صدمه بسیار خطرناک در افزونه Duplicator وردپرس
در طی روزهای گذشته متاسفانه وردپرس مورد حمله هکرها در سطح جهان قرار گرفته است. در روزهای گذشته شاهد این بودیم که فایل wp-config.php وردپرس در بسیاری از سایتها به صورت خودکار حذف شده و هنگام باز کردن سایت با صفحه نصب وردپرس مواجه می شدیم. طی چند روز گذشته نیز بسیاری از سایتهای وردپرسی که از افزونه Duplicator استفاده میکنند مورد حمله قرار گرفته و از طریق کنترل و اجرای دستورات از راه دور توسط هکرها مورد هک قرار گرفتهاند.
خطر هک در وردپرس توسط افزونه Duplicator
همانطور که میدانید افزونه Duplicator وردپرس امکان ساخت قالب های متفاوت در وردپرس را به شما میدهد که با این افزونه میتوانید از محتوا و تنظیمات کامل یک وبسایت یک نسخه به صورت کپی شده تهیه کرده و سپس با استفاده ازقالب وردپرس همین نسخه کپی شده را در سایت دیگر و با دامنهای متفاوت بدون اینکه نیاز باشه صفحات را مجددا طراحی کنید، انتقال دهید. بنابراین استفاده از این افزونه بسیار زیاد می باشد و این افزونه تاکنون بیش از یک میلیون نصب فعال در وردپرس را به خود اختصاص داده است.
چطور هک از طریق افزونه Duplicator اتفاق می افتد؟
همانطور که میدانید با استفاده از این افزونه کلیه تنظیمات و اطلاعات دیتابیس، قالب وردپرس، افزونههای وردپرس و به طور کلی هر اطلاعاتی که در وردپرس وجود دارد این امکان را پیدا میکنید که یک نسخه خروجی از آن تهیه کنید. در این نسخه خروجی دو فایل installer.php و فایی که شامل محتویات سایت و دیتابیس هست که با استفاده از فایل database.sql هم امکان درون ریزی دادههای دیتابیس در سایت جدید فراهم خواهد شد.
وقتی که تصمیم به نصب قالب با استفاده از بسته نصبی در سایت گرفته میشود، فایلهای database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql و پوشه wp-snapshot نیز در کنار سایر فایلهای پیشفرض وردپرس قرار میگیرند. مشکل هک وردپرس درست از همینجا آغاز میشود که به دلیل وجود باگ در این افزونه باعث میشه که هکر بتوانید امکان دو بار نصب وردپرس رو به دست بیارد که یک بار هم مشابه همین مشکل در سال گذشته رخ داد و باعث هک بسیاری از سایتهای وردپرسی شد.
این موضوع باعث میشود که هکر در مرحله اول سایت شما را ریست کند و با ارسال یک سری فایل مخرب فایل wp-config.php وردپرس را ویرایش کرده و از نو بازنویسی کند که این مسئله اولین قدم برای از دست خارج شدن سایت هست. طی بررسی که روی چند فایل wp-config.php برخی سایتها داشتیم کدهای این فایل به شکل زیر تغییر کرده بودند.
همانطور که میبینید اطلاعات دیتابیس به صورت کلی از بین رفته و با چیز دیگری جایگزین شده و علاوه بر این هم یک سری کد در این فایل اضافه شده که باعث شده هکر یک درب پشتی برای هک مجدد برای خودش ایجاد کند. بعد از این هک معمولا با دو مشکل اساسی مواجه خواهید شد.
راهکار چیست؟
اولین کاری که باید انجام شود این است که آخرین نسخه بک آپ وردپرس بازگردانی شود که به صورت سالم است. برای این کار میتوانید از میزبانی هاست بخواهید که آخرین نسخه بک آپ را ریستور کند. سپس نسخه آپدیت شده افزونه Duplicator وردپرس که بعد از این بررسی شده و مشکل هک برطرف شده را دانلود کنید. اگر به پیشخوان وردپرس دسترسی داشتید اقدام به آپدیت افزونه بکنید.
از اونجایی که به این افزونه احتیاجی نخواهید داشت سریعا بعد از آپدیت از سایت آن را حذف کنید و در نهایت فایلهای database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql که در هاست قرار دارد را هم پاک کنید. بعد از انجام این کار میتوانید از خطر هک مجدد جلوگیری کنید. اگر هم تا کنون سایت شما مورد هک قرار نگرفته حتما همه این راهکارها را دنبال کنید، چرا که این باگ به صورت گسترده است و تا زمانی که از آخرین نسخه افزونه استفاده نکنید، سایت هک خواهد شد.
