حمله هکرها به WordPress و افزونه Duplicator
به گزارش امن سرور و نقل از سابت وردپرس هفته پیش در بسیاری از نقاط جهان مدیران و مشتریان هاستهای WordPress با نگرانی با شرکتهای پشتیبان تماس گرفته و اعلام میکردند هاست شون حذف شده و با صفحه نصب WordPress روبرو میشوند! ما نیز تماسهایی از برخی مشتری های گلمون داشتیم که همین وضعیت رو داشتند و از ما کمک خواستند. اصلا نگران نباشید تا ما رو دارین غم ندارین … دارین؟!
بیاین اول ببینیم ریشه این مشکل از کجاست. در تاریخ ۲۶ ام ژوئن ۲۰۱۸ یعنی حدود ۲ ماه و نیم پیش یک آسیب پذیری خطرناک روی نسخه های مختلف و متعدد WordPress اعلام شده است. این آسیب پذیری از نوع اجرای کد راه دور (Remote Code Execution) میباشد یعنی مهاجم میتواند از راه دور و از طریق اینترنت هاست های آسیب پذیر را کشف کرده و به آنها حمله کند. حالا هر کجای دنیا که باشند.
اما این اتفاق تلخ هفته پیش اتفاق افتاد و در این بین دو دسته از کاربران آسیب دیده اند:
اما این اتفاق تلخ هفته پیش اتفاق افتاد و در این بین دو دسته از کاربران آسیب دیده اند:
۱- افرادی که WordPress خود را آپدیت نکرده اند
برای رفع این آسیب پذیری مطمئن ترین راه همیشه تنظیم آپدیت اتومات هاست میباشد. اما خیلیها این ویژگی مفید رو به دلایلی تنظیم نمیکنن. لیست زیر نسخه های آسیب پذیر رو در کنار نسخه ای که باید به اون آپدیت بشه رو نشون میده. دقت کنید که این جدول فقط آسیب پذیری فعلی رو رفع میکنه و اگه میخواین خیالتون راحت تر باشه بهتره ویژگی آپدیت خودکار هاست رو فعال کنید تا همیشه به آخرین نسخه بروز رسانی بشین. حتی اگه میخواین دستی آپدیت کنین ما پیشنهاد میکنیم به آخرین نسخه برین. اما در هر صورت اگر در فرآیند آپدیت کردن مشکل یا محدودیت خاصی دارین یا آپدیت بودن هاست مطمئن نیستین با ما تماس بگیرین. تا یادم نرفته لیستو بدم بهتون!
لیست نسخه های آپدیت وردپرس
نسخه های ۳٫۷ به قبل در مقابل این آسیب پذیری تاکید میکنم فقط این آسیب پذیری مشکلی ندارن ولی خدا میدونه چه مشکلات دیگه که ندارن! وردپرسه دیگه، با آسیب پذیری زاده شده!!!
اگه در این حالت اول صفحه نصب وردپرس بالا میاد یا همینجوری بدون دلیل سایت تون redirect میشه به جاهای نامعلوم مثلا آدرسهایی که عنوان cpamatik.com یا هر آدرس غیرمعتبر دیگه ای داخل URL اش هست، سایت تون آلوده شده و باید از شر تروجان خلاص بشید.
اما دسته دوم افراد آسیب دیده…
۲- افرادی که از پلاگین Duplicator استفاده میکنن
تقریبن همه ایرانیها Duplicator رو میشناسن. اسمش روشه. Duplicate میکنه. یعنی از کل هاست تون یک کپی کامل میگیره. از این پلاگین استفاده های زیادی میشه کرد. مثلا ساخت چندین قالب واسه یه هاست یا جابجایی سایت. این پلاگین کل هاست رو به شکل یه فایل zip ارائه میده بعلاوه یه فایل بنام installer.php. بنابراین کل کاری که باید ادمین محترم انجام بدهند آپلود فایل zip و installer.php و اجری این فایل php است. سپس دسترسی دیتابیس و تمام! سایت قبلی بالا میاد. اما یه مشکل: نسخه های قدیمی duplicator بعد از اینکه کارشون تموم شد فایل zip و installer.php قدیمی رو روی هاست جا میذارن. حدستون درسته. کپی هاست قدیمی و installer.php قدیمی هنوز اون آسیب پذیری که در شماره ۱ معرفی شد رو دارن. پس هکر میتونه هر وقت دلش خواست از راه دور فایل installer.php رو اجرا کنه و دیتابیس کاربر اصلی رو بدست بگیره.
نکته بدتر اینه که چون هکر دیتابیس نامعلوم خودشو پشت سایت اصلی ساخته عملا سایت شما رفته! ترسیدین؟! هنوز مونده… هکر الان دسترسی که واسه خودش ساخته موقته اما میتونه روی هاست یکسری بدافزار که متاسفانه روی اینترنت هم وجود دارن نصب کنه و نهایتا دسترسی ادمین بگیره. اینجا میتونین به کل با سایت تون حداحافظی کنین.
تیم توسعه پلاگین duplicator نسخه جدید داده و این مشکل رو رفع کرده. اما باز از من بشنوید … اگه بهش نیازی ندارید برش دارید. در مورد این دسته دوم از من بشنوید که همین الان هکرها در حال اسکن سایتهایی هستن که این آسیب پذیری رو دارن. پس توصیه میکنم اقدامات امنیتی رو انجام بدین یا اگه احساس میکنید سایت تون آلوده شده به ما افتخار بدید و اجازه بدید سایت تون رو برگردونیم و شر هکرها خلاص تون کنیم.
جمع بندی: راهکار اصلی خلاص شدن از هر دو حالت بازگردانی آخرین بکآپ و آپدیت سریع وردپرس می باشد.ما در تمامی مراحل در کنار شما خواهیم بود. خوشحال میشیم بتونیم براتون کاری بکنیم.
برگرفته از [wordpress.org]