هشت افزونه محبوب وردپرس که توسط هکرها مورد بهره‌برداری (سواستفاده) قرار گرفته اند

0
(0)

یک گزارش جدید حاکی از افزایش تعداد حملات علیه سایت های ورد پرسی (WordPress) را نشان می‌دهد که همه این هکرها از نقص‌های امنیتی در افزونه های محبوب بهره‌برداری می‌کنند.

بسیاری از حملات علیه سایت های WordPress در ماه گذشته، مربوط به هکرهایی میشود که میخواهند از خطاهای اخیر افزونه ها برای نفوذ به سایت ها استفاده کنند .

در موارد دیگر، هکر ها توانستند حمله ی روز صفر افزونه های مختلف را شناسایی کنند. حمله روز صفر (Zero-Day Attack) یک حمله یا تهدید رایانه‌ای است که از یک آسیب‌پذیری در یک نرم‌افزار کاربردی استفاده می‌کند که تا پیش از آن ناشناخته بوده ‌است. سئوف بهترین شرکت طراحی سایت در ایران.

لیست افزونه‌های وردپرسی هک شده:

اگر از هر یک از این افزونه ها در سایت خود استفاده می‌کنید، توصیه می‌شود که فورا آن‌ها را به روز رسانی کرده و در مورد به روز رسانی آن‌ها در طول سال هوشیار باشید.

Duplicator (بیش از یک میلیون  نصب)

Duplicator افزونه ای است که به مالکان سایت اجازه می‌دهد تا محتوای وب سایت خود را انتقال دهند. یک اشکال در نسخه ۱.۳.۲۸ به وجود امده بود که به هکرها اجازه می‌داد تا محتویات وب سایت از جمله اعتبارات پایگاه‌داده را منتقل کنند.

ThemeGrill Demo Importer  (دویست هزار نصب)

یک اشکال در این افزونه که از تم هایی ناشی شده بود که توسط ThemeGrill فروخته می‌شود، به هکرها اجازه داده بود تا سایت‌ها را پاک کنند و حساب مدیریتی را از دسترس خارج کنند.این خطا در نسخه ی  1.6.3. برطرف شد.

افزونه ی پروفایل ساز Profile Builder Plugin(۶۵،۰۰۰ نصب)

یک اشکال در نسخه‌های رایگان و پولی این پلاگین به هکرها اجازه می‌دهد حساب‌های مدیریتی غیر مجاز را ثبت کنند. این اشکال در روز دهم فوریه 2020 برطرف شد.

افزونه ی Flexible Checkout Fields for WooCommerce (20000 نصب)

بهره جویی از حمله ی روز صفر  در این افزونه به هکرها اجازه می‌دهد تا XSS را تزریق کنند. هکرها از XSS برای ایجاد حساب‌های مدیریتی استفاده کردند.

در روز26 فوریه وصله امنیتی این اشکال ارائه شد.

ThemeREX Addons

یک بهره جویی از حمله ی روز صفر  در این افزونه ، که از  تم‌های تجاری ThemeREX نشات میگیرد و به هکرها اجازه می‌دهد تا حساب‌های مدیریتی ایجاد کنند.

حملات در روز ۱۸ فوریه آغاز شد. هیچ پچی برای این خطا ایجاد نشده است، بنابراین به مالکان سایت توصیه می‌شود که هر چه زودتر این پلاگین  را حذف کنند.

Async JavaScript (100K نصب)

10Web Map Builder for Google Maps (20k نصب)

Modern Events Calendar Lite (40k نصب)

سه بهره جویی از حمله ی روز صفر مشابه دیگر در این افزونه ها کشف شدند. پچ برای هر یک از آن‌ها در دسترس است.

این مطلب چقدر مفید بود؟

از 1 تا 5 امتیاز بدید

درصد رضایت 0 / 5. تعداد رای: 0

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.