WordPress тайком ликвидировал опасную уязвимость

Разработчики самой популярной системы управления контентом WordPress объявили о ликвидации опаснейшей уязвимости нулевого дня на своей платформе. Точнее говоря, сама уязвимость была ликвидирована еще неделю назад, однако команда WordPress предпочла не спешить с публичным заявлением. Как подчеркнул один из ведущих разработчиков WordPress Аарон Кэмпбелл, «мы всегда придерживаемся строгих принципов: проблемы безопасности должны быть известны широкой публике. Но в данном случае мы предпочли умышленно отложить сообщение на неделю, чтобы защитить миллионы сайтов на WordPress».

Уязвимость была обнаружена исследователями компании Sucuri и потенциально позволяла неавторизованным пользователям дистанционно изменять контент веб-страниц, созданных с помощью WordPress. На протяжении недели до публичного объявления о ликвидации представители WordPress в частном порядке связывались с ведущими хостингами и сетями доставки контента, чтобы уведомить их об опасности и попросить принять необходимые меры безопасности. Практика сокрытия информации о найденных уязвимостях в принципе не поощряется специалистами по киберзащите. Но в данном случае, учитывая высокую опасность уязвимости, они расценивают действия WordPress как вполне справедливые и оправданные.