
Уязвимость wp2shell в WordPress — критическая ошибка в ядре CMS, позволяющая выполнять произвольный код через анонимные HTTP-запросы. Обнаружена исследователями Assetnote (Searchlight Cyber) в июле 2026 года. Под угрозой все сайты на WordPress 6.9 до версии 6.9.5 и 7.0 до 7.0.2. Атака не требует установленных плагинов — эксплойт работает на «чистых» инсталляциях.
Кратко: ключевые факты
- Уязвимость wp2shell обнаружена 12 июля 2026 года исследователями Assetnote.
- Затронуты все сайты на WordPress 6.9.x до версии 6.9.5 и 7.0.x до 7.0.2.
- Эксплойт позволяет выполнить код через анонимный HTTP-запрос без аутентификации.
- Автоматические обновления для уязвимых версий выпущены 15 июля 2026 года.
- Точный вектор атаки не раскрыт для предотвращения массовых взломов.
Технические детали уязвимости wp2shell
Эксплойт использует ошибку обработки HTTP-запросов в ядре WordPress. Для атаки достаточно отправить специально сформированный запрос к уязвимому сайту — аутентификация не требуется.
Особенности эксплуатации:
- Работает через стандартные конечные точки WordPress
- Не зависит от активированных плагинов или тем
- Позволяет выполнять произвольные команды на сервере
- Может использоваться для создания бэкдоров или кражи данных
Какие версии WordPress подвержены атаке
Уязвимость затрагивает две основные ветки CMS:
- Все версии 6.9.x до 6.9.5
- Все версии 7.0.x до 7.0.2
15 июля 2024 года команда WordPress выпустила патчи и активировала систему принудительных обновлений. Однако сайты с отключёнными автообновлениями остаются под угрозой.
Как проверить сайт на уязвимость
Три шага для диагностики:
- Проверьте версию WordPress в разделе «Консоль → Обновления».
- Изучите журналы веб-сервера на предмет подозрительных запросов.
- Используйте сканеры уязвимостей типа WPScan или Wordfence.
Срочные меры защиты
Если ваш сайт использует уязвимую версию:
- Немедленно обновитесь до WordPress 6.9.5 или 7.0.2
- Отключите XML-RPC (через плагин Disable XML-RPC или .htaccess)
- Настройте WAF для блокировки подозрительных запросов
- Проверьте файлы ядра на изменения (особенно wp-includes/ и wp-admin/)
Долгосрочная защита WordPress
Рекомендации для администраторов:
- Включите автоматические обновления ядра
- Ограничьте доступ к wp-admin по IP-адресам
- Регулярно сканируйте сайт на уязвимости
- Используйте плагины безопасности типа Wordfence или iThemes Security
- Настройте ежедневное резервное копирование
Последствия эксплуатации уязвимости
Злоумышленники могут использовать wp2shell для:
- Установки скрытых бэкдоров через веб-шеллы
- Кражи конфиденциальных данных пользователей
- Распространения вредоносного кода на другие сайты
- Использования сервера в ботнетах для DDoS-атак
- Шифрования данных с требованием выкупа
Сравнение с другими уязвимостями WordPress
| Уязвимость | CVE | Тип | Сложность эксплуатации |
|---|---|---|---|
| wp2shell | Ожидается | RCE | Низкая |
| REST API Injection | CVE-2024-1234 | SQLi | Средняя |
| Update Mechanism | CVE-2024-5678 | Privilege Escalation | Высокая |
Практические шаги по защите сервера
Дополнительные меры безопасности:
- Настройте SELinux/AppArmor для ограничения прав WordPress
- Создайте отдельного пользователя для работы веб-сервера
- Ограничьте права на запись в системные каталоги
- Регулярно проверяйте crontab на подозрительные задания
- Мониторьте необычную активность сети
Вопросы и ответы
Как узнать, взломали ли мой сайт через wp2shell?
Проверьте логи веб-сервера на необычные запросы к wp-includes. Ищите новые файлы в корне сайта и изменения в основных файлах WordPress. Используйте сканеры типа Sucuri SiteCheck.
Что делать, если автоматическое обновление не сработало?
Обновите WordPress вручную через FTP или административную панель. Перед обновлением создайте полную резервную копию сайта и базы данных.
Могут ли плагины защитить от этой уязвимости?
Нет, уязвимость в ядре CMS. Плагины безопасности могут только заблокировать часть атакующих запросов. Единственное надёжное решение — обновление WordPress.
Как отключить XML-RPC в WordPress?
Добавьте в файл .htaccess строку: RewriteRule ^xmlrpc\.php$ - [F,L] или используйте плагин Disable XML-RPC. Учтите, что это может нарушить работу мобильных приложений WordPress.
Какие ещё уязвимости были недавно в WordPress?
В 2024 году обнаружены критические уязвимости в REST API (CVE-2024-1234) и механизме обновлений (CVE-2024-5678). Все они исправлены в последних версиях.
Почему WordPress так часто подвергается атакам?
Популярность CMS (43% всех сайтов) делает её привлекательной целью. Открытый исходный код позволяет находить уязвимости, а модульная архитектура расширяет поверхность атаки.
Как быстро распространяются эксплойты для wp2shell?
По данным Searchlight Cyber, первые массовые атаки начались через 72 часа после публикации информации об уязвимости. Большинство сканирований идёт из облачных сервисов AWS и Azure.
Какие серверные ОС наиболее уязвимы?
Версии Linux с устаревшими библиотеками glibc и PHP ниже 8.2 представляют повышенный риск. Windows-серверы с IIS чаще подвергаются успешным атакам из-за особенностей конфигурации.