هکر با استفاده از حفره‌ی امنیتی جدید در وردپرس، به داشبورد این نرم افزارِ مدیریتِ محتوا وارد شده و اقدام به هکِ وردپرس یا آپلود فایل‌های شل بر روی هاست می‌پردازد. این باگ فقط در نسخه‌ای از ورپرس مشاهده شده که به صورت پیش فرض در آن، قالب TwentyFifteen و پلاگین JetPack نصب شده باشد.

XSS یکی از روش‌های نفوذ به وب‌سایت‌ها است و وجود حفره‌های امنیتی مرتبط با آن در یک وب‌سایت، امکان بروز چنین حملاتی را افزایش می‌دهد. در این نوع حملات مهاجمان سایبری با تزریق اسکریپت‌های مخرب به وب‌سایت، در واقع بازدید‌کننده‌ی این وب‌سایت را هدف قرار می‌دهند و می‌توانند اطلاعات کاربران را به سرقت ببرند. XSS کوتاه‌شده‌ی عبارت Cross Site Scripting است، البته سرنام واقعی این عبارت به صورت CSS است که چون این مخفف در دنیای وب از چندین سال پیش استفاده می‌شد، عبارت XSS جایگزین آن شده است.

آسیب پذیری جدید برخی افزونه‌های وردپرس را هدف قرار می‌دهد که قالب TwentyFifteen و پلاگین JetPack جزو این افزونه‌های آسیب پذیر است. حتی اگر در هاست وب‌سایت شما فایلی به نام example.html وجود داشته باشد، احتمال آسیب پذیری وب‌سایتتان افزایش خواهد یافت. از این‌رو برای جلوگیری از هرگونه حملات سایبری ابتدا این فایل را از وردپرس خود پاک کنید. شرکت امنیتی Sucuri چندین کمپانی فعال در هاستینگ مانند Godaddy، Dreamhost و WPEngine را معرفی کرده که به این حملات آسیب پذیر هستند. البته این شرکت‌ها سریعا بروزرسانی را برای رفع این مشکل ارائه کرده‌اند.

اما برای ایمن ماندن از هرگونه حملات انجام چند نکته نیز ضروری است؛ به همین منظور ابتدا به پنل مدیریتی وردپرس رجوع کرده و بروزرسانی افزونه‌ها را نصب کنید. پس از آن استفاده از یک فایروال قوی نیز توصیه می‌شود. این نکته را هم در نظر داشته باشید که هرچه‌قدر هم که امنیت وب‌سایت شما برایتان مهم نباشد، با نفوذ و اجرای حمله در وب‌سایت و به همین ترتیب در سرور، احتمال هک شدن وب‌سایت‌های دیگر موجود در همان سرور نیز افزایش می‌یابد، به عبارتی حملات مَس‌دیفیس به راحتی قابل اجرا شدن خواهد بود.

آسیب‌پذیری امنیتی وردپرس 

گروه امنیتی Wordfence آسیب‌پذیری‌ امنیتی مهمی را در وردپرس پیدا کرده‌اند که مجرمان سایبری از یک ماه پیش از آن‌ها سوءاستفاده می‌کنند. مجرمان با استفاده از آسیب‌پذیری‌های مذکور، امکان ساخت حساب‌های کاربری مدیر سیستم (Admin) دارند. تحقیق امنیتی اخیر نشان می‌دهد که مجرمان هنوز از آسیب‌پذیری‌ها سوءاستفاده می‌کنند.

محققان امنیتی به این نتیجه رسیدند که مجرمان با استفاده از آسیب‌پذیری موجود در افزونه‌های وردپرس، کدهای مخرب جاوااسکریپت را در وب‌سایت‌های قربانی تزریق می‌کنند. پس از تزریق کدها در بخش ظاهری (Front end)، کاربران به سمت محتوای مخرب هدایت می‌شوند. در توضیح محتوای مخرب می‌توان انواع سرویس‌های نصب بدافزار یا وب‌سایت‌هایی با هدف دزدیدن اطلاعات کاربران را نام برد. بسیرای از حمله‌ها نیز به‌صورت ماهرانه مخفی می‌شوند تا ابزارهای مبتنی بر WAF یا IDS توانایی شناسایی آن‌ها را نداشته باشند.

بررسی محققان Wordfence نشان داد که حمله به وب‌سایت‌های وردپرسی از IPهای متنوعی صورت می‌گیرد و البته برخی از آن‌ها به ارائه‌کننده‌های خدمات هاستینگ مربوط می‌شوند. البته پس از آنکه اخبار آسیب‌پذیری منتشر شد، بسیاری از IPها عملیات خراب‌کارانه‌ی خود را متوقف کردند. مایکی وینسترا از محققان Wordfence در یک پست وبلاگی توضیح داد که اکثر حمله‌ها به وب‌سایت‌های وردپرسی از یک آدرس IP شروع می‌شده‌اند:

IP مورد نظر، 104.130.139.134 است که به سرورهای Rackspace تعلق دارد و بسیاری از وب‌سایت‌های قربانی در آن پشتیبانی می‌شوند. ما با Rackspace تماس گرفتیم و تهدید مذکور را برای آن‌ها شرح دادیم. امیدوار هستیم که هرچه سریع‌تر راهکاری برای جلوگیری از حمله‌های مشابه از طریق سرورهای مذکور پیاده‌سازی شود. البته هنوز پاسخی دریافت نکرده‌ایم.

آسیب‌پذیری افزونه‌های وردپرس

حمله‌هایی که توسط گروه محققان کشف شدند، از آسیب‌پذیری‌های مشهور در افزونه‌های وردپرس استفاده می‌کنند. از میان مشهورترین آن‌ها می‌توان به افزونه‌های nd-booking، nd-travel و nd-learning از NicDark اشاره کرد.

بیشتر بدانید:چهار سناریویی که آینده امنیت سایبری را به خطر می اندازند

تحقیق اولیه‌ روی کمپین مجرمان سایبری نشان می‌داد که اسکریپت‌های مخرب به وب‌سایت تزریق می‌شوند. اسکریپت‌ها باعث ایجاد آدرس‌های هدایت (redirect) یا پاپ‌آپ برای کاربری می‌شوند که از وب‌سایت قربانی بازدید می‌کند. بررسی عمیق‌تر نشان داد که اسکریپتی دیگر با هدف نصب در پشتی در وب‌سایت هم طی حمله تزریق می‌شود.

درنهایت مانند بسیاری از تحقیق‌های امنیتی، راهکارهای مقابله با نفوذ هم از سوی تیم محققان ارائه شد. در متن بیانیه‌ی مرتبط با حمله‌ی سایبری می‌خوانیم:

مانند همیشه، به‌روزرسانی افزونه‌ها و تم‌های وردپرس بهترین لایه‌ی امنیتی را در برابر کمپین‌های مجرمان سایبری ایجاد می‌کند. به‌صورت منظم نیاز به به‌روزرسانی را در وب‌سایت خود بررسی کنید و از دریافت آخرین پچ‌های امنیتی مطمئن شوید.