حمله هکرها به وردپرس و پلاگین Duplicator

طی هفته گذشته تعداد زیادی از مدیران سایت‌های وردپرسی به شدت قافلگیر شدند. آن‌ها عنوان میکردند که به ناگهان محتویات وب‌سایت وردپرسی آنها پاک شده و با وارد کردن آدرس سایتشان به صفحه نصب وردپرس هدایت می‌شوند!

ما هم در تسنیم، تماس‌هایی از طرف مشتریان داشتیم که با نگرانی این مشکل را گزارش میدادند. قبل از توضیح بیشتر در مورد این مشکل مایلم به مشتریان انواع سرویسهای تسنیم این اطمینان را بدهم که به هیچ عنوان جای نگرانی نیست، چرا که تیم پشتیبانی تسنیم در کنار شما است و ما به طور مداوم و منظم از دیتای شما بکاپ تهیه کرده ایم و به راحتی اطلاعات سایت شما بازیابی خواهد شد.

ابتدا مایلیم بررسی کنیم ریشه این مشکل از کجاست. در تاریخ ۲۶ ام ژوئن ۲۰۱۸ یعنی حدود ۲ ماه و نیم پیش یک آسیب پذیری خطرناک روی نسخه های مختلف و متعدد WordPress اعلام شده است. این آسیب پذیری از نوع اجرای کد راه دور (Remote Code Execution) میباشد یعنی مهاجم میتواند از راه دور و از طریق اینترنت سایت های آسیب پذیر را کشف کرده و به آنها حمله کند. حالا هر کجای دنیا که باشند.

اما این اتفاق تلخ هفته پیش اتفاق افتاد و در این بین دو دسته از کاربران آسیب دیده اند:

۱- افرادی که WordPress خود را آپدیت نکرده اند

برای رفع این آسیب پذیری مطمئن ترین راه همیشه تنظیم آپدیت اتومات سایت وردپرسی میباشد. اما برخی از کاربران این ویژگی مفید را به دلایلی تنظیم نمیکنند. لیست زیر نسخه های آسیب پذیر را در کنار نسخه ای که باید به آن آپدیت شود نشان می‌دهد. دقت کنید که این جدول فقط آسیب پذیری فعلی رو رفع می‌کند و اما ما پیشنهاد می‌کنیم امکان بروزرسانی خودکار را فعال کنید تا همیشه به آخرین نسخه بروز رسانی شده باشید. حتی اگر قصد دارید به روش دستی آپدیت را انجام دهید ما پیشنهاد میکنیم به آخرین نسخه منتقل شوید. اما در هر صورت اگر در فرآیند آپدیت کردن مشکل یا محدودیت خاصی دارید یا آپدیت بودن وردپرس مطمئن نیستین با ما در ارتباط باشید. اما لیست نسخه‌های آسیب پذیر:

دانلود لیست نسخه‌های آسیب‌پذیر وردپرس

نسخه های ۳٫۷ به قبل در مقابل این آسیب پذیری تاکید میکنم فقط این آسیب پذیری مشکلی ندارند اما حفره‌های متعدد دیگری دارند!

اگر وردپرس شما هم قربانی این نفوذ شده باشد با وارد کردن آدرس سایت خود با صفحه نصب وردپرس مواجه می‌شوید! و یا ممکن است سایت شما به آدرس دیگری  redirect شود، لازم است سایت شما از این تروجان پاکسازی شود.

اما دسته دوم افراد آسیب دیده…

۲- افرادی که از پلاگین Duplicator استفاده میکنن

حتما با افزونه محبوب Duplicator آشنا هستید. این افزونه از کل سایت وردپرسی شما یک کپی تهیه می‌کند. از این پلاگین استفاده های زیادی میشود کرد. مثلا ساخت چندین قالب برای یک سایت و یا جابجایی سایت. این پلاگین کل محتویات هاست را به شکل یه فایل zip ارائه میدهد بعلاوه یک فایل بنام installer.php. بنابراین کل کاری که باید ادمین محترم انجام بدهند آپلود فایل zip و installer.php و اجری این فایل php است. سپس دسترسی دیتابیس و تمام! سایت قبلی بالا میاد. اما یک مشکل مهم : نسخه های قدیمی duplicator بعد از اینکه کارشون تموم شد فایل zip و installer.php قدیمی رو روی هاست جا میذارن. حدستون درسته. کپی هاست قدیمی و installer.php قدیمی هنوز اون آسیب پذیری که در شماره ۱ معرفی شد رو دارن. پس هکر میتونه هر وقت دلش خواست از راه دور فایل installer.php رو اجرا کنه و دیتابیس کاربر اصلی رو بدست بگیره.

اتفاق بدتر اینکه چون هکر دیتابیس نامعلوم خودش را پشت سایت اصلی ساخته است عملا سایت شما در کنترل اوست!  و اتفاق بدتر… هکر تا الان دسترسی که برای خودش ایجاد کرده موقت است اما میتواند بر روی هاست یکسری بدافزار که متاسفانه به راحتی بر روی اینترنت در دسترس است را نصب کند و نهایتا دسترسی ادمین را بگیرد.

تیم توسعه پلاگین duplicator نسخه جدید ارائه داده و این مشکل را رفع کرده است. اما اکیدا توصیه می‌کنیم در صورت عدم نیاز به این پلاگین آن را حذف کنید و فقط در زمان نیاز از آن استفاده کنید.

اگر از افزونه Duplicator بر روی وردپرس خود استفاده می‌کنید بدون اتلاف وقت اقدامات امنیتی را انجام دهید چراکه هکرها به سرعت در حال اسکن سایت‌های نفوذپذیر در سطح وب هستند. و اگر قربانی این حفره امنیتی شده اید تیم امنیتی تسنیم برای کمک به شما آماده است.

جمع بندی: راهکار اصلی خلاص شدن از هر دو حالت بازگردانی آخرین بکآپ و آپدیت سریع وردپرس می باشد.ما در تمامی مراحل در کنار شما خواهیم بود.