31.07.2025
1 хв
493
Тисячі WordPress-сайтів по всьому світу перебувають під загрозою — кіберзлочинці активно використовують критичну вразливість у популярній темі Alone, яка дозволяє виконання довільного коду (RCE) без авторизації. Уразливість отримала код CVE-2025-5394, і вже зафіксовано понад 120 000 атак.
Компанія Wordfence, що спеціалізується на безпеці WordPress, повідомила про активні атаки, які почалися ще до офіційного оголошення про проблему. Це свідчить про моніторинг змін у коді теми зловмисниками, які оперативно шукають нові шляхи для злому.
Уразливість знаходиться у функції alone_import_pack_install_plugin() — вона не перевіряє nonce та доступна публічно через AJAX. Це дає змогу неавторизованим користувачам встановлювати плагіни з віддалених джерел, у тому числі вебшелли та бекдори.
Ось що зловмисники можуть робити через цю шпарину:
завантажувати зашифровані бекдори у вигляді ZIP-архівів;
створювати прихованих адміністраторів;
розгортати повнофункціональні файлові менеджери для доступу до бази даних;
запускати команди через HTTP і повністю захоплювати сайт.
Ознаки злому:
поява нових адмін-акаунтів;
незрозумілі папки з ZIP-файлами або плагінами;
підозрілі запити на admin-ajax.php?action=alone_import_pack_install_plugin.
Тема Alone — це платна розробка Bearsthemes, яку придбали майже 10 000 користувачів на маркетплейсі Envato. Її використовують здебільшого благодійні організації, НКО та фандрейзингові проєкти. Незважаючи на повідомлення від Wordfence ще 30 травня, розробник не відповідав, тому звіт було передано команді Envato.
Рекомендовані дії:
Оновити тему до v7.8.5;
Блокувати IP-адреси: 193.84.71.244, 87.120.92.24, 146.19.213.18, 2a0b:4141:820:752::2;
Перевірити наявність невідомих користувачів та підозрілих файлів.
Ця ситуація — ще один доказ, що затримки в оновленнях можуть призводити до масштабних зламів. Якщо ви або ваші клієнти використовують тему Alone, оновлення є критично важливим, а також варто провести аудит безпеки всього сайту.
