متداولترین مشکلات امنیتی وردپرس چیست؟

1. انتشار بدافزارها 2. استفاده از رمزهای عبور ساده و ضعیف 3. آسیبپذیری در برابر تزریق SQL 4. حملات اسکریپتهای بین وب سایتی (XSS) 5. عدم بهروزرسانی افزونهها، پوستهها و نرمافزارهای وردپرس 6. حملات (DDoS) 7. سوءاستفاده از SEO برای ارسال هرزنامه.

8 افزونه آسیب پذیر وردپرس که مورد حمله هکرها قرار گرفتند

Q: اگر وب سایت من دچار آسیب پذیری شد چکار کنم؟

آرامش خود را حفظ کنید، منبع آسیبپذیری را شناسایی کرده و افزونهها و وردپرس را به آخرین نسخه بهروزرسانی کنید. برای مشکلات غیر وردپرسی، با ارائهدهنده میزبانی تماس بگیرید.

۰۶ آذر ۱۴۰۳

آقای جعفری مقالات 0 آخرین بروزرسانی : ۱۷ شهریور ۱۴۰۴ زمان مطالعه : 0 دقیقه 797 0

اگر وب سایت شما هک شود، هکرها می‌توانند از آن برای انجام فعالیت‌های مخرب مانند سرقت اطلاعات حساس، نمایش تبلیغات ناخواسته و حتی تخریب ظاهر وب سایت استفاده کنند. این نوع حملات می‌توانند اثرات جبران‌ناپذیری بر کسب‌ و کار شما بگذارند، از جمله تعلیق حساب گوگل‌ ادز، کاهش بازدیدکنندگان، از دست دادن مشتریان و در نتیجه کاهش درآمد.

به همین دلیل، آگاهی از افزونه آسیب پذیر وردپرس و مسائل امنیتی مرتبط با آن‌ اهمیت زیادی دارد. در این مقاله، تعدادی از افزونه آسیب پذیر وردپرس که توسط صاحبان وب سایت‌های وردپرسی استفاده می‌شوند را معرفی خواهیم کرد.

چگونه یک افزونه وردپرس می‌تواند آسیب‌ پذیر شود؟

مهم است بدانید که افزونه‌های وردپرس توسط توسعه‌دهندگان شخص ثالث طراحی و ایجاد می‌شوند و تیم اصلی وردپرس مستقیما در ساخت آن‌ها نقشی ندارد. بیشتر افزونه‌ها در مخزن رسمی وردپرس در دسترس هستند، اما می‌توانید آن‌ها را در وب سایت‌های معتبری مانند CodeCanyon یا از طریق وب سایت اختصاصی افزونه نیز پیدا کنید. امروزه بیش از ۵۰,۰۰۰ افزونه وردپرس وجود دارد و هر روز بر تعداد آن‌ها افزوده می‌شود.

توسعه‌دهندگان معمولا تلاش می‌کنند افزونه‌های خود را به‌ خوبی مدیریت و نگهداری کنند تا امنیت کاربران تضمین شود، به‌ ویژه در مورد افزونه‌های پولی. این افزونه‌ها طبق دستورالعمل‌های مشخصی طراحی می‌شوند تا امنیت کاربران را تامین کنند. با این حال، توسعه‌دهندگان به‌ طور مداوم محصولات خود را بهبود می‌بخشند و گاهی برای افزودن ویژگی‌های جدید دچار کمبود زمان می‌شوند. در این فرایند، ممکن است برخی از نقص‌های امنیتی نادیده گرفته شوند و همین موضوع باعث می‌شود افزونه در برابر حملات آسیب‌ پذیر باشد.

هکرها وقتی یک آسیب‌ پذیری را کشف می‌کنند، می‌توانند از آن برای انجام حملات مختلف استفاده کنند، از جمله:

هدایت بازدیدکنندگان به وب سایت‌های ناشناس و غیرمجاز.
تزریق تبلیغات اسپم و محتوای ناخواسته به وب سایت شما.
نصب بد افزار هایی مانند wp-feed.php برای اجرای حملات دیگر.
ایجاد حساب‌های کاربری مخرب با سطح دسترسی ادمین.
استفاده از منابع سرور شما برای انجام حملات DDoS یا ارسال ایمیل‌های اسپم.

حملات این‌چنینی می‌توانند سرعت وب سایت شما را به‌ شدت کاهش دهند، رتبه شما در موتورهای جستجو را پایین بیاورند و همچنین به کسب‌ و کار، درآمد و اعتبار شما آسیب جدی وارد کنند. از آنجا که افزونه آسیب پذیر وردپرس مهم‌ترین عامل هک شدن وب سایت‌ها است، آگاهی از اینکه کدام افزونه‌ها بیشتر در معرض خطر قرار دارند و چه راه‌ حل‌هایی برای رفع آن‌ها موجود است، بسیار اهمیت دارد.

معرفی ۸ افزونه آسیب پذیر وردپرس

نکته مهم: اگر از هر یک از این افزونه‌ها در وب سایت وردپرسی خود استفاده می‌کنید، اکیدا توصیه می‌کنیم فورا به آخرین نسخه موجود به‌روزرسانی کنید تا از حملات احتمالی جلوگیری شود.

در گذشته، افزونه‌های محبوب وردپرس مانند NextGen Gallery، Yoast SEO و Ninja Forms هدف حملات قرار گرفته‌اند. در این بخش، به فهرستی از افزونه‌های آسیب‌ پذیر وردپرس خواهیم پرداخت که اخیرا توسط هکرها مورد حمله قرار گرفته‌اند.

۱. آسیب پذیری افزونه مهاجرت Duplicator

افزونه Duplicator برای مهاجرت و پشتیبان‌گیری از وب سایت‌های وردپرس استفاده می‌شود. کاربران می‌توانند از وب سایت خود نسخه پشتیبان تهیه کرده و آن را دانلود کنند یا وب سایت خود را به دامنه یا هاست جدید منتقل کنند. این افزونه با بیش از ۱ میلیون نصب فعال از محبوب‌ترین افزونه‌ها است. اخیرا، این افزونه یک آسیب‌ پذیری به نام “دانلود فایل دلخواه” پیدا کرد.

این آسیب‌ پذیری به هکرها امکان می‌داد محتوای وب سایت‌های وردپرسی که افزونه روی آن‌ها نصب شده بود را استخراج کنند. هکرها می‌توانستند فایل‌های محرمانه و اطلاعات پایگاه داده را سرقت و به وب سایت نفوذ کنند. توسعه‌دهندگان این افزونه آسیب‌پذیری را شناسایی و به سرعت به‌روزرسانی امنیتی در نسخه ۱.۳.۲۸ Duplicator و نسخه ۳.۸.۷۱ Duplicator Pro منتشر کردند. کارشناسان امنیتی معتقدند که بیش از ۵۰۰,۰۰۰ کاربر هنوز از نسخه آسیب‌ پذیر استفاده می‌کنند و آن را به‌روزرسانی نکرده‌اند.

بیشتر بخوانید! معرفی ExactMetrics – بهترین افزونه تحلیل وب سایت

۲. افزونه آسیب پذیر وردپرس ThemeGrill Demo Importer

ThemeGrill افزونه‌ ها و تم‌های ریسپانسیو رایگان و پریمیوم ارائه می‌دهد که به شما این امکان را می‌دهد تا وب سایتی حرفه‌ای بسازید. افزونه ThemeGrill Demo Importer به کاربران وردپرس این امکان را می‌دهد که تم‌های رسمی ThemeGrill را مستقیما به داشبورد وردپرس خود وارد کنند.

علاوه بر تم‌ها، کاربران می‌توانند محتوا، ویجت‌ها و تنظیمات تم را نیز وارد کنند. این افزونه بیش از ۲۰۰,۰۰۰ نصب فعال دارد. با این حال، یک آسیب‌ پذیری در این افزونه به هکرها اجازه می‌دهد تا کنترل حساب ادمین را به دست بگیرند. هکرها می‌توانند شما را از دسترسی به وب سایت خود محروم کرده و حتی وب سایت را به طور کامل حذف کنند. توسعه‌دهندگان ThemeGrill به سرعت در نسخه ۱.۶.۳ این افزونه در فوریه ۲۰۲۰ یک پچ امنیتی منتشر کردند.

۳. آسیب پذیری بحرانی در افزونه Profile Builder

افزونه Profile Builder به شما این امکان را می‌دهد که به مشتریان خود گزینه ایجاد حساب کاربری در وب سایتتان را ارائه دهید. با استفاده از این افزونه می‌توانید فرم‌های ورود و ثبت‌نام برای کاربران در بخش جلویی سایت ایجاد کنید. همچنین، این افزونه فرم‌هایی برای شخصی‌سازی حساب‌های کاربری مشتریان ارائه می‌دهد. این افزونه سه نسخه مختلف دارد: رایگان، پرو و هابیست. نسخه‌های پرو و هابیست نسخه‌های پریمیوم هستند. نسخه پرو به شما اجازه می‌دهد افزونه را روی تعداد نامحدودی وب سایت وردپرس استفاده کنید، در حالی که نسخه هابیست تنها برای استفاده روی یک وب سایت مجوز دارد.

نسخه رایگان افزونه بیش از ۵۰,۰۰۰ نصب فعال دارد، در حالی که نسخه‌های پرو و هابیست به‌ طور مجموع حدود ۱۵,۰۰۰ نصب دارند. در فوریه ۲۰۲۰، یک آسیب‌ پذیری بحرانی در این افزونه کشف شد که تمام نسخه‌های افزونه را تحت تاثیر قرار می‌داد. یک اشکال در افزونه باعث می‌شد هکرها بتوانند حساب‌های ادمین غیرمجاز در وب سایت‌های وردپرس ثبت کنند. این آسیب‌ پذیری به هکرها اجازه می‌داد تا حساب ادمین مخرب ایجاد و کنترل کامل وب سایت را به دست بگیرند. این آسیب‌ پذیری تمام نسخه‌های افزونه از جمله نسخه ۳.۱.۰ را تحت تاثیر قرار می‌داد. به همین دلیل یک پچ امنیتی در نسخه ۳.۱.۱ منتشر شد.

بیشتر بدانید! ووکامرس چیست؟ آشنایی با افزونه woocommerce

۴. سوءاستفاده هکرها از افزونه Flexible Checkout Fields For WooCommerce

این افزونه یک افزودنی برای WooCommerce است که به کاربران این امکان را می‌دهد فیلدهای صفحه پرداخت را شخصی‌سازی کنند. به این معنی که کاربران می‌توانند فیلدهای پیش‌فرض صفحه پرداخت را ویرایش کرده و برچسب‌های دلخواه خود را جایگزین آن‌ها کنند. این افزونه بیش از ۲۰,۰۰۰ نصب فعال دارد. افزونه Flexible Checkout Fields به‌ خوبی نگهداری می‌شود و توسط توسعه‌دهندگان آن به‌ طور منظم به‌روزرسانی می‌شود.

با این حال، این افزونه دارای یک آسیب‌ پذیری است که هکرها شروع به سوءاستفاده از آن کردند. این آسیب‌ پذیری به هکرها اجازه می‌داد تا کدهای مخرب را به وب سایت‌های وردپرسی وارد کنند. این امکان را به هکرها می‌داد تا اقداماتی مانند ایجاد حساب‌های ادمین مخرب، سرقت داده‌ها و قفل کردن کاربر ادمین از دسترسی به وب سایت خود را انجام دهند. توسعه‌دهندگان افزونه به سرعت پچ امنیتی در نسخه‌های ۲.۳.۲ و ۲.۳.۳ در تاریخ ۲۵ فوریه ۲۰۲۰ منتشر کردند. از آن زمان، افزونه چندین بار به‌روزرسانی شده است.

5. افزونه آسیب پذیر وردپرس ThemeREX Addons

افزونه ThemeREX Addons به عنوان یک افزونه مکمل برای مجموعه‌ای از قالب‌های طراحی‌شده توسط ThemeREX ساخته شده است. این افزونه قابلیت‌ها و ابزارک‌های مختلفی را برای گسترش کارایی قالب‌های این مجموعه فراهم می‌کند و در حال حاضر روی حدود 44,000 وب‌ سایت وردپرسی نصب شده است. هکرها به یک آسیب‌ پذیری در این افزونه دست پیدا کردند و شروع به حمله به وب‌ سایت‌هایی که این افزونه را نصب داشتند، کردند. این ضعف امنیتی به مهاجمان اجازه می‌داد تا حساب‌های کاربری جدیدی با دسترسی مدیر ایجاد کنند.

ThemeREX به‌ سرعت یک به‌روزرسانی برای رفع این مشکل منتشر کرد، اما فرایند به‌روزرسانی افزونه ThemeREX Addons کمی پیچیده‌تر از معمول است. از آنجا که این افزونه در مخزن رسمی وردپرس موجود نیست، اعلان به‌روزرسانی آن در پیشخوان وب‌ سایت وردپرسی شما ظاهر نمی‌شود. برای دریافت اطلاعات در مورد به‌روزرسانی‌های این افزونه و قالب‌ها، باید در خبرنامه ThemeREX عضو شوید. همچنین افزونه ThemeREX Addons اغلب به‌صورت بسته‌بندی‌شده همراه با تعدادی از قالب‌های ThemeREX ارائه می‌شود. بسیاری از مدیران وب‌ سایت‌ها ممکن است تنها یک قالب از این مجموعه نصب کرده باشند، بدون اینکه بدانند این افزونه به‌ طور خودکار روی وب‌ سایت‌شان نیز نصب شده است.

اگر از هر کدام از قالب‌های ThemeREX استفاده می‌کنید، اکیدا توصیه می‌کنیم افزونه را به آخرین نسخه موجود به‌روزرسانی کنید. برای انجام این کار، می‌توانید از حساب کاربری خود در وب‌ سایت ThemeREX استفاده کنید. اگر موفق به انجام به‌روزرسانی نشدید، ممکن است نیاز باشد افزونه به‌روزرسانی‌کننده ThemeREX را نصب کنید. برای اطلاعات بیشتر درباره به‌روزرسانی این افزونه، با پشتیبانی ThemeREX تماس بگیرید.

بیشتر بدانید! Debug Bar ابزاری کاربردی برای بررسی عملکرد و خطاهای وب‌سایت است و به توسعه دهندگان کمک می‌کند مشکلات را سریع‌تر شناسایی کنند.

6. افزونه Async JavaScript

بیشتر بخوانید! 25 ترفند امنیتی وردپرس برای ایمن نگه‌داشتن وب‌ سایت

افزونه Async JavaScript یکی از ابزارهای مفید برای کاهش زمان بارگذاری صفحات وب‌ سایت است که به بهبود سرعت وب‌ سایت و تجربه کاربری کمک می‌کند. این افزونه با بهینه‌سازی نحوه بارگذاری فایل‌های جاوا اسکریپت، عملکرد وب‌ سایت‌های وردپرسی را افزایش می‌دهد و تاکنون بیش از 100,000 نصب فعال دارد. اما این افزونه نیز از آسیب‌ پذیری‌های امنیتی در امان نبوده است. یکی از این مشکلات امنیتی، به هکرها امکان می‌داد تا حملات از راه دور (مانند Cross-Site Scripting (XSS)) استفاده کنند. این نوع حملات می‌تواند به سرقت اطلاعات حساس کاربران، تغییر ظاهر وب‌ سایت قربانی و حتی فریب بازدیدکنندگان برای دانلود بدافزار یا افشای اطلاعات شخصی منجر شود.

خوشبختانه توسعه‌دهندگان این افزونه، تمامی مشکلات امنیتی را رفع کرده و اقدامات بیشتری برای تقویت امنیت افزونه انجام داده‌اند. امن‌ترین نسخه‌ای که تا زمان نگارش این مطلب در دسترس است، نسخه 2.20.03.01 می‌باشد. نکته مهم اینجاست که در بسیاری از موارد، توسعه‌دهندگان وردپرس این افزونه را هنگام طراحی وب‌ سایت نصب می‌کنند، اما صاحبان وب‌ سایت ممکن است از وجود آن اطلاعی نداشته باشند. خوشبختانه، افزونه Async JavaScript در مخزن رسمی وردپرس قرار دارد و اطلاعیه‌های به‌روزرسانی آن مستقیما در پیشخوان وردپرس نمایش داده می‌شود.

این یک هشدار است برای جلوگیری از مشکلات امنیتی و اطمینان از ایمنی وب‌ سایت خود، توصیه می‌کنیم به‌روزرسانی افزونه‌ها و بررسی آسیب‌ پذیری افزونه‌های وردپرس را به طور مداوم در برنامه کاری خود قرار دهید.

7. افزونه Modern Events Calendar Lite

افزونه Modern Events Calendar Lite یکی از ابزارهای محبوب برای مدیریت رویدادها در وب‌ سایت‌های وردپرسی است. این افزونه با رابط کاربری واکنش‌گرا و سازگار با موبایل، به مدیران وب‌ سایت‌ها امکان می‌دهد تقویم‌های رویداد زیبا و کاربر پسند را به‌ سادگی در وب‌ سایت خود نمایش دهند. نسخه رایگان این افزونه تاکنون بیش از 40,000 نصب فعال داشته است.

اما در فوریه 2020، یک آسیب‌ پذیری در این افزونه کشف شد که به هکرها اجازه می‌داد با تزریق بدافزار به وب‌ سایت‌های آسیب‌ پذیر، حملاتی مانند تغییر ظاهر وب‌ سایت و سرقت اطلاعات حساس را اجرا کنند. تمامی نسخه‌های افزونه تا نسخه 5.1.6 در برابر این مشکل امنیتی آسیب‌ پذیر بودند. توسعه‌دهندگان افزونه بلافاصله یک به‌روزرسانی امنیتی منتشر کردند و از آن زمان تاکنون نسخه‌های متعددی برای بهبود امنیت افزونه ارائه شده است.

8. افزونه 10Web Map Builder for Google Maps

افزونه 10Web Map Builder for Google Maps ابزاری کاربردی برای افزودن نقشه‌های گوگل به وب‌ سایت‌های وردپرسی است. این افزونه با امکانات پیشرفته و قابلیت‌های سفارشی‌سازی، در میان کاربران بسیار محبوب است و تاکنون بیش از 20,000 نصب فعال داشته است. اخیرا یک آسیب‌ پذیری در فرایند تنظیمات این افزونه شناسایی شد که به هکرها اجازه می‌داد اسکریپت‌های مخرب را به وب‌ سایت‌های وردپرسی تزریق کنند. این اسکریپت‌ها می‌توانند هم مدیران وب‌ سایت و هم بازدیدکنندگان را هدف حمله قرار دهند. توسعه‌دهندگان این افزونه در فوریه نسخه 1.0.64 را منتشر کردند که این آسیب‌ پذیری را برطرف می‌کند. اگر این افزونه روی وب‌ سایت شما نصب است، به‌روزرسانی به آخرین نسخه موجود ضروری است تا از آسیب‌ پذیری تزریق اسکریپت در امان باشید.

افزونه Login Lockdown: از سایت وردپرسی خود محافظت کنید

میزبانی وب پرسرعت با سخت‌افزار به‌روز و امنیت بالا! همین حالا میزبانی وب پویان آی تی را انتخاب کنید و از عملکرد پایدار سایتتان مطمئن باشید.

و در آخر

وجود افزونه آسیب پذیر وردپرس بخشی از چالش‌های مدیریت وب‌سایت است، اما خوشبختانه توسعه‌دهندگان معمولا به سرعت این مشکلات را برطرف می‌کنند. با این حال، بخش مهمی از مسئولیت بر عهده شماست. به‌عنوان مدیر وب‌ سایت، باید افزونه‌ها را به طور منظم بررسی و به آخرین نسخه به‌روزرسانی کنید. به‌روزرسانی مداوم افزونه‌ها نه تنها خطرات ناشی از افزونه آسیب پذیر وردپرس را کاهش می‌دهد، بلکه به حفظ امنیت سایت و جلوگیری از نفوذ هکرها کمک شایانی می‌کند.

سوالات متداول

اگر وب سایت من دچار آسیب پذیری شد چکار کنم؟

آرامش خود را حفظ کنید، منبع آسیب‌پذیری را شناسایی کرده و افزونه‌ها و وردپرس را به آخرین نسخه به‌روزرسانی کنید. برای مشکلات غیر وردپرسی، با ارائه‌دهنده میزبانی تماس بگیرید.