میلیون‌ها سایت وردپرسی در خطر حمله هکرها هستند!

حفره امنیتی خطرناک در افزونه Jetpack وردپرس

0 657 خواندن این مطلب 2 دقیقه زمان میبرد

از مدیران و صاحبان وب‌سایت‌های وردپرس درخواست می‌کنیم فورا از بروزرسانی امنیتی مهم Jetpack 7.9.1 استفاده کنند تا از حملات احتمالی که می‌توانند از آسیب پذیری موجود در جت پک که از نسخه Jetpack 5.1 وجود داشته سوء استفاده کنند، جلوگیری کنید.

شما می‌توانید Jetpack نصب شده‌ی خود را از طریق پیشخوان وردپرس، به نسخه‌ی 7.9.1 بروزرسانی کنید یا بصورت دستی نسخه‌ی Jetpack 7.9.1 را از اینجا دانلود کنید.

Jetpack یک افزونه‌ی بسیار محبوب وردپرس است که امنیت، عملکرد و امکانات مدیریت سایت از جمله تهیه‌ی نسخه‌ی پشتیبان سایت، ورود امن، اسکن بدافزارها و حفاظت در برابر حمله‌ های (Brute Force) را بصورت رایگان فراهم می‌کند.

این افزونه دارای بیش از 5 میلیون نصب فعال می‌باشد و در حال حاضر توسط Automattic شرکت مادر وردپرس حمایت و توسعه داده می‌شود

هنوز این باگ مورد سوء استفاده قرار نگرفته است

این آسیب پذیری در روش جاسازی کد(Embed Code) پردازش شده‌ی Jetpack پیدا شده است و Adham Sadaqah کسی بود که مسئولیت کشف این مشکل امنیتی را برعهده داشت.

اگرچه جزئیات زیادی درمورد نقص امنیتی برای حفاظت از سایت‌هایی که هنوز بروزرسانی نشده‌اند، فاش نشده است اما در اطلاعیه‌ی Jetpack گفته شده که این خطای نرم افزاری همه‌ی نسخه‌هایی که با 5.1 شروع شده‌اند و به ژوئیه 2017 برمی‌گردند را تحت تاثیر قرار می‌دهد.

توسعه دهندگان Jetpack اظهار داشتند که تا زمان انتشار بروزرسانی امنیتی مهم Jetpack 7.9.1 هیچ شواهد و مدارکی مبنی بر سوء استفاده از آسیب پذیری Jetpack یافت نشده است.

نسخه‌های Jetpack فعال

توسه دهندگان هشدار می‌دهند: “با این وجود، حال که بروزرسانی منتشر شده است، دیر یا زود کسی سعی می‌کند تا از این آسیب پذیری به نفع خود بهره ببرد.”

تیم توسعه دهنده همچنین می‌گوید که آنها برای انتشار patchهایی برای همه‌ی نسخه‌ها از Jetpack 5.1 با تیم امنیتی وردپرس همکاری کرده‌اند و اینکه “اکثر وب‌سایت‌ها بطور خودکار به نسخه‌ی امن بروزرسانی شده‌اند یا به زودی بروزرسانی خواهند شد”

میلیون‌ها سایت Patch دریافت کرده‌اند

در حال حاضر، بیش از چهار میلیون از پنج میلیون وب‌سایت‌های وردپرسی که از Jetpack استفاده می‌کنند، قبلا به ترتیب قرار گرفتن آن در سایت افزونه‌های وردپرس، بروز شده‌اند.

بر اساس گفته تیم توسعه دهنده‌ی Jetpack : “پچهای امنیتی منتشر شده‌ این نسخه ها را در بر می‌گیرند: 5.1.1، 5.2.2، 5.3.1، 5.4.1، 5.5.2، 5.6.2، 5.7.2، 5.8.1، 5.9.1، 6.0.1، 6.1.2، 6.2.2، 6.3.4، 6.4.3، 6.5.1، 6.6.2، 6.7.1، 6.8.2، 6.9.1، 7.0.2، 7.1.2، 7.2.2، 7.3.2، 7.4.2، 7.5.4، 7.6.1، 7.7.3، 7.8.1، 7.9.1”

وی افزود: “اگر هر یک از این نسخه‌ها را اجرا می‌کنید، وب‌سایت شما در برابر این مشکل آسیب پذیر نیست اما اگر آخرین و بالاترین نسخه -7.9.1- را اجرا نمی‌کنید، سایت شما ارتقاهای امنیتی دیگر را از دست می‌دهد.”

تاریخچه‌ی دانلود Jetpack

Jetpack یک بروزرسانی امنیتی دیگر را برای حل یک مشکل امنیتی در دسامبر 2018 و یک بروزرسانی امنیتی مهم در برای رفع یک آسیب پذیری در نحوه‌ی پردازش برخی از کدهای Jetpack در ماه مه 2016، دریافت کرد.

سال گذشته نیز هکر ها با استفاده از حساب های کاربری با امنیت ضعیف در سایت WordPress.com و بوسیله ی قابلیت مدیریت از راه دور پلاگین جت پک روشی را برای نصب افزونه در وب سایت های وردپرسی پیدا کردند.

< آخرین آموزش‌های پایگاه دانش تسنیم را در تلگرام دنبال کنید >

برچسب ها