هکرها قادر خواهند بود تا با روش “تزریق کد”، وب‌سایت‌هایی با نگارش قدیمی‌تر از 4.2.1 وردپرس را مورد حمله قرار دهند

به تازگی، مرکز تحقیق و امنیت فنلاندی Klikki Oy در اطلاعیه‌ای جدید، اعلام کرد که حفره‌ی امنیتی در فایل‌های پیش‌فرض نصبی سیستم مدیریت محتوای وردپرس منتشر شده که به هکرها اجازه می‌دهد تا کنترل بخش مدیریتی وب‌سایت را به دست بگیرند! این مشکل امنیتی از روش “تزریق کد” یا “Cross-Site Scripting” موسوم به XSS توسط هکرها انجام می‌شود و همین موضوع، سبب شده تا WordPress، یک بروزرسانی جدید را برای رفع این مشکل، عرضه نماید.

نسخه‌هایی که این مشکل را دارند، ورژن‌های 4.2، 4.1.2 و 4.1.1 از وردپرس بر روی ورژن‌های MySQL 5.1.53 و MySQL 5.1.41 را شامل می‌شود و در حال حاضر، میلیون‌ها وب‌سایت در سراسر جهان، این مشکل را دارند. هکرها با روش تزریق کد قادر خواهند بود تا حد به وب‌سرور سایت نیز دسترسی پیدا کرده و هر آنچه را که می‌خواهند، انجام دهند. روش انجام این کار توسط این افراد نیز بدین گونه است که یک کامنت حاوی کد JavaScripct با حجم بالای 64 کیلوبایت (برابر با حدودا 65,535 کاراکتر) در سایت ارسال می‌شود و اندازه‌ای آن، به قدری بلند است که دیتابیس وب‌سایت تشخیص داده و آن را کوتاه کند. پس از کوتاه کردن این کامنت، محتوای آن به صورت یک فایل HTML ناقص نمایش داده شده و محتوای کد JavaScripct، عملیات تخریبی خود را به آرامی آغاز می‌کند.

زمانی که وب‌سایت مورد نظر به خطر بیفتد، دست هکرها به اندازه‌ی کافی برای دزدیدن اطلاعات شما باز خواهد بود و آنها می‌توانند، تمامی کلمات عبور شما را تغییر داده و به تنظیمات مدیریتی نیز دسترسی پیدا کنند.

البته این موضوع در میلیون‌ها وب‌سایت دیده می‌شود و شاید همین الآن که این مطلب را می‌خوانید، وب‌سایت شما نیز در خطر باشد اما باید بدانید که چند فاکتور نیز در این میان هستند که این موضوع را محدود می‌کنند و باید به آنها توجه داشت. اول اینکه این کامنت و یا نظر که در وب‌سایت شما قرار داده می‌شود، به همین سادگی کار خود را آغاز نمی‌کند و در ابتدا باید مورد تایید مدیریت وب‌سایت قرار بگیرد. متاسفانه در برخی از وب‌سایت‌ها، نظرات به صورت خودکار تایید و نمایش داده می‌شوند، به همین جهت هکرها ابتدا با یک کامنت ساده، وب‌سایت مورد نظر را بررسی کرده و اگر مشکلی از بابت تایید کامنت وجود نداشته باشد، عمل تزریق کد را انجام خواهند داد.

مورد دوم به وب‌سایت‌هایی مربوط می‌شود که از پلاگین Aksmit استفاده می‌کنند، خوشبختانه باید بگوییم که این وب‌سایت‌ها، در خطر هکرها نخواهند بود. البته اکثر قریب به اتفاق وب‌سایت‌هایی که از وردپرس برای انتشار مطالب خود استفاده می‌کنند، این پلاگین را بر روی وب‌سایت خود دارند و با توجه به توضیحاتی که آقای Matt Mullenweg ارائه کرده، امنیت این‌ وب‌سایت‌ها تهدید نخواهد شد. همچنین در ادامه، Mullenweg اذعان داشته که تا کنون WordPress هیچ اطلاعاتی در مورد این حفره‌ی امنیتی منتشر نساخته، اما با توجه به افشاگری‌های مرکز Klikki Oy، اقدامات برای هک کردن سایت‌ها از این طریق، از نوامبر سال گذشته شدت گرفته است.

به هر شکل، پیشنهاد می‌کنیم همین حالا وب‌سایت خود را به نسخه‌ی WordPress 4.2.1 بروزرسانی کنید تا از این مشکل و خطر، در امان باشید. این بروزرسانی یک هفته پس از عرضه‌ی 4.2 منتشر شده و هم‌اکنون نیز در دسترس است.