На этой неделе разработчики WordPress были вынуждены пойти на весьма редкий шаг: они принудительно обновили плагин Loginizer до версии 1.6.4 для всех пользователей.
Причиной такого решения стали две серьёзные уязвимости безопасности, выявленные в работе плагина. Одна из них открывала возможности для SQL-инъекций (внедрения SQL-кода), а вторая – для атак межсайтового скриптинга, в частности «хранимых» (Stored XSS).
Так как данные уязвимости несут серьёзную опасность, команда безопасности WordPress решила принудительно распространить Loginizer версии 1.6.4 на все сайты.
При это разработчики WP настоятельно рекомендуют всем пользователям Loginizer проверить актуальную версию плагина, и если он всё же не обновился, то обновить его вручную.
Отметим, что Loginizer – это популярный WP-плагин (более 1 млн установок), который используется для защиты сайтов от взлома.