← Всі перевірки
Критична критичністьПри виході оновлення
⚙️

WordPress і версії плагінів

Моніторинг версії ядра WordPress і всіх встановлених плагінів. Застарілі плагіни — найчастіша причина злому WordPress-сайтів.

01 Що це таке?

WordPress — найпопулярніша CMS у світі (43% всіх сайтів). Саме через цю популярність WordPress є найпопулярнішою ціллю для хакерів. Вони активно шукають сайти із застарілими версіями ядра і плагінів, де відомі вразливості ще не виправлені. Щомісяця виходять десятки оновлень безпеки для WordPress-плагінів. Час між публікацією вразливості і початком масових атак — іноді менше 24 годин.

02 Чому це важливо для бізнесу?

  • 97% зламів WordPress відбуваються через застарілі плагіни або теми — не через ядро
  • WPScan Database фіксує тисячі вразливостей плагінів щорічно
  • Час між публікацією CVE і масовою атакою скоротився до кількох годин у 2024 році
  • Деякі хостери автоматично оновлюють ядро WordPress, але не плагіни
  • Безкоштовні теми з themeforest або nulled-плагіни часто містять backdoor з коробки

03 Що саме перевіряємо

  • Версія ядра WordPress і порівняння з актуальною (через readme.html, generator meta або API)
  • Виявлення встановлених плагінів через URL-паттерни і їх версії
  • Порівняння з базою WPScan для відомих вразливостей
  • Наявність захисту адмін-панелі: /wp-admin без обмежень по IP — ризик brute-force
  • XML-RPC доступність — застарілий протокол, часто використовується для атак
  • Відкриття директорії /wp-content/uploads/ — може давати список файлів

04 Типові проблеми

Contact Form 7 або Elementor з вразливістю

Найпопулярніші плагіни є найчастішими цілями. Contact Form 7 мав критичну вразливість у грудні 2020 (Unrestricted File Upload). Сайти, де плагін не оновили, були зламані масово.

contact-form-7/5.3 → CVE-2020-35489 (File Upload без обмежень)

XML-RPC відкритий без необхідності

xmlrpc.php — застарілий протокол WordPress, який дозволяє масові brute-force атаки (можна перебирати 500 паролів одним запитом). 99% сайтів він не потрібен.

https://site.com/xmlrpc.php → 200 OK (має повертати 403/404)

05 Вплив на бізнес

Зламаний WordPress — це не просто "зіпсована сторінка". Зловмисники використовують його для розсилки спаму (сайт потрапляє в чорний список), фармінгу (SEO-спам у прихованих посиланнях), криптомайнінгу (навантаження на хостинг) і перенаправлення відвідувачів на фішинг. Google помічає заражені сайти і виключає їх з пошуку.

Хочете автоматичну перевірку цього параметра?

Rank Sentinel моніторить це і ще 20+ параметрів — щодня, без вашої участі.

🚀 Підключити моніторинг

5 000 грн/рік · Beta-ціна

Деталі перевірки

Критичність
Критична
Частота
При виході оновлення
Категорія
security

Схожі перевірки

🔒
SSL-сертифікат
Перевіряємо дійсність, рейтинг і термін дії SSL-сертифіката — щодня, із попередженням за 30 і 7 днів до закінчення.
🛡
HTTP Security Headers
Перевіряємо наявність і правильне налаштування заголовків безпеки HTTP, які захищають від XSS, clickjacking та інших атак.
📦
Вразливості JS-бібліотек
Знаходимо застарілі версії jQuery, Bootstrap та інших бібліотек з відомими CVE-вразливостями, які можуть бути проексплуатовані хакерами.