Если вы думаете, что WordPress - это просто блог про кошек и кексы, то давно пора проснуться. Сегодня это одна из самых популярных CMS в мире, и, как любой популярный сервис, она привлекает внимание не только фанатов, но и тех, кто хочет вломиться, похимичить с базой, поставить бэкдор и уйти с деньгами. Да, я не шучу. Ваш сайт может быть уже заражён, а вы об этом не подозреваете.

Иногда кажется, что хакеры сидят в подвале, пьют энергетики и ждут, пока вы установите плагин «Супер-форма 2000». Но реальность куда страшнее: они уже внутри. Они сканируют миллионы сайтов, ищут уязвимые версии плагинов, как будто ищут слабое звено в цепи. А вы - та самая цепь.

Так что давайте поговорим не про «как обновить», а про то, почему вы до сих пор этого не сделали. А также о том, откуда ознавать о проблемах безопасности.... будь то  агрегатор новостей информационной безопасности или профильный форум, база знаний антивируса или подписка от КиберСекурити! И почему «всё в порядке» - это худшее, что вы можете себе сказать.

Когда доверие к плагину становится фатальным: случай с Gravity Forms

Представьте: вы используете плагин, который доверяете. Он стабилен, документация - на высоте, поддержка отвечает быстро. Вы даже не думаете, что именно он может стать бомбой замедленного действия. Так было с Gravity Forms - одним из самых надёжных инструментов для создания форм.

И вдруг - бах. В июле 2025 года злоумышленники получили доступ к официальному сайту разработчиков. Да-да, не к вашему, а к их серверу. И внедрили вредоносный код прямо в дистрибутив. Это как если бы вы купили бутылку виски в магазине, а дома обнаружили, что пробка отравлена.

Те, кто обновлял плагин вручную или через Composer 9–10 июля, могли установить версии 2.9.11.1 или 2.9.12 - и получить в подарок зловред, который:

• блокировал дальнейшие обновления,
• скачивал дополнительные скрипты,
• создавал скрытые админ-аккаунты.

Представьте: вы заходите в админку, а там - ещё один администратор. С ником типа admin_12345. И вы понимаете: вас уже нет в этом сайте. Вы - гость.

Разработчики быстро выпустили патч (версия 2.9.13), но вопрос остаётся: сколько сайтов до сих пор работают на уязвимой версии? И сколько владельцев просто не проверили дату обновления?

Доверие к разработчику - это здорово. Но проверка обновлений - это обязанность.

Мораль: даже если плагин - от топовой команды, доверие не отменяет проверку. Особенно после обновления. Всегда проверяйте, откуда вы его скачали, и следите за официальными каналами разработчиков.

А ещё - включите уведомления о смене версий. Или хотя бы подпишитесь на RSS-ленту changelog’ов. Да, это скучно. Но скучно - это когда вы восстанавливаете сайт с нуля после взлома.

Когда тема превращается в бэкдор: уязвимость в Alone и Motors

Тема - это визуальная оболочка. Вы её выбрали за красивый дизайн, адаптивность, крутые анимации. Но за красивым фасадом может скрываться дыра размером с дверной проём.

Возьмём Alone - тему, которая использовалась на тысячах сайтов. Уязвимость CVE-2025-5394 позволяла загружать файлы без аутентификации. То есть любой, кто знал URL, мог залить на ваш сервер PHP-скрипт, который потом выполнится как код.

Это как если бы вы оставили ключ от квартиры под ковриком, а кто-то не просто вошёл, а построил в вашей гостиной бункер.

Злоумышленники использовали это для:

• загрузки веб-шеллов (удалённый доступ к серверу),
• установки бэкдоров с паролями,
• создания скрытых админов,
• и даже установки полноценных файловых менеджеров.

Представьте: кто-то сидит в вашей админке, листает файлы, копирует базу, меняет контент. А вы думаете, что «сайт просто тормозит».

Аналогичная история - с темой Motors. Уязвимость CVE-2025-4322 позволяла перехватывать процесс валидации пользователей. И снова - полный доступ к админке.

И самое обидное? Патч вышел ещё в мае. А атаки начались на следующий день после публикации уведомления. То есть хакеры следили за отчётами Wordfence и просто ждали.

Что делать с устаревшими темами?

Если вы используете премиум-тему, проверяйте, как часто она обновляется. Если последнее обновление - три года назад, это не «стабильность», это «заброшенность». И тема, которая не обновлялась - это не просто риск, это приглашение.

И да, не ставьте темы с «крякнутых» сайтов. Да, я знаю, что «лицензия дорогая». Но взломанный сайт - дороже. В разы.

Когда сайт становится частью ботнета: случай с Efimer

А теперь - сценарий, который пугает больше всего. Вы не установили уязвимый плагин. Вы не использовали кривую тему. Вы даже обновляетесь регулярно.

Но.

Кто-то заразил компьютер вашего сотрудника. Или вы сами кликнули по подозрительной ссылке. И на вашем компьютере запустился скрипт Efimer - вредонос, который, помимо кражи криптовалюты, ещё и сканирует интернет в поисках WordPress-сайтов.

Да, вы не ослышались. Зловред сам ищет сайты, пытается подобрать логин и пароль, используя стандартные комбинации вроде admin:admin, admin:password, admin:123456.

Если пароль угадан - он отправляет данные на C&C-сервер. И ваш сайт становится частью ботнета.

Это как если бы у вас был дом с хорошим замком, но вы оставили окно нараспашку. А хакер просто подошёл, открыл его и поселился.

Что делать уже сегодня

Вот простые шаги, которые спасут ваш сайт:

1. Включите двухфакторную аутентификацию (2FA). Это не «модно», это необходимо.
2. Используйте уникальные, сложные пароли. Не qwerty123, а что-то вроде G7#kP9mQ2@xL.
3. Не используйте логин admin. Назовите его как угодно, только не так.
4. Ограничьте количество попыток входа. Есть плагины, которые блокируют IP после 5 неудачных попыток.

И да, регулярно проверяйте список пользователей. Если увидите кого-то подозрительного - удалите и смените все пароли.

Когда утечка данных - это не про хакеров, а про небрежность: GiveWP и Post SMTP

А теперь - уязвимости, которые не требуют взлома. Они работают на вашей доверчивости.

GiveWP - плагин для сбора пожертвований. Всё хорошо, пока вы не узнаете, что имена и email’ы донатеров были доступны в исходном коде страницы. Без пароля. Без авторизации. Просто открыл DevTools - и вот они, 30 тысяч человек.

Это не взлом. Это ошибка проектирования. Данные просто забыли скрыть.

А теперь представьте: вы - благотворительная организация. И вдруг выясняется, что все ваши донатеры получили спам. Или хуже - их данные попали в даркнет.

Post SMTP - другая история. Уязвимость CVE-2025-24000 позволяла пользователю с минимальными правами читать логи писем. Включая письма со ссылками на сброс пароля администратора.

То есть:

1. Злоумышленник - обычный автор.
2. Он инициирует сброс пароля админа.
3. Письмо уходит в лог.
4. Он его читает.
5. Он переходит по ссылке.
6. Он - админ.

Всё.

Обновления - это не «рекомендация». Это обязанность. Если вы не обновили плагин - вы не просто ленивы. Вы рискуете.

Статистика по уязвимым версиям Post SMTP

При этом в сети уже можно найти доказательство работоспособности (PoC) эксплойта для CVE-2025-24000, позволяющего захватить учётную запись администратора на уязвимом сайте.

Как не стать жертвой: практические шаги, а не теория

Давайте закончим не словами, а делом. Вот что вы можете сделать сегодня:

• Проверьте все плагины и темы. Зайдите в админку → Обновления. Если есть красные значки - обновляйтесь. СЕЙЧАС.
• Удалите всё ненужное. Если плагин не используется - удалите. Каждый неактивный плагин - это потенциальная дыра.
• Включите 2FA. Используйте Google Authenticator или Authy.
• Смените логин admin. Назовите его хоть super_pupkin, но не admin.
• Поставьте плагин для мониторинга. Например, Wordfence или Sucuri. Они покажут подозрительные входы, изменения файлов, новые пользователи.
• Регулярно делайте бэкапы. Не «когда-нибудь», а по расписанию. И храните их вне сервера.

И да, если вы не уверены в своих силах - наймите специалиста. Это не стыдно. Это умно.

Ваш сайт - Ваши деньги- ваша ответственность!

Он - ваш бизнес. Ваша репутация. Ваши данные.

И если вы думаете, что «меня не взломают», просто потому что «у меня нет ничего ценного» - вы ошибаетесь.

Для хакера ваш сервер - это уже ценность. Он может использовать его для спама, майнинга, хостинга вредоносов.

Так что не ждите, пока что-то сломается.

Обновитесь. Проверьтесь. Закройтесь.

В мире кибербезопасности надежда - это не стратегия. А лень - это приговор.