خطر در کمین بیش از 1 میلیون وبسایت وردپرسی

23 اسفند 1393 2814 بازدید

بیش از یک میلیون وبسایت تحت سیستم وردپرس که از یکی از محبوبترین پلاگین‌های این سیستم مدیریت محتوا منظور بهبود SEO یا بهینه سازی در نتایج جستجو استفاده می نموده اند در صورت عدم بروزرسانی این پلاگین به آخرین نسخه که اخیراً منتشر شده است در معرض هک قرار می‌گیرند.

اخیراً در پلاگین محبوب Wordpress Seo که ساخته یک کارشناس آلمانی بهینه سازی وبسایت به نام Yoast می‌باشد، یک آسیب‌پذیری شناسایی شده است که به سودجویان سایبری اجازه دسترسی و ایجاد تغییراتی در دیتابیس یک وبسایت را میدهد که میتوانند از همین طریق اقدام به ساخت یک حساب مدیریتی ادمین نمایند و در نتیجه دسترسی کاربر اصلی را محدود و یا حتی اطلاعات وبسایت را حذف نمایند.

این آسیب پذیری که اصطلاحاً از آن با عنوان تزریق SQL (یا blind SQL injection) یاد می‌شود توسط یک محقق امنیتی با نام Ryan Dewhurst که یکی از مؤسسین سیستم اسکن آسیب پذیری وردپرس با نام WPScan بوده است. این باگ امنیتی نسخه‌های 1.7.3.3 و نسخه های قدیمی‌تر پلاگین WordPress SEO by Yoast را شامل میگردد.

سودجویی از این باگ امنیتی حداقل نیازمند احراز هویت است. با اینحال از آنجایی که سیستم محافظتی CSRF یا محافظت در مقابل درخواستهای ورود جعلی درون سایتی وجود ندارد، فرد سودجو میتواند با کمی مهارت در احراز هویت جعلی بعنوان ادمین، یا نویسنده وارد پنل پیشخوان وردپرس شود.

حملات CSRF یا ورود غیرمجاز به حسابهای کاربری وردپرس میتواند منجر به تعبیه لینکهای مخرب و فیشینگ در آن وبسایت شده و بینندگان آن وبسایت را براحتی به این صفحات، وروی لینکها و یا کدهای مخرب هدایت نماید.

Yoast سازنده این پلاگین چهارشنبه هفته گذشته ضمن ارائه دو نسخه 1.7.4 برای نسخه رایگان و 1.5.3 برای نسخه قابل خرید این پلاگین (با توجه به اینکه هر دو نسخه دارای این آسیب پذیری بودند) رسماً وجود این آسیب پذیری اشاره نمود.

لازم به ذکر است، نسخه رایگان این پلاگین وردپرس تاکنون بالغ بر 14 میلیون بار دانلود و نصب شده است که بر اساس آمار و ارقام رسمی ارائه شده از WordPress این پلاگین بالغ بر 1 میلیون نصب فعال دارد که این نه تنها محبوبیت این پلاگین در بین پلاگین‌های بهینه سازی موتورهای جستجو بلکه شهرت و محبوبیت آن در بین تمامی افزونه ها یا پلاگین‌های نوشته شده برای سیستم مدیریت محتوای وردپرس را ثابت میکند.

کسپرسکی آنلاین، نماینده فروش و توزیع کننده رسمی محصولات کسپرسکی*، نیز از کاربران وردپرس دعوت میکند که بمنظور جلوگیری از تهدیدات احتمالی از سوی سودجویان سایبری برای وبسایت، داده و حتی بازدیدکننده های آنها، اقدام به دریافت آخرین نسخه این پلاگین محبوب از این آدرس نموده یا از طریق پنل پیشخوان این سرویس اقدام به بروزرسانی مستقیم این پلاگین نمایند.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.