Новости кибербезопасности за неделю с 9 по 15 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе Дуров дал второе интервью Такеру Карлсону, ChatGPT взломал SecureBoot, Linux Foundation переизобрели дистрибьюцию плагинов для WordPress и другие только самые важные и интересные новости из мира информационной...
Новости кибербезопасности за неделю с 26 мая по 1 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про: раскрытие секретной сети ЦРУ; как с помощью ИИ нашли 0-day в ядре linux; ценовое исследование darkweb; про тюремные сроки для дропперов и другие только самые важные и интересные новости этой...
Как я убил свой сайт: детективный триллер про жадность, nulled-плагин и падение с 9000 до 100
Когда-то у меня был сайт. Не стартап, не интернет-магазин, не проект с инвесторами. Просто блог. Мой личный уголок под названием setiwik.ru — такая цифровая записная книжка, чтобы не забыть важное. Типичный склерозник, где я писал статьи по IT, переводил интересные материалы, собирал мысли в кучу....
[Перевод] 5 способов взломать цели на WordPress
На сегодняшний день более полумиллиарда сайтов работают на WordPress. К сожалению, не каждому уделяется должное внимание с точки зрения безопасности. Вероятность наткнуться на сайт с уязвимым WordPress довольно высока. WordPress часто используется как платформа для блогов или документации, а...
В тренде VM: под угрозой продукты Microsoft, сайты на WordPress и веб-приложения на Apache Struts
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных...
Remote Code Execution в Widget Options (WordPress Plugin) — CVE-2024-8672
28 ноября 2024 года в плагине Widget Options для WordPress, который установлен более чем на 100,000 сайтах, была выявлена критическая уязвимость с CVSS 9.9. Уязвимость позволяет выполнять удалённое исполнение вредоносного кода. Рассмотрим процесс установки уязвимой версии плагина, а также пример...
Remote Code Execution в Wordpress-плагине WP Umbrella (CVE-2024-12209)
В популярном плагине WordPress — WP Umbrella, установленном более чем на 30 000 сайтов, была обнаружена критическая уязвимость. Этот недостаток, получивший идентификатор CVE-2024-12209, может позволить неавторизованным злоумышленникам полностью захватить контроль над уязвимыми сайтами. Уязвимость...
90 дней тестировали BitNinja — коробочное решение для защиты сервера и сайта. Рассказываем кто, откуда и что атакует
BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна. Когда мы только начали предоставлять BitNinja, появилась...
Самые опасные уязвимости сентября: под угрозой Microsoft, VMware, Veeam и другие
ТренХабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов,...
Топ опасных уязвимости августа: под угрозой Microsoft Windows и сайты на WordPress
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов и публичных...
Использование ModSecurity в Nginx — практика защиты проекта на WordPress
ModSecurity, одно из наиболее популярных веб-приложений файрволов (WAF) в мире, помогает предотвращать различные виды атак на веб-приложения, включая SQL-инъекции, кросс-сайтовый скриптинг (XSS), фальсификацию межсайтовых запросов (CSRF) и другие угрозы. Инструмент работает как модуль для таких...
Как выбрать плагин для защиты сайта, если вы начинающий веб-мастер
К сожалению, часто владельцы сайтов задумываются о безопасности, только когда атака уже случилась. Чтобы не пришлось разбираться с последствиями взломов, лучше сразу установить плагин, который обеспечит комплексную защиту сайта от распространённых угроз. Меня зовут Алексей Солдатов, я руковожу...
Как усилить безопасность Linux Debian с ispmanager для сайта на Wordpress
Это первая статья из цикла, в котором расскажем о практических способах обеспечить безопасность сервера. В качестве примера — операционная система Linux Debian с панелью управления ispmanager 6 и сайт на Wordpress. В этой статье опишу: ▪️ Безопасность в процессе установки Debian ▪️ Защита...
LayerSlider WordPress CVE-2024-2879
WordPress - самый популярный CMS для создания сайтов. Поэтому появление уязвимостей в различных плагинах затрагивает множество пользователей по всему миру. Усугубляет общую картину и тот факт, что во многих плагинах отсутствует автоматическое обновление версий. Не исключением стал и плагин...
Прессуем WordPress
Аккумулируем базовые знания, методы атак и нюансы самой популярной open-source CMS в рамках одного доклада. 9 декабря 2022 года я выступил на митапе «Клуба неанонимных багхантеров» от BI.ZONE. Там я рассказал об экосистеме WordPress: затронул структуру этой CMS, перечислил ее сильные и слабые...
От DoS до RCE: о неуловимом векторе атак
Привет читателям блога компании DeteAct! Меня зовут Омар Ганиев, многие меня знают по нику «Beched». (D)DoS -- это не только "тупая" атака, которая отключает сайты, но и инструмент для проведения куда более хитроумных взломов, про которые я расскажу. Узнать!...
TWAPT — пентестим по-белому в домашних условиях
"Чтобы поймать преступника, нужно мыслить как преступник". В эпоху Интернета киберпреступников можно назвать неуловимыми злодеями, которым для совершения преступлений не требуется показывать своего лица, и даже не обязательно находиться в одной стране с жертвой атаки, а все их действия могут...
Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости
Некоторое время назад возникло желание реинкарнировать свой Wordpress-блог. Параллельно возникло желание упорядочить и систематизировать накопленные знания для сдачи экзамена ECSA. Все это привело меня к развертыванию блога на отдельно стоящем сервере. Через некоторый промежуток времени ожидаемо...
Назад