باگ امنيتي جديد وردپرس ميليون‌ها سايت را آسيب پذير مي‌كند

هكر با استفاده از حفره‌ي امنيتي جديد در وردپرس، به داشبورد اين نرم افزارِ مديريتِ محتوا وارد شده و اقدام به هكِ وردپرس يا آپلود فايل‌هاي شل بر روي هاست مي‌پردازد. اين باگ فقط در نسخه‌اي از ورپرس مشاهده شده كه به صورت پيش فرض در آن، قالب TwentyFifteen و پلاگين JetPack نصب شده باشد.

XSS يكي از روش‌هاي نفوذ به وب‌سايت‌ها است و وجود حفره‌هاي امنيتي مرتبط با آن در يك وب‌سايت، امكان بروز چنين حملاتي را افزايش مي‌دهد. در اين نوع حملات مهاجمان سايبري با تزريق اسكريپت‌هاي مخرب به وب‌سايت، در واقع بازديد‌كننده‌ي اين وب‌سايت را هدف قرار مي‌دهند و مي‌توانند اطلاعات متخصصان را به سرقت ببرند. XSS كوتاه‌شده‌ي عبارت Cross Site Scripting است، البته سرنام واقعي اين عبارت به صورت CSS است كه چون اين مخفف در دنياي وب از چندين سال پيش استفاده مي‌شد، عبارت XSS جايگزين آن شده است.

آسيب پذيري جديد برخي افزونه‌هاي وردپرس را هدف قرار مي‌دهد كه قالب TwentyFifteen و پلاگين JetPack جزو اين افزونه‌هاي آسيب پذير است. حتي اگر در هاست وب‌سايت شما فايلي به نام example.html وجود داشته باشد، احتمال آسيب پذيري وب‌سايتتان افزايش خواهد يافت. از اين‌رو براي جلوگيري از هرگونه حملات سايبري ابتدا اين فايل را از وردپرس خود پاك كنيد. شركت امنيتي Sucuri چندين كمپاني فعال در هاستينگ مانند Godaddy، Dreamhost و WPEngine را معرفي كرده كه به اين حملات آسيب پذير هستند. البته اين شركت‌ها سريعا بروزرساني را براي رفع اين اشكال ارائه كرده‌اند.

اما براي ايمن ماندن از هرگونه حملات انجام چند نكته نيز ضروري است؛ به همين منظور ابتدا به پنل مديريتي وردپرس رجوع كرده و بروزرساني افزونه‌ها را نصب كنيد. پس از آن استفاده از يك فايروال قوي نيز توصيه مي‌شود. اين نكته را هم در انديشه متخصصين داشته باشيد كه هرچه‌قدر هم كه امنيت وب‌سايت شما برايتان مهم نباشد، با نفوذ و اجراي حمله در وب‌سايت و به همين ترتيب در سرور، احتمال هك شدن وب‌سايت‌هاي ديگر موجود در همان سرور نيز افزايش مي‌يابد، به عبارتي حملات مَس‌ديفيس به راحتي قابل اجرا شدن خواهد بود.