Собственици на WordPress сайтове, внимавайте! Открита е сериозна дупка в сигурността на популярната тема "Alone – Charity Multipurpose Non-profit", която позволява на хакери напълно да поемат контрола върху засегнатите сайтове.
Какво точно се случва?
Уязвимостта, обозначена с код CVE-2025-5394, е оценена с изключително висок риск – 9.8 от 10 по скалата за сигурност (CVSS). Проблемът засяга всички версии на темата преди и включително версия 7.8.3. Производителите вече са пуснали обновление (версия 7.8.5) на 16 юни 2025 г., с което дупката е затворена.
Проблемът идва от функция, която позволява инсталиране на плъгини – alone_import_pack_install_plugin(). Поради липса на проверка за права на потребителя, всеки – дори неавторизиран – може да качи и стартира зловреден код в сайта ви чрез специално подготвена заявка (AJAX).
Какво означава това за вашия сайт?
С две думи – пълен контрол от страна на хакера. Те могат:
Според специалистите от Wordfence, първите атаки са започнали още на 12 юли, преди уязвимостта да стане публична, което означава, че хакерите следят внимателно за нови поправки в кода и се възползват от тях незабавно.
До момента Wordfence е блокирал над 120,000 опита за експлоатация на тази уязвимост.
Какво трябва да направите?
Ако използвате темата "Alone", незабавно:
Съвет: Дори да не използвате конкретната тема, винаги дръжте WordPress, темите и плъгините си актуални. Повечето атаки се случват чрез известни уязвимости, за които вече има поправки – просто трябва да ги приложите навреме.
