خطر هک پلاگین های جدید وردپرس

دوشنبه 17 خرداد 95 11:03 |   |  تعداد مشاهده: 149 |

دسته بندی:امنیت

|

[[rateUserCount]]



خطر هک پلاگین های جدید وردپرس

طی چند روز گذشته هکرها با استفاده از باگ اصلاح نشده پلاگین جدید آن بیش از 10 هزار وب سایت که پلاگین ورد پرس روی آن ها نصب شده بود را هک کردند.

نقص پلاگین در نسخه 3.6 اصلاح شده اما با وجود این به روز رسانی سریع کاربران باید بررسی کنند تا ببینند وب سایتشان هک نشده باشد. 

این آسیب پذیری در یک اسکریپت به نام resize.php واقع شده و اجازه ورود هکرها به سرور سایت و تزریق کدهای جدید را می دهد.

این نقص توسط گروه امنیتی وردپرس پس از مشاهده درخواست های wp-content/plugins/wp-mobile-detector/resize.php PluginVulnerabilities.com در حالی که بر روی سرور وجود نداشت کشف شد. این درخواست ها نشان می داد که کسی در حال اسکن اتوماتیک فایل خاصی بود که احتمالا دلیل آن وجود یک نقص در سایت بود.

محققان شرکت امنیتی Sucuri فایروال شرکت را بررسی کردند و پس از تجزیه و تحلیل آن را اصلاح کردند. اما ممکن است قبل از اصلاح آن حمله به وب سایت شما صورت گرفته باشد.

WP Mobile Detector که نباید با WP Mobile Detect اشتباه گرفته شود بیش از ده هزار بار از ابتدای  ماه می نصب شده است. در حالی که پلاگین قبلی از دایرکتوری پلاگین در WordPress.org حذف شده است، اما نسخه اصلاح شده حدود 2000 بار نصب شده است. 

با توجه به آسیب پذیری پلاگین ها توصیه می شود جهت جلوگیری از حملات هکرها خصوصیت allow_url_fopen  را  روی سرور خود غیر فعال کنید.

از آنجایی که روشن نیست که چگونه تعداد زیادی از وب سایت هک شده اند، این یک موقعیت خوبی برای صاحبان وب سایت وردپرس است که سرور های خود را با استفاده از این پلاگین بررسی کنند.

منشر شده در pcworld

 

برچسب: wordpress   هک-ورد-پرس  

نظرات کاربران

[[item.name]] [[item.created_at|pDate]]

[[answer.name]] [[answer.created_at|pDate]]

[[messageCompare]]

[[item.nameProduct|cut:true:34:' ...']]