در هفته گذشته به بیش از ۲۰۰هزار وبسایت وردپرس اطلاع داده شد که به دلیل وجود یک اشکال در افزونه ای هکرها را قادر می سازد به سرعت وبسایت هایی که افزونه را نصب کردند مورد حمله قرار گیرند.
افزونه Code Snippet
افزونه مورد نظر Code Snippet یک افزونه وردپرس بود که قطعات کد PHP را بعد پاکیزسازی اجرا می کند. این بدان معنی است که شما به عنوان توسعه دهنده سایت ، دیگر نیازی به ایجاد قطعه های سفارشی برای عملکردهای پرونده وب سایت ندارید.php با استفاده از این مینی پلاگین ، عملکرد وبسایت وردپرس شما بهتر می شود زیرا بار کمتری در وب سایت شما وجود دارد. Code Snippets فایلهای php شما را فشرده و مرتب نگه می دارد و آنها را به طور موثرتر در سایت شما اجرا می کند.
با این حال مشکل این افزونه توسط شرکت امنیتی Wordfence کشف شده. این اشکال به هکرها امکان می دهد که کدهای مخرب PHP خود را از راه دور و بدون مجوز از مدیر بارگذاری کنند. هنگامی که مهاجمان به سایت نفوذ کردند ، می توانستند کدهای مخرب را از هر کجا اجرا کنند. آنها حتی می توانند حساب های ادمین دیگر ایجاد کنند ، کاربران سایت را آلوده کرده و داده های شخصی را استخراج کنند.
محققان Wordfence پی بردند که توسعه دهندگان افزونه ای کاملا ایمن ایجاد کرده اند و کلیه راه های صحیح را دنبال می کنند ، اما هنوز هم یک آسیب پذیری در عملکرد واردات وجود دارد و این بدان معنی است که این افزونه می تواند به راحتی به خطر بیفتد.
خوشبختانه ، سازندگان افزونه در ۲۵ ژانویه و در طی چند روز از کشف نقص امنیتی ، این مشکل را برطرف کردند. هرکسی که از افزونه Code Snippet استفاده می کند ، باید اطمینان حاصل کند که از نسخه ۲.۱۴.۰ استفاده می کند. اگر از نسخه قدیمی این افزونه استفاده می کنید ، وب سایت شما و حتی بازدید کنندگان سایت شما می توانند در برابر حمله آسیب پذیر باشند. برای اطمینان از ایمن بودن وب سایت خود ، فورا به نسخه ارائه شده به روز کنید.
طبق اطلاعات بارگیری شده از جدیدترین بروزرسانی ، تقریبا ۵۸,۰۰۰ کاربر پلاگین خود را بروزرسانی کرده اند ، اما ۱۴۰،۰۰۰ ادمین هنوز از نسخه قدیمی استفاده می کنند ، به این معنی است که سایت آنها همچنان برای حمله آسان هکرها باز است.
این نقص اخیر با حمله دیگری به هزاران وبسایت وردپرس که توسط JavaScript آلوده شده بودند ، به دنبال داشت. کدهای مخرب جاوا اسکریپت تلاش برای ترویج وب سایت های اسپم پیاده سازی شده است.
از طریق این کدهای JavaScript ، هکرها توانستند کدهای مشکل ساز خود را اجرا کنند ، که یک حلقه و تغییر مسیرهای مختلف را به وب سایت های “survey-for-gifts” آغاز کرد. کاربران مظنون ممکن است با نصب تصادفی نرم افزارهای مخرب بر روی رایانه های خود و ارائه اطلاعات شخصی خود فریب خورده باشند.
شرکت Sucuri
Sucuri ، یک شرکت امنیت وبسایت و حذف نرم افزارهای مخرب وب سایت ، اولین کسی بود که متوجه این کدهای مخرب شد. سوچوری با انتشار بیانیه ای گفت: “متأسفانه برای دارندگان وب سایت ، این کد مخرب JavaScript قادر به ایجاد تغییرات بیشتر در پرونده های موجود در وردپرس از طریق پرونده /wp-admin/theme-editor.php است. این اجازه می دهد تا آنها بدافزارهای اضافی مانند پشتیبان PHP و ابزارهای هک را به پرونده های دیگر بارگذاری کنند تا بتوانند به دسترسی غیرمجاز به وب سایت آلوده ادامه دهند.”
از آنجا که این هکرها با استفاده از ویژگی های ادمین برای ایجاد دایرکتوری های جعلی ، به آنها آسیب می رسانند ، آنها می توانند با استفاده از فایل های فشرده شده ، بدافزارهای بیشتری ایجاد کنند. سوچوری گزارش داد که ۲۰۰۰ سایت آلوده شده اند. به منظور متوقف کردن مشکل ، Sucuri صاحبان وب سایت را ترغیب می کند تا ” تغییر پوشه های اصلی را مسدود کنند تا هکرها را از درج فایل های مخرب غیرفعال کرده یا به عنوان بخشی از سخت افزار امنیتی و وردپرس بهترین اقدامات را انجام دهند.”
برای حفظ امنیت وبسایت خود از هکرها ، باید صاحبان وبسایت وردپرس کوشا باشند. طبق گفته Sucuri ، وردپرس ۹۰٪ از وب سایت های سازش شده را به خود اختصاص می دهد. سایت های Magento و Joomla به ترتیب فقط ۴.۶٪ و ۴.۳٪ سایت های به خطر افتاده را به خود اختصاص داده اند. دلیل عدم آسیب پذیری وردپرس در برابر حملات به دلیل محبوبیت بالای این سیستم مدیریت محتوا است. از آنجا که وردپرس بسیاری از سایت ها را در اختیار دارد و از منبع آزاد نیز استفاده می کند ، بدین معنی است که هکرها می توانند فرصت های بیشتری برای سوء استفاده از کاربران ناشناس پیدا کنند.
یکی از ساده ترین راه هایی که می توانید وبسایت وردپرس خود را ایمن کنید ، بروزرسانی مرتب وردپرس است. با هر نسخه جدیدی از مضامین ، افزونه ها و غیره ، وردپرس و امنیت آن بهبود یافته و آسیب پذیری ها برطرف می شوند.
به همین دلیل است که برخی از توسعه دهندگان تازه کار و حتی WordPress با تجربه ، مدیریت محتوای وردپرس را انتخاب می کنند. به روزرسانی همه افزونه های سایت را آسان تر می کند زیرا ارائه دهنده هاستینگ شما از بروزرسانی همه افزونه ها از شما مراقبت خواهد کرد. اگر هاست وردپرس را مدیریت نکرده اید ، باید وبسایت وردپرس خود را مرتبا به روز کنید. وقتی یک اشکال یا کد مخرب کشف شد ، تیم پشتیبانی وردپرس معمولا یک اعلان را برای شما ارسال می کند تا شما را مجبور کند که سایت خود را به روز کند.
به روزرسانی وبسایت وردپرس شما بسیار آسان است. تنها کلیک بر روی “بروزرسانی” روی داشبورد شما ، و به طور معمول فقط چند ثانیه طول می کشد تا مطمئن شوید سایت شما ایمن است. همچنین باید مطمئن شوید که از آخرین نسخه هر افزونه و موضوع استفاده می کنید ، به “افزونه های نصب شده” و “نمایش ها / مضامین” بروید. شما قادر خواهید بود به راحتی ببینید کدام یک از این موارد قدیمی نیست. انجام این چند دقیقه کار هر دو هفته یکبار برای امنیت سایت شما بسیار مهم است.