دوره جامع سئو وردپرس

تبلیغات
طراحی و بهینه سازیمشاهده
هاست

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

مقالات,آموزش,ترفند , وردپرس

به تازگی حملاتی به سایت‌های وردپرسی مشاهده شده که پس از تحقیق و بررسی‌های پیاپی مشکل کشف شد. این مشکلات از سمت افزونه Easy WP SMTP است که سایت وردپرسی را در معرض خطر حمله با تزریق کدهای مخرب در آن، قرار می‌دهد. اما چگونه از این خطر حمله به وردپرس دور بمانیم؟ پاسخ شما بسیار ساده است! با بروزرسانی افزونه Easy WP SMTP در وردپرس!
شاید بعضی از دوستان با این افزونه آشنا نباشند. “افزونه Easy WP SMTP امکان پیکربندی و ارسال ایمیل‌های خارجی از طریق یک سرور SMTP را می‌دهد. این امر باعث جلوگیری از ارسال ایمیل‌ها به پوشه‌های Junk یا Spam می‌شود. ”

 

خطر حمله به وردپرس

آسیب‌پذیری که در این افزونه یافت شد از ۱۵ مارس توسط هکرها مورد سوء استفاده قرار گرفت و توسط فایروال افزونه Ninjafirewall به دام افتاد. و نتایج زیر حاصل شد:

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

دستور ()admin_init در قطعه کد بالا که از اسکریپت افزونه است، زمانی که کاربر به پیشخوان مدیریت دسترسی دارد، توسط admin_init اجرا می‌شود. این مورد باید با درون‌ریزی یا برون‌بری در پیکربندی افزونه و بروز رسانی تنظیمات آن در پایگاه داده مشاهده و حذف شود. این قابلیت سطح دسترسی کاربر را بررسی نمی‌کند، از این رو هر کاربر وارد شده می‌تواند به عنوان یک مشترک باشد. اما این مورد می‌تواند عملیاتی را برای انجام توسط کاربران غیرمجاز و نامعتبر اجرا کند و همین موضوع خطر حمله به وردپرس را دامن می‌زند. زیرا افزونه Easy WP SMTP ممکن است بصورت ایجکسی و در admin_init اجرا شود. این موضوع اینگونه در  WordPress API توصیف شده است:

  • توجه داشته باشید، این مشکل فقط بر روی نمایشگرهای مدیریت شده کاربر اجرا نشده بلکه بر روی admin-post.php و admin-ajax.php نیز ظاهر خواهد شد.

بنابراین، کاربران غیرمجاز توانایی ارسال درخواست‌های ایجکسی مانند action=swpsmtp_clear_log را برای اجرای عملکرد بالا دارند. همین امر خطر حمله به وردپرس را به وجود می‌آورد.

اثبات این مفهوم

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

برای اثبات مفهومی که در این محتوا در مورد آن صحبت می‌کنیم، از swpsmtp_import_settings برای بارگذاری فایل‌هایی که حاوی سریال‌های مخرب هستند و باعث فعال شدن ثبت‌نام کاربران می‌شوند استفاده کردیم. همچنین نقش کاربر را بصورت پیش‌فرض “مدیر” در پایگاه داده قرار دادیم.

۱- فایلی با عنوان  “tmp/upload.txt/” ایجاد کنید و اطلاعات زیر را در آن وارد نمایید:

۲- فایل زیر را بارگذاری کنید:

سایر دلایل خطر حمله به وردپرس

آسیب‌های دیگر نیز هستند که میزان خطر حمله به وردپرس را افزایش داده و مورد سوء استفاده افراد مخرب قرار می‌گیرند که عبارت است از:

  • اجرای کدهایی که درون آن‌ها کدهای مخرب php تزریق شده زیرا افزونه Easy WP SMTP از یک تابع نا ایمن به نام ()unserialize استفاده می‌کند.
  • مشاهده و حذف لاگ‌ها (یا هر نوع فایلی، زیرا هکرها می‌توانند نام فایل را تغییر دهند.)
  • خروجی گرفتن از افزونه که شامل اطلاعات سرور SMTP، نام کاربری، رمز عبور و استفاده از آن برای ارسال ایمیل‌های اسپم است.

نکته جالب اینجاست که هکرها از این آسیب‌پذیری برای تغییر محتوا و داده‌های وردپرس مانند جدول wp_user_roles در پایگاه داده و توانایی دسترسی مدیر به تمامی کاربران، استفاده می‌کنند. متاسفانه تغییر اکانت مدیر به راحتی در بخش کاربری شناسایی می‌شود. جالب‌تر اینجاست که تشخیص این تغییرات کار بسیار سختی است زیرا اکانت کاربری یک مدیر دقیقا مانند یک کاربر مشترک است فقط در بک‌گراند کار مشخص می‌شود که سطح دسترسی آن بسیار گسترده است.

 

توصیه‌های مهم

اولین و مهم‌ترین توصیه‌ای که برایتان داریم این است که با شتاب هر چه بیشتر افزونه Easy WP SMTP را در جهت حفظ امنیت وردپرس، بروزرسانی کنید. سپس به موارد زیر توجه کنید:

  • به قسمت تنظیمات>> عمومی مراجعه کنید و بررسی کنید که هیچ گزینه‌ای غیر عادی نیست و دست‌کاری نشده است. مواردی از قبیل آدرس سایت، آدرس ایمیل، نقش‌های کاربری و…
  • صفحه کاربران وردپرس را حتما چک کنید، کاربران جدید را بررسی کنید، حساب‌های کاربری غریبه را پیگیری کرده و حذف کنید. همچنین ایمیل مدیریت را نیز بررسی کنید که تغییری نکرده باشد.
  • برای در امان بودن از خطر حمله به وردپرس، تمامی پسوردها را تغییر دهید. (انتخاب پسورد قوی)
  • جدول wp_options را در پایگاه داده وردپرس مورد بررسی قرار دهید و در مورد نقش‌های کاربری در wp_user_roles اطمینان حاصل کنید.
  • فایل‌های سایت خود اسکن کنید زیرا هکرها ممکن است فایل‌هایی مخرب را در سایت شما ایجاد کنند. (اسکن وردپرسی)
  • پسورد SMTP خود را تغییر دهید زیرا ممکن است هکرها آن را کشف کرده باشند.

دانلود


دوره حرفه ای آموزش سئو سایت مارکیو | رتبه اول گوگل یک رویا نیست!


مطلب مفیدی بود ؟
نویسنده : mohammad 0 مقالات,آموزش,ترفند , وردپرس

لینک کوتاه مطلب : https://www.20script.ir/?p=43333

کلمات کلیدی پست :
درگاه پرداخت
مطالب مرتبط
4,373افزونه فوق امنیتی وردپرس Security Pro نسخه 2.0.2 تاریخ : 1394/09/1
20,936آموزش نحوه تغییر آدرس ورود به مدیریت وردپرس تاریخ : 1394/05/20
3,755افزونه امنیتی وردپرس Security Pro نسخه 2.2.2 تاریخ : 1394/11/26
21,510افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه 6.0.1 تاریخ : 1398/08/23
7,468افزونه قدرتمند امنیتی وردپرس All In One WP Security & Firewall تاریخ : 1393/06/1
1,404چگونه یک رمز عبور ایمن برای وبسایت خود انتخاب کنید؟ تاریخ : 1397/08/16
1,640آموزش تغییر پیشوند دیتابیس وردپرس تاریخ : 1397/08/4
6,305غیرفعال کردن نمایش نگارش وردپرس تاریخ : 1395/03/21
640آموزش افزایش امنیت وردپرس در ۸ مرحله [ آموزش ویدئویی ] تاریخ : 1398/05/16
2,040۱۲ قدم ساده برای برقراری امنیت کامل در وردپرس تاریخ : 1397/07/20
1,712محافظت از وردپرس با افزونه Secupress تاریخ : 1397/10/3
4,736فعال‌سازی گواهی SSL در وردپرس با افزونه Really Simple SSL تاریخ : 1397/08/3
برخی از قالب های وبلاگ - بیست اسکریپت
قالب عشق بین انگشت ها
قالب دخترونه و آرایش
قالب زیبای ماشین
قالب فانتزی و طنز چِشم
قالب دختر رویایی
قالب وبلاگ دکوراسیون
قالب وبلاگ کلبه و درخت
قالب دختر زیبا
قالب پسرونه غمگین
قالب عاشقانه قلب