Система управления контентом (CMS) WordPress используется на десятках, а возможно, и сотнях миллионов интернет-ресурсов, поэтому любые проблемы с ее безопасностью могут коснуться огромного количества пользователей. Как удалось выяснить специалистам по информационной безопасности компании Sucuri, за последние 5 лет при помощи уязвимостей и эксплойтов в плагинах и темах было взломано не менее миллиона сайтов на WordPress, причем это была целенаправленная кампания – ее решили назвать Balada Injector.
Сообщается, что при помощи скриптов на сайты загружаются бэкдоры для организации дальнейшего доступа, также в автоматическом режиме ищутся ценные данные, например, логины и хэши паролей. Всего за 2022 год было выявлено более 1400 уязвимостей плагинов и тем WordPress, и, хотя далеко не все они носят критический характер, эксперты отмечают, что сайты на основе данной CMS являются весьма привлекательными мишенями для групп киберпреступников, обладающих серьезными вычислительными мощностями, которые можно использовать для автоматического или полуавтоматического взлома. Чтобы защититься от подобных неприятностей, необходимо регулярно обновлять CMS, отключать устаревшие и неиспользуемые плагины и темы, а также предпринимать дополнительные меры безопасности.