پلاگین MailPoet عامل هک ۵۰ هزار وبسایت و وبلاگ وردپرسی شد
اگر وبلاگ یا وبسایت وردپرسی دارید، هر چه زودتر نسبت به آپدیت آن و پلاگین های نصب شده تان اقدام کنید و تا حد ممکن امنیت وبسایت خود را هم بالا ببرید. حفره امنیتی جدیدی ...
اگر وبلاگ یا وبسایت وردپرسی دارید، هر چه زودتر نسبت به آپدیت آن و پلاگین های نصب شده تان اقدام کنید و تا حد ممکن امنیت وبسایت خود را هم بالا ببرید. حفره امنیتی جدیدی در یکی از پلاگین های این سیستم مدیریت محتوا بروز کرده که به شدت خطرناک است.
هکرها به تازگی یک حفره امنیتی در افزونه MailPoet، کشف کرده اند که به آنها اجازه آپلود فایل های مخرب، تغییر ظاهر سایت، ارسال اسپم، ایجاد در پشتی و موارد مشابه در سایت های وردپرسی که دارای این ضعف امنیتی باشند را می دهد.
افزونه MailPoet از پلاگین های شناخته شده وردپرس برای تولید و ارسال و مدیریت خبرنامه از طریق وردپرس است که تا به حال بیش از ۱٫۹ میلیون بار دانلود شده و مورد استفاده قرار گرفته است.
در پستی که دنیل سید -محقق امنیت و رئیس شرکت امنیتی Sucuri- در وبلاگ شرکت منتشر کرده گفته این حفره امنیتی بسیار جدی است و پیشگیری از خطرات احتمالی آن ضروری است. به گفته او طی سه هفته اخیر ۵۰ هزار سایت و وبلاگ نیروگرفته از وردپرس از طریق این حفره مورد هدف هکرها قرار گرفته و هک شده اند. در برخی از وبسایت های هدف، پلاگین MailPoet حتی فعال نبوده و تنها بر روی وردپرس نصب شده بوده است.
او در این پست وبلاگی نوشته:
«واضح شده که مشکل از پلاگین MailPoet است. فرقی نمی کند که این پلاگین فعال باشد یا خیر، تنها در صورتی که بر روی وردپرس تان نصب شده باشد می توانید مورد هدف قرار گیرید. و مشکل اینجاست که در صورتی که بر روی یک سرور و در همسایگی سایت شما سایتی باشد که از این پلاگین استفاده کند، شما هم در خطرید.»!
شرکت امنیتی Sucuri چند هفته پیش و در ابتدای ماه جاری میلادی وجود این حفره را گزارش کرد. در پشتی موجود در این پلاگین به حمله کننده اجازه می دهد کنترل کامل وبسایت را به دست گیرد. همچنین امکان دستکاری در پشتی و دسترسی به قالب ها و هست سایت نیز از طریق این ایراد امنیتی وجود دارد.
بدترین بخش این مشکل این است که کد مخرب بر روی کدهای سالم بازنویسی شده و بازیابی نسخه سالم فایل ها را بسیار مشکل می کند.
شرکت امنیتی Sucuri تمرکز بسیاری بر کشف حفره های امنیتی وردپرس دارد. هفته گذشته نیز این شرکت از کشف یک ایراد امنیتی مهم در پلاگین WPtouch -که برای دسترسی به نسخه موبایلی از ابزارهای موبایل مورد استفاده قرار می گیرد- خبر داد. هکرها با استفاده از آن ایراد نیز می توانند بدون نیاز به اطلاعات ورود، به حساب مدیر سایت وارد شده و به آپلود فایل های مخرب و ایجاد درهای پشتی برای ورود مجدد اقدام کنند.
توصیه می شود همواره جهت افزایش ضریب امنیتی سایت یا وبلاگ وردپرسی تان، وردپرس و پلاگین های نصب شده بر روی آن را به روز نگه دارید. همچنین پشتیبان گیری از سایت یا وبلاگ تان را پشت گوش نیاندازید.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
واقعا ممنون چون من خودم از ورد پرس استفاده می کنم و می خواستم این رو نصب کنم.
دوستان شاید باور نکنید ولی دو روز پیش هاست من به خاطر ارسال انبوهی از ایمیلی های اسپم توسط سرویس دهنده ام فسخ شد ایمیل های اسپمی که من از هیچ کدومشون خبر نداشتم !! البته لطف کردن پس از تخیله هاست اونو به من بازگردوندند !! فک کنم کار همون هکر ها بوده :(
من اصلا وبلاگ نویسی بلد نیستم نظر ندم بهتره
فقط مرسی دیجیاتو . از برق واسه زندگی من لازم تری
اینم اکسپلویت این حفره امنیتی برای دوستان علاقهمند به امنیت :
http://www.exploit-db.com/exploits/33991
من که از وردپرس استفاده نمیکنم ولی یه دوستم اونم استفاده نمیکنه :) ;)
ایول باحال بود :D
تشگر و سپاس
ممنون آقای صادقپور عالی بود
بعضی سایتا فکر میکنن که اسم تکنولوژی که اومد یعنی موبایل بابا تکنولوژی یعنی همه چی نه کپی کردن نه اسمتو از بزرگترین سایت ایران گرفتن و ادعا کردن
همیشه از این حفره ها تو پلاگین ها قالب ها بوده... واسه همین توصیه میشه تو وردپرس اگه به پلاگینی نیاز ندارید الکی نصب نکنید و هر اپدیتی اومد سریع اپدیت کنید :)
من خوپم سره یکی ار این پلاگین ها سایتمو هکر های سوریه هک کردن ....
Modern combat 5 عرضه شد توى استو امريكا https://itunes.apple.com/us/app/modern-combat-5-blackout/id656176278?mt=8
سلام خدمت دوستان
از بچه های اینجا کسی علاقه و توانایی برای همکاری در زیر نویس کردن آموزش های نرم افزاری رو داره؟
اگر دوست داشتیدبگید من میلم رو بدم با همدیگه یه همکاری رو شروع کنیم
جزیات بیشتر در میل گفته میشه