WordPress saytlarini xavf ostiga qo‘ygan jiddiy zaiflik aniqlandi!

Kiberxavfsizlik bo‘yicha tadqiqotchilar tomonidan WordPress tizimi uchun mashhur bo‘lgan “InstaWP Connect” plaginida juda xavfli zaiflik aniqlangan. Bu xato minglab veb-saytlarni masofadan boshqariladigan hujumlarga ochiq qoldirishi mumkin.

Wordfence kompaniyasi mutaxassislari tomonidan aniqlangan ushbu zaiflik (CVE-2025-2636) orqali xakerlar saytga foydalanuvchi sifatida autentifikatsiyasiz kirib o‘z kodlarini serverda ishlatish imkonini beradi.

Mazkur zaiflik xavflilik darajasi bo‘yicha yuqori ko‘rsatkich – 9.8 ball (CVSS) bilan baholangan.

Zaiflik “InstaWP Connect” plaginining 0.1.0.85 va undan oldingi barcha versiyalarida mavjud.

Zaiflikning mohiyati Local File Inclusion (LFI) deb ataluvchi hujum uslubiga asoslangan bo‘lib, unda plagin foydalanuvchidan olingan ma’lumotlarni etarlicha tekshirmasdan to‘g‘ridan-to‘g‘ri PHP funksiyalariga uzatadi.

Muammo aynan instawp-database-manager parametri orqali yuzaga chiqadi. Bu orqali xaker oddiy HTTP so‘rovi yuborish orqali serverdagi istalgan faylni chaqirish va ishga tushirish imkoniyatiga ega bo‘ladi.

Veb-sayt egalariga tavsiyalar

  1. “InstaWP Connect” plaginidan foydalanayotgan barcha foydalanuvchilar darhol plagin versiyasini 0.1.0.86 yoki undan yuqori versiyaga yangilashlari zarur.
  2. Yangilash imkoniyati bo‘lmasa, plagin vaqtincha o‘chirib qo‘yilishi tavsiya etiladi.
  3. Qo‘shimcha himoya sifatida Web Application Firewall (WAF) dan foydalanish tavsiya qilinadi.
  4. Saytingizdagi barcha plagin va modullarni muntazam yangilab boring.

Ushbu zaiflik WordPress tizimidan foydalanayotgan saytlar uchun juda xavfli hisoblanadi. Eng xavflisi shundaki, xakerlar hujumni autentifikatsiyasiz, oddiygina masofadan turib amalga oshirishi mumkin.

Agar sayt egasi plaginlarni vaqtida yangilamasa yoki xavfsizlik choralarini ko‘rmasa, bu butun sayt boshqaruvini xakerlar qo‘liga o‘tib ketishiga olib kelishi mumkin.

Shunday ekan, WordPress foydalanuvchilari doimo ogoh bo‘lishi, plagin va modullarni yangilab borishi, shuningdek, sayt xavfsizligini kuchaytirishga e’tibor berishlari kerak!