Критическая уязвимость в теме Motors для WordPress активно эксплуатируется: более 22 000 сайтов под угрозой взлома

Компания Wordfence, специализирующаяся на безопасности WordPress, предупредила о массовой эксплуатации критической уязвимости в популярной теме Motors. Эта тема, насчитывающая свыше 22 000 активных установок, позволяет злоумышленникам изменять пароли любых пользователей, включая администраторов, что приводит к полному захвату сайта. Уязвимость, получившая идентификатор CVE-2025-4322 и оценку 9.8 по шкале CVSS (критический уровень опасности), была обнаружена 2 мая 2025 года, а уже 20 мая начались первые атаки. К 7 июня эксплуатация уязвимости приобрела массовый характер - на текущий момент Wordfence Firewall заблокировал более 23 100 попыток взлома.

Описание

Технические детали уязвимости

Проблема кроется в механизме восстановления пароля, реализованном в теме Motors версий до 5.6.68. Атакующий может изменить пароль любого пользователя, включая администратора, не проходя проверку подлинности. Для успешной эксплуатации злоумышленнику необходимо знать URL страницы, на которой размещён виджет «Login Register», а также передать в параметре hash_check последовательность недопустимых UTF-8 символов (например, %80, %C0 или %25C0). Это приводит к ошибке в проверке хеша, позволяя обойти защиту и установить новый пароль.

Примеры атакующих запросов показывают, что злоумышленники активно перебирают распространённые пути, такие как /reset-password, /account, /signin и другие. В каждом случае в параметре hash_check передаются различные некорректные символы, а в теле запроса указывается новый пароль, который атакующий пытается установить.

Статистика атак и активность злоумышленников

Согласно данным Wordfence, пик атак пришёлся на 7, 9 и 17 июня. Эксперты по кибербезопасности рекомендуют не только обновлять ПО, но и проводить аудит пользовательских аккаунтов на предмет подозрительной активности. Если административный доступ был перехвачен, злоумышленник мог установить бэкдоры, добавить вредоносный код или похитить конфиденциальные данные.

Выводы и дополнительные меры безопасности

Данный инцидент в очередной раз демонстрирует, насколько важна своевременная установка обновлений. Уязвимости в темах и плагинах WordPress остаются одной из главных причин взломов, а их эксплуатация часто начинается в течение нескольких дней после публикации информации о проблеме.

Владельцам сайтов стоит рассмотреть следующие дополнительные меры:

Включение двухфакторной аутентификации для всех учётных записей администраторов.
Регулярное сканирование сайта на наличие подозрительных файлов и изменений.
Ограничение доступа к административным разделам по IP-адресу.
Мониторинг активности пользователей, особенно привилегированных.

Текущая ситуация с темой Motors - серьёзный сигнал для всего сообщества WordPress. Даже популярные коммерческие продукты могут содержать опасные уязвимости, а скорость реакции злоумышленников делает своевременные обновления критически важными для безопасности любого сайта.