מקוונות ואתרי חברות. Sucuri מדווחים כי גירסת 2.0.45 של פלאגין זה מהווה פרצת אבטחה חמורה המאפשרת קריאה ומחיקה של קובץ wp-config.php ובעקבות זאת להרס אתר הוורדפרס. […]




פרצת אבטחה בפלאגין תשלום בקופה ל – WooCommerce 05/5/19

פלאגין WooCommerce Checkout Manager לאתרי וורדפרס המפעילים את רכיב החנות המקוונת WooCommerce, מאפשר להתאים אישית ולנהל שדות בעמוד התשלום של החנות המקוונת. הפלאגין מאפשר לסדר מחדש, לשנות שמות, להסתיר שדות ולהוסיף שדות עבור תשלום, משלוח וסקציות נוספות של עמוד התשלום. אתר sucuri מדווח על מתקפת האקרים על הפלאגין, מתקפה אשר השפיעה על כ- 60,000 אתרי […]




פריצת אבטחה בפלאגין יצירת קשר 7DB של וורדפרס 04/14/19

אתר Sucuri מדווח על פרצת אבטחה חמורה בפלאגין וורדפרס Advanced Contact Form 7 DB. פרצת האבטחה שזוהתה מאפשרת הזרקת SQL, כאשר נכון לעכשיו הפלאגין מותקן במעל ל- 40,000 אתרי וורדפרס. פלאגין Advanced Contact Form 7 DB משמש להגשת תוכן לאתר וורדפרס על ידי שמירת המידע בבסיס הנתונים של האתר. משתמשים בעלי הרשאת מינימום של subscriber […]




מתקפות על פלאגינים סגורים של וורדפרס 04/14/19

צוות ניהול מאגר התוספים של וורדפרס יכול "לסגור" תוסף מסוים ולהגביל את ההורדה שלו במידה והוא מודע לבעיית אבטחה שמפתח התוסף אינו יכול לתקן או אינו יכול לתקן במהירות. עם זאת, האקרים מנטרים באופן פעיל את מאגר תוספי וורדפרס תוך שהם שמים לב במיוחד לפלאגינים סגורים על מנת ליצור התקפות על אותם פלאגינים ולנצל את […]




פרצת אבטחה בפלאגין Duplicate-Page של וורדפרס 04/7/19

אתר sucuri מדווח על פרצת אבטחה בפלאגין Duplicate-Page של וורדפרס – פלאגין המאפשר שכפול פוסטים ודפים באתר וורדפרס. פרצת האבטחה בפלאגין גורמת לסכנת הזרקת SQL. נכון להיום השפיעה פרצת אבטחה זו על למעלה מ- 800,000 אתרי וורדפרס ברחבי העולם. הסכנה בהזרקת SQL לאתר וורדפרס הינה באפשרות לגניבת מידע אודות משתמשי האתר (כולל פרטי גישה) ואף […]




פרצת אבטחה בפלאגין Social Warfare של וורדפרס 03/25/19

אתר Sucuri מדווח כי התגלתה פרצת אבטחה בתוסף וורדפרס בשם Social Warfare. פרצת אבטחה זו מאפשרת מתקפות XSS (פרצת אבטחה המאפשרת Scripting בין אתרים) ועד כה נראה כי הפרצה השפיעה על למעלה מ- 70,000 אתרי וורדפרס! חברת פיתוח הפלאגין פרסמה עדכון גירסה – מומלץ מאד למשתמשי וורדפרס העושים שימוש בפלאגין זה לעדכן מיידית את הפלאגין […]




תיקון פרצת אבטחה בפלאגין WP Fastest Cache 03/20/19

אתר Sucuri מדווח כי מפתחי תוסף WP-Fast-Cache לאתרי וורדפרס פרסמו עדכון  גרסה לפאגין אשר התגלה כחשוף לפרצת אבטחה חמורה לצד התקנת פלאגין WP-PostRatings. פלאגין WP-Fast-Cache יוצר קבצי HTML סטטיים מתוך הבלוג הדינאמי של אתר וורדפרס, על מנת לאפשר למשתמשים לצפות בתוכני האתר דרך דף HTML סטטי במקום להמתין ליצירת התכנים מתוך בסיס הנתונים והצגתם באמצעות […]




וורדפרס – עדכון גירסה 5.1.1 03/13/19

וורדפרס בגירסה 5.1.1 זמין כעת להורדה עבור קהילת וורדפרס. גירסת וורדפרס זו כוללת תיקוני אבטחה ותחזוקה וכמו כן, כוללת 10 תיקונים ושיפורים למערכת וורדפרס ושינויים אשר נועדו לסייע לאחסון אתרי וורדפרס תחת גירסת PHP 5.2. גירסת וורדפרס 5.1.1 מכילה גם תיקוני אבטחה אשר נועדו לטיפול בסינון תגובות ובאופן שמירתם בבסיס הנתונים של אתר וורדפרס (תגובה […]




ספאם באתרי וורדפרס דרך מפתח רישיון ערכת עיצוב 01/30/19

אתר Sucuri מדווח על פרצת אבטחה באתרי וורדפרס דרך מפתח רישיון. מפתח רישיון הינו מקום שבו מנהל אתר וורדפרס אינו מצפה למצוא פרצת אבטחה אשר תגרום לספאם ותציף אותו, אולם במקרה זה – זהו המצב. בעלי אתרי וורדפרס התלוננו על מספר כתובות דואר ספאם אשר הוזרקו לאתר הוורדפרס שלהם. לאחר חקירת הנושא התברר כי מדובר בנוזקה […]




נוזקות ומתקפות על וורדפרס בשנת 2018 01/16/19

אתר High-Tech Bridge מדווח כי במהלך שנת 2018 הותקפו ונפרצו עשות מיליוני אתרים מבוססי מערכות ניהול תוכן, ביניהן גם אתרי וורדפרס. למעשה, ניכר כי כ-46% מהפריצות לאתרים מבוססי CMS היו לאתרי וורדפרס, על אף עדכוני הגירסה ותיקון פרצות אבטחה. נסקור להלן מספר נוזקות וורדפרס קריטיות בשנת 2018: BabaYaga – תוכנה זדונית ממוקדת שהתגלתה על ידי […]




וורדפרס – עדכון גירסה 5.0.3 01/10/19

אתר וורדפרס העולמי מדווח כי שוחררה לקהילת וורדפרס גירסה 5.0.3 אשר מהווה עדכון תחזוקה הכולל 37 תיקוני באגים ו- 7 עדכוני תפעול ונראות. מוקד עדכון תחזוקה זה הינו כיוונון עורך הבלוקים החדש ותיקון באגים משמעותיים: תוקנו 15 באגים בעורך הבלוקים ואלו שולבו לתוך תבניות עיצוב וורדפרס. תוקנו 2 באגים הקשורים לרב לשוניות בעורך הבלוקים. משתמשי […]




וורדפרס – עדכון גירסה 5.0.1 12/13/18

וורדפרס בגירסה 5.0.1 מהווה עדכון אבטחה משמעותי. מומלץ לכל בעלי אתרי וורדפרס לעדכן לגירסה העדכנית. להלן חלק מהבאגים ופרצות האבטחה אשר תוקנו בגירסה 5.0.1 של וורדפרס: כותבים (Authors) יכלו לשנות נתוני מטה כדי למחוק קבצים אשר לא הייתה להם הרשאה למחוק. לכותבים (Authors) הייתה אפשרות ליצור סוגי פוסטים להם לא הייתה הרשאה וכן, להכניס בפוסטים […]




פרצת אבטחה ברכיב GDPR באתרי וורדפרס 11/11/18

אתר Sucuri מדווח על מספר הולך וגדל של אתרי וורדפרס אשר כתובת ה- URL שלהם השתנתה עקב פריצה לאתר דרך פלאגין ההגנה על הפרטיות – GDPR, בו קיימת פרצת אבטחה. פלאגין GDPR לאתרי וורדפרס הפך להיות פופולרי מאד עקב תקנות האיחוד האירופי להגנה על פרטיות משתמשי הרשת ובאתרי וורדפרס רבים הפלאגין מותקן ופעיל: נכון להיום […]




פרצת אבטחה בפלאגין Duplicator של וורדפרס 09/15/18

אתר Sucuri מדווח על עלייה במספר המקרים בהם האקרים משתלטים על אתרי וורדפרס ומשביתים אותם על ידי הסרה או כתיבה מחדש של קובץ wp-config.php. מקרים אלו קשורים לפלאגין Duplicator של וורדפרס אשר נותן למשתמשי וורדפרס את היכולת להעביר, להעתיק, או לשכפל אתר וורדפרס ממיקום אחד למשנהו וגם משמש כלי גיבוי פשוט. גירסאות הפלאגין עד 1.2.30 חשופות להפעלת קודים זדוניים […]




שדרוג בסיס נתונים וורדפרס – הודעת דוא"ל מזוייפת 09/4/18

אתר Sucuri מודיע כי לאחרונה נשלחות לבעלי אתרי וורדפרס הודעות דוא"ל המודיעות לבעלי האתר כי מסד הנתונים שלהם דורש עדכון. המראה הכללי של הדוא"ל דומה לזה של הודעות עדכון וורדפרס לגיטימיות, אך תוכן ההודעה כולל שגיאות הקלדה וכן, סגנון ההודעה מתאים להודעות ישנות. חשוד עוד יותר הוא השימוש בחותמת זמן בתבנית אירופאית, בייחוד למשתמשי וורדפרס המתגוררים […]




מתקפת הפניות דרך תבניות עיצוב וורדפרס 08/29/18

אתר sucuri מדווח על כך שחודש אוגוסט 2018 התאפיין במתקפה מאסיבית של הפניות זדוניות לאתרים בלתי רצויים, דרך תבניות העיצוב של tagDiv והפלאגינים המסחריים שלהם לאתרי וורדפרס. גולשים באתרי וורדפרס הנגועים אשר נותבו מחדש בעקבות הפריצה לאתרים, הגיעו לדפים בעלי כתובות .com אקראיות שכללו תמונת reCAPTCHA מזויפת. ההודעות והתוכן מנסים לשכנע מבקרים לאמת ולהירשם להודעות דפדפן […]




וורדפרס – עדכון גירסה 4.9.7 07/8/18

גירסת וורדפרס 4.9.7 זמינה כעת להורדה ושימוש חברי קהילת וורדפרס. גירסה זו כוללת עדכוני אבטחה ותחזוקה – מומלץ לעדכן את כל אתרי וורדפרס לגירסה העדכנית 4.9.7. יש לציין כי גירסת וורדפרס 4.9.6 עלולה להיות מושפעת מבעיית מדיה אשר עלולה לאפשר למשתמש בעל הרשאות מסוימות לנסות למחוק קבצים הממוקמים מחוץ לספריית ההעלאות. סך הכל תוקנו 17 […]




וורדפרס – משיבים מלחמה למתקפות על אתרים 06/4/18

פלטפורמת וורדפרס נוכחת בקרוב ל- 30% מרשת האינטרנט, חייבת להיות מאובטחת ויציבה. עם זאת, אין וורדפרס יכולה להבטיח 100% אבטחה, כאשר ידוע כי התקפות על אתרי וורדפרס עלולות לשבש את נראות ותפעול האתר. מסיבה זו, חייבים בעלי אתרי וורדפרס לעשות ככל האפשר על מנת להבטיח כי האקרים לא יוכלו, או לפחות יתקשו מאד לפרוץ את […]




מאגר ידע

הפעלת אימות דו שלבי באזור הלקוח

חדשות וורדפרס

פופ אפ בלתי רצויים בעקבות פלאגינים זדוניים 02/13/18

אתר Sucuri מדווח על הימצאותם של שני פלאגינים זדוניים בשם injectbody ו-injectscr המהווים נוזקה באתרי וורדפרס. פלאגינים אלו מזריקים סקריפטים מעורפלים הגורמים ליצירת חלונות קופצים לא רצויים – פופ אפ. בכל פעם שמשתמש באתר מקליק על מקום כלשהו בדף נגוע, הוא מקבל מודעות פופ אפ מפוקפקות. הפלאגינים הזדוניים מזריקים סקריפט מתוך inject.txt ומסתירים את הנוכחות שלהם […]




פרצת אבטחה ברכיב YITH WooCommerce 01/18/18

אתר Sucuri מדווח על סכנה להזרקת SQL המשפיעה על רכיב ה- Wishlist של מערכת המסחר   WooCommerce. תוסף וורדפרס YITH WooCommerce Wishlist מאפשר למבקרים ולקוחות פוטנציאליים לנהל רשימות משאלות המכילות מוצרים בחנות WooCommerce והוא מותקן  על כ- 500,000 אתרי וורדפרס. שימוש בתוסף Wishlist בחנות וורדפרס מעודד את המשתמשים לחזור ומאפשרת מעקב אחר מוצרים בהם הם מעוניינים עד […]




הזרקת JS בוורדפרס – תרמית תמיכה 12/29/17

אתר Sucuri מדווח על הזרקת JavaScript למסדי נתונים של וורדפרס באמצעות קמפיין אשר מנסה לנתב מחדש מבקרים אל דף תמיכה מזויף של Windows בטענה שהמחשבים שלהם נגועים ברוגלות ויהיו מושבתים, אלא אם כן ייווצר קשר עם מוקד התמיכה המזויף. גוגל וספקי אבטחה אינטרנטיים נוספים הוסיפו את דף התמיכה המזוייף לרשימה השחורה ורוב המבקרים באתרי וורדפרס נגועים יקבלו דף […]




פרצת אבטחה בפלאגינים של וורדפרס 11/25/17

אתר Sucuri מבצע בדיקות מקיפות אודות פרצות אבטחה במערכת ניהול תוכן מקוונות ולאחרונה דיווח על פרצת אבטחה באתרי וורדפרס אשר עושים שימוש בשני פלאגינים: Formidable Forms ו- Shortcodes Ultimate. פלאגין Shortcodes Ultimate הוא אוסף מקיף של אלמנטים ויזואליים ותפקודיים שונים, שבו ניתן להשתמש בעורך הודעות, יישומי טקסט ואפילו בקבצי תבנית העיצוב. באמצעות Shortcodes Ultimate אפשר בקלות ליצור כרטיסיות, […]




דגשים לאבטחת אתרי וורדפרס 11/5/17

נתונים סטטיסטיים מלמדים כי קרוב ל-30% מאתרי האינטרנט ברשת מנוהלים באמצעות מערכת וורדפרס. לפופולריות זו יש מחיר והוא בא לידי ביטוי לעיתים קרובות בהתמקדות של האקרים באתרי וורדפרס במטרה למנף אתרי וורדפרס לתועלתם. יש לציין כבר עתה, כי מטרת אבטחת אתרי וורדפרס הינה להפחית סיכונים אלו ולא במטרה לחסלם. הסיכון קיים תמיד ואבטחת אתרי וורדפרס […]




זיהוי סימני פריצה לאתר וורדפרס 10/10/17

פריצה לאתר וורדפרס היא אולי אירוע שחושבים שיכול לקרות לאחרים, אך זה יכול לקרות לכל אתר. הסימנים לפריצה לאתר וורדפרס לא תמיד גלויים וחשוב להכיר את הסימנים לכך שאתר הוורדפרס נפרץ, על מנת למנוע הצגת תוכן זדוני בפני המבקרים באתר. משמעות הפריצה לאתר וורדפרס המשמעות הטכנית של פריצה לאתר וורדפרס הינה כאשר גורם חיצוני משיג […]




פלאגין מזויף לאתרי וורדפרס 10/2/17

משתמשי וורדפרס נעשים מודעים יותר ויותר לאיומי אבטחה וכתוצאה מכך הם נוקטים פעולות רבות יותר לאבטחת אתרי האינטרנט שלהם, למשל על ידי התקנת יישומי פלאגין לאבטחה. אמנם זה דבר טוב, תמיד יימצאו האקרים אשר ינסו לנצל הזדמנויות חדשות כדי להשתלט על אתרי וורדפרס. אתר Sucuri מזהה מספר הולך וגדל של תוספי אבטחה מזויפים, כאשר בפועל […]




פרצת אבטחה בוורדפרס 4.8.1 09/27/17

על פי דיווח של אתר Sucuri, התגלתה פרצת אבטחה stored Cross-Site Scripting – XSS באתרי וורדפרס בגירסה 4.8.1. מבדיקה עולה כי על מנת שפרצת האבטחה תשמש גורם צד שלישי לפגיעה באתר וורדפרס, צריך לפעול באתר חשבון בעל הרשאות Contributor או כל חשבון וורדפרס עם תוסף bbPress, כל עוד יש לו יכולות פרסום באתר (פרסום פוסטים אנונימיים אינו מחייב […]




הזרקת SQL דרך פלאגין WP Statistics 07/2/17

סכנה חמורה להזרקת SQL דרך פלאגין WP Statistics של וורדפרס! המלצה לעדכן מיידית את הפאלגין בכל אתרי וורדפרס. פלאגין WP Statistics נועד לתת לבעלי אתר וורדפרס את האפשרות לצפות בסטטיסטיקות גולשים באתר. הפלאגין עוקב אחר תנועת הגולשים באתר ללא תלות בגורם חיצוני כמו Google Analytics ומספק לבעלי אתר וורדפרס מידע אודות: מבקרים אונליין, חיפושים במנועי חיפוש, כניסת […]




פלאגינים מסוכנים באתרי וורדפרס 06/30/17

אחד מסיכוני האבטחה אשר פחות שמים לב אליהם באתרי וורדפרס, הוא סיכון הנובע מאחד או מספר פלאגינים המותקנים ופועלים באתר. פלאגין וורדפרס המהווה סיכון אבטחה באתר, לרוב מגיע מאתר מפוקפק המספק פלאגינים לוורדפרס, או כתוצאה מהיעדר עדכון פלאגינים אשר הופכים למיושנים ואף הוסרו מרשימת הפלאגינים הרשמיים לוורדפרס עקב בעיות שהתגלו בהם. אחת הדוגמאות לפלאגין וורדפרס […]




חשש להפניות אוטומטיות דרך קבצי JS נגועים 04/6/17

אתר Sucuri עוקב מזה זמן מה אחר חשש לאפשרות חדירה לאתר וורדפרס דרך קבצי JavaScript נגועים. מבדיקתם עולה כי האקרים מזריקים קוד JavaScript זדוני כמעט לכל קובץ js שהם מוצאים. גירסאות קודמות של רוגלה זו פגעו רק בקבצי jquery.js אך כעת מסוגלת הרוגלה לפגוע גם בקבצים כגון js.php ו- .json. צוות הבדיקה עקב אחרי ההתקפות באמצעות access logs אשר הראו את תהליך […]




וורדפרס – עדכון אבטחה 4.7.2 02/9/17

מאתר וורדפרס העולמי wordpress.org/news נמסר כי גירסה 4.7.2 שוחררה והיא כעת זמינה להורדה. באתר ממליצים להתקין את עדכון האבטחה באופן מיידי מכיוון שגירסת וורדפרס 4.7.1 וקודמותיה עלולות לסבול מפרצות אבטחה כגון: הצגת הגדרות למשתמשים שאינם מורשים לראות אותן, סכנת הזרקת SQL ל- WP_Query, סכנת הזרקת סקריפטים לדפי קטגוריות פוסטים (XSS) וכן, סכנת אסקלציית הרשאות ב- REST API […]