В последние месяцы ресурсы о кибербезопасности регулярно обращают внимание на систему WordPress. Основной причиной стали пробелы в защите многочисленных дополнений и шаблонов для этой платформы. Отдельного упоминания заслуживает случай, когда злоумышленники использовали ненадежные сайты на WordPress для распространения вредоносных программ. Такая ситуация закономерна — эта CMS сохраняет лидирующие позиции по популярности. Однако частота выявления уязвимостей в её экосистеме и связанных с ней атак указывает на пристальный интерес как экспертов по защите данных, так и киберпреступников.
Случаи компрометации WordPress-ресурсов
Только за текущий летний период было зафиксировано несколько заметных атак с использованием уязвимостей в компонентах WordPress.
Плагин Gravity Forms: взлом сайта и внедрение вредоноса
В первых числах июля злоумышленники проникли на официальный ресурс популярного дополнения для создания форм Gravity Forms и модифицировали файлы версий 2.9.11.1 и 2.9.12. Сайты, где эти версии были установлены вручную или через пакетный менеджер Composer в период 9–10 июля, подверглись заражению.
Внедренный код блокировал обновления, загружал дополнительные вредоносные модули и создавал админ-аккаунты. Это позволяло злоумышленникам полностью контролировать ресурс для проведения своих операций.
Разработчики Gravity Forms советуют проверить наличие уязвимых версий, руководствуясь инструкцией на их сайте. Там же опубликованы шаги по нейтрализации угрозы и рекомендация обновить плагин до версии 2.9.13.
Шаблон Alone: эксплуатация уязвимости CVE-2025-5394
В июле эксперты обнаружили массовые атаки с использованием критической уязвимости в теме Alone (все версии до 7.8.3). Ошибка в проверке загружаемых файлов позволяла выполнять произвольные команды на сервере (RCE) без прохождения аутентификации.
Примечательно, что атаки начались до официального анонса уязвимости. По данным Wordfence, к 12 июня было зарегистрировано свыше 120 000 попыток эксплуатации. Злоумышленники загружали веб-шеллы, устанавливали бэкдоры и скрытые администраторские профили. В отдельных случаях внедрялись файловые менеджеры для полного контроля над данными сайта.
Авторы темы выпустили патч в версии 7.8.5. Пользователям настоятельно рекомендуется установить обновление и ознакомиться с рекомендациями Wordfence.
Тема Motors: атаки через CVE-2025-4322
В июне хакеры атаковали сайты, используя уязвимость в премиум-шаблоне Motors (версии до 5.6.67). Проблема в проверке учетных данных позволяла захватывать администраторские аккаунты.
Разработчики выпустили исправление 14 мая 2025 года, а эксперты Wordfence предупредили о рисках 19 мая. Однако атаки стартовали уже 20 мая, а к 7 июня зафиксировали 23 100 попыток эксплуатации. При успешном взломе злоумышленники получали права суперпользователя, создавали новые учетные записи и изменяли существующие пароли.
Вредонос Efimer: заражение через WordPress-сайты
В августе исследователи обнаружили скрипт Efimer, предназначенный для кражи криптовалюты. Помимо распространения через email и торренты, заражение происходило через скомпрометированные WordPress-ресурсы.
Анализ показал, что Efimer содержал функционал для подбора паролей к админ-панелям WordPress. При активации скрипт автоматически пытался взломать учетные записи, используя стандартные комбинации, а успешные результаты передавал на серверы злоумышленников.
Другие выявленные угрозы
Помимо активных атак, эксперты обнаружили несколько потенциально опасных уязвимостей, которые пока не использовались злоумышленниками, но требуют внимания.
GiveWP: утечка данных доноров
В конце июля команда Pi-hole обнаружила проблему в плагине для сбора пожертвований GiveWP. Расширение неограниченно предоставляло доступ к информации о жертвователях (имена, email) без проверки прав доступа.
Разработчики оперативно выпустили исправление в версии 4.6.1. Сервис Have I Been Pwned оценил количество пострадавших в 30 000 человек. Владельцам сайтов рекомендуется обновить плагин.
Post SMTP: CVE-2025-24000 для захвата аккаунта
В дополнении для отправки почты Post SMTP (версии до 3.2.0) нашли уязвимость, позволяющую пользователям с минимальными правами просматривать письма администрации. Это открывало возможность перехвата ссылок для сброса пароля и захвата учётной записи.
Несмотря на выпуск фикса в версии 3.3.0 (11 июня), на момент публикации отчёта лишь 51,2% пользователей обновили плагин. Около 23,4% до сих пор используют ветку 2.x с другими известными проблемами. В сети уже появились доказательства работоспособности эксплойта.
Рекомендации по защите
Полный отказ от плагинов и тем невозможен, но снизить риски можно следующими мерами:
- Сократите число используемых расширений и шаблонов — оценивайте реальную необходимость каждого компонента.
- Проводите предварительное тестирование плагинов в изолированной среде и проверяйте их код.
- Выбирайте популярные решения с активной поддержкой — шансы оперативного исправления выше.
- Избегайте заброшенных проектов, где уязвимости могут остаться неисправленными.
- Мониторьте подозрительную активность: несанкционированные учётные записи админов, внезапные смены паролей.
- Усильте политику безопасности: сложные пароли, обязательная двухфакторная аутентификация.
- Имейте план реагирования на инциденты. При признаках взлома оперативно восстанавливайте контроль или привлекайте специалистов.