باگ امنيتي جديد وردپرس ميليونها سايت را آسيب پذير ميكند
هكر با استفاده از حفرهي امنيتي جديد در وردپرس، به داشبورد اين نرم افزارِ مديريتِ محتوا وارد شده و اقدام به هكِ وردپرس يا آپلود فايلهاي شل بر روي هاست ميپردازد. اين باگ فقط در نسخهاي از ورپرس مشاهده شده كه به صورت پيش فرض در آن، قالب TwentyFifteen و پلاگين JetPack نصب شده باشد.
XSS يكي از روشهاي نفوذ به وبسايتها است و وجود حفرههاي امنيتي مرتبط با آن در يك وبسايت، امكان بروز چنين حملاتي را افزايش ميدهد. در اين نوع حملات مهاجمان سايبري با تزريق اسكريپتهاي مخرب به وبسايت، در واقع بازديدكنندهي اين وبسايت را هدف قرار ميدهند و ميتوانند اطلاعات متخصصان را به سرقت ببرند. XSS كوتاهشدهي عبارت Cross Site Scripting است، البته سرنام واقعي اين عبارت به صورت CSS است كه چون اين مخفف در دنياي وب از چندين سال پيش استفاده ميشد، عبارت XSS جايگزين آن شده است.
آسيب پذيري جديد برخي افزونههاي وردپرس را هدف قرار ميدهد كه قالب TwentyFifteen و پلاگين JetPack جزو اين افزونههاي آسيب پذير است. حتي اگر در هاست وبسايت شما فايلي به نام example.html وجود داشته باشد، احتمال آسيب پذيري وبسايتتان افزايش خواهد يافت. از اينرو براي جلوگيري از هرگونه حملات سايبري ابتدا اين فايل را از وردپرس خود پاك كنيد. شركت امنيتي Sucuri چندين كمپاني فعال در هاستينگ مانند Godaddy، Dreamhost و WPEngine را معرفي كرده كه به اين حملات آسيب پذير هستند. البته اين شركتها سريعا بروزرساني را براي رفع اين اشكال ارائه كردهاند.
اما براي ايمن ماندن از هرگونه حملات انجام چند نكته نيز ضروري است؛ به همين منظور ابتدا به پنل مديريتي وردپرس رجوع كرده و بروزرساني افزونهها را نصب كنيد. پس از آن استفاده از يك فايروال قوي نيز توصيه ميشود. اين نكته را هم در انديشه متخصصين داشته باشيد كه هرچهقدر هم كه امنيت وبسايت شما برايتان مهم نباشد، با نفوذ و اجراي حمله در وبسايت و به همين ترتيب در سرور، احتمال هك شدن وبسايتهاي ديگر موجود در همان سرور نيز افزايش مييابد، به عبارتي حملات مَسديفيس به راحتي قابل اجرا شدن خواهد بود.
هم انديشي ها