در هفته گذشته به بیش از 200هزار وبسایت وردپرس اطلاع داده شد که به دلیل وجود یک اشکال در افزونهای هکرها را قادر میسازد به سرعت وبسایتهایی که افزونه را نصب کردند مورد حمله قرار گیرند.
افزونه Code Snippet
افزونه مورد نظر Code Snippet یک افزونه وردپرس بود که قطعات کد PHP را بعد پاکیزسازی اجرا میکند. این بدان معنی است که شما به عنوان توسعه دهنده سایت ، دیگر نیازی به ایجاد قطعههای سفارشی برای عملکردهای پرونده وب سایت ندارید.php با استفاده از این مینی پلاگین ، عملکرد وبسایت وردپرس شما بهتر میشود زیرا بار کمتری در وب سایت شما وجود دارد. Code Snippets فایلهای php شما را فشرده و مرتب نگه میدارد و آنها را به طور موثرتر در سایت شما اجرا میکند.
با این حال مشکل این افزونه توسط شرکت امنیتی Wordfence کشف شده. این اشکال به هکرها امکان میدهد که کدهای مخرب PHP خود را از راه دور و بدون مجوز از مدیر بارگذاری کنند. هنگامیکه مهاجمان به سایت نفوذ کردند ، میتوانستند کدهای مخرب را از هر کجا اجرا کنند. آنها حتی میتوانند حسابهای ادمین دیگر ایجاد کنند ، کاربران سایت را آلوده کرده و دادههای شخصی را استخراج کنند.
محققان Wordfence پی بردند که توسعه دهندگان افزونهای کاملا ایمن ایجاد کرده اند و کلیه راههای صحیح را دنبال میکنند ، اما هنوز هم یک آسیب پذیری در عملکرد واردات وجود دارد و این بدان معنی است که این افزونه میتواند به راحتی به خطر بیفتد.
خوشبختانه ، سازندگان افزونه در 25 ژانویه و در طی چند روز از کشف نقص امنیتی ، این مشکل را برطرف کردند. هرکسی که از افزونه Code Snippet استفاده میکند ، باید اطمینان حاصل کند که از نسخه 2.14.0 استفاده میکند. اگر از نسخه قدیمیاین افزونه استفاده میکنید ، وب سایت شما و حتی بازدید کنندگان سایت شما میتوانند در برابر حمله آسیب پذیر باشند. برای اطمینان از ایمن بودن وب سایت خود ، فورا به نسخه ارائه شده به روز کنید.
طبق اطلاعات بارگیری شده از جدیدترین بروزرسانی ، تقریبا 58,000 کاربر پلاگین خود را بروزرسانی کرده اند ، اما 140،000 ادمین هنوز از نسخه قدیمیاستفاده میکنند ، به این معنی است که سایت آنها همچنان برای حمله آسان هکرها باز است.
این نقص اخیر با حمله دیگری به هزاران وبسایت وردپرس که توسط JavaScript آلوده شده بودند ، به دنبال داشت. کدهای مخرب جاوا اسکریپت تلاش برای ترویج وب سایتهای اسپم پیاده سازی شده است.
از طریق این کدهای JavaScript ، هکرها توانستند کدهای مشکل ساز خود را اجرا کنند ، که یک حلقه و تغییر مسیرهای مختلف را به وب سایتهای "survey-for-gifts" آغاز کرد. کاربران مظنون ممکن است با نصب تصادفی نرم افزارهای مخرب بر روی رایانههای خود و ارائه اطلاعات شخصی خود فریب خورده باشند.
شرکت Sucuri
Sucuri ، یک شرکت امنیت وبسایت و حذف نرم افزارهای مخرب وب سایت ، اولین کسی بود که متوجه این کدهای مخرب شد. سوچوری با انتشار بیانیهای گفت: "متأسفانه برای دارندگان وب سایت ، این کد مخرب JavaScript قادر به ایجاد تغییرات بیشتر در پروندههای موجود در وردپرس از طریق پرونده /wp-admin/theme-editor.php است. این اجازه میدهد تا آنها بدافزارهای اضافی مانند پشتیبان PHP و ابزارهای هک را به پروندههای دیگر بارگذاری کنند تا بتوانند به دسترسی غیرمجاز به وب سایت آلوده ادامه دهند."
از آنجا که این هکرها با استفاده از ویژگیهای ادمین برای ایجاد دایرکتوریهای جعلی ، به آنها آسیب میرسانند ، آنها میتوانند با استفاده از فایلهای فشرده شده ، بدافزارهای بیشتری ایجاد کنند. سوچوری گزارش داد که 2000 سایت آلوده شده اند. به منظور متوقف کردن مشکل ، Sucuri صاحبان وب سایت را ترغیب میکند تا " تغییر پوشههای اصلی را مسدود کنند تا هکرها را از درج فایلهای مخرب غیرفعال کرده یا به عنوان بخشی از سخت افزار امنیتی و وردپرس بهترین اقدامات را انجام دهند."
برای حفظ امنیت وبسایت خود از هکرها ، باید صاحبان وبسایت وردپرس کوشا باشند. طبق گفته Sucuri ، وردپرس 90٪ از وب سایتهای سازش شده را به خود اختصاص میدهد. سایتهای Magento و Joomla به ترتیب فقط 4.6٪ و 4.3٪ سایتهای به خطر افتاده را به خود اختصاص داده اند. دلیل عدم آسیب پذیری وردپرس در برابر حملات به دلیل محبوبیت بالای این سیستم مدیریت محتوا است. از آنجا که وردپرس بسیاری از سایتها را در اختیار دارد و از منبع آزاد نیز استفاده میکند ، بدین معنی است که هکرها میتوانند فرصتهای بیشتری برای سوء استفاده از کاربران ناشناس پیدا کنند.
یکی از ساده ترین راههایی که میتوانید وبسایت وردپرسخود را ایمن کنید ، بروزرسانی مرتب وردپرس است. با هر نسخه جدیدی از مضامین ، افزونهها و غیره ، وردپرس و امنیت آن بهبود یافته و آسیب پذیریها برطرف میشوند.
به همین دلیل است که برخی از توسعه دهندگان تازه کار و حتی WordPress با تجربه ، مدیریت محتوای وردپرس را انتخاب میکنند. به روزرسانی همه افزونههای سایت را آسان تر میکند زیرا ارائه دهندههاستینگ شما از بروزرسانی همه افزونهها از شما مراقبت خواهد کرد. اگر هاست وردپرسرا مدیریت نکرده اید ، باید وبسایت وردپرس خود را مرتبا به روز کنید. وقتی یک اشکال یا کد مخرب کشف شد ، تیم پشتیبانی وردپرس معمولا یک اعلان را برای شما ارسال میکند تا شما را مجبور کند که سایت خود را به روز کند.
به روزرسانی وبسایت وردپرس شما بسیار آسان است. تنها کلیک بر روی "بروزرسانی" روی داشبورد شما ، و به طور معمول فقط چند ثانیه طول میکشد تا مطمئن شوید سایت شما ایمن است. همچنین باید مطمئن شوید که از آخرین نسخه هر افزونه و موضوع استفاده میکنید ، به "افزونههای نصب شده" و "نمایشها / مضامین" بروید. شما قادر خواهید بود به راحتی ببینید کدام یک از این موارد قدیمینیست. انجام این چند دقیقه کار هر دو هفته یکبار برای امنیت سایت شما بسیار مهم است.