مقابله با حملات با بروزرسانی افزونههای Profile builder و Duplicator مقابله با حملات با بروزرسانی افزونههای Profile builder و Duplicator مقابله با حملات با بروزرسانی افزونههاتمام افرادی که از وردپرس برای ایجاد و طراحی سایت خود استفاده میکنند، همیشه به دنبال خبرهایی تازه در مورد بهروزرسانیهای افزونهها یا موارد دیگر، هستند. اما باید به این […]
مقابله با حملات با بروزرسانی افزونههای Profile builder و Duplicator
آنچه در این مقاله به اختصار خواهید خواند:
اگر در این چند مدت اخیر در مورد وردپرس و افزونههای آن در دنیای وب و اینترنت جستجویی کرده باشید، حتما خبر وجود یک آسیب پذیری مهم در افزونه Profile Builder برای وردپرس را مشاهده کردهاید. این آسیب پذیری و فقدان در این افزونه نه تنها بر نسخه رایگان بلکه در نسخههای Pro و Hobbyist آن تأثیر منفی گذاشته است. با توجه به منابع وردپرس، بیش از ۵۰،۰۰۰ سایت، نسخه رایگان افزونه Profile Builder و همچنین تقریباً ۱۵،۰۰۰ سایت نصب نسخه Pro و Hobbyist این افزونه را بر روی سایت وردپرسی خود اجرا کردهاند. با یک حساب سر انگشتی به این نتیجه میرسیم که در حدود ۶۵۰۰۰ سایت تحت تأثیر این افزونه و عواقب آن قرار گرفتهاند. فاجعه است!
تمام نسخههای Profile Builder تا نسخه ۳.۱.۰ این افزونه دچار این آسیب پذیری شدهاند. پس این نکته بسیار مهم است که هر سایتی که دارای یکی از این نسخههای آسیب پذیر این افزونه است، سریعاً باید به نسخه ۳.۱.۱ بهروزرسانی شود تا از افت و زمینگیر شدن سایت جلوگیری شود. برای اینکه از سوءاستفاده در سایتهایی که دارای Wordfence Premium جلوگیری شود، از یک قانون فایروال استفاده شده است. سایتهایی که از نسخه رایگان Wordfence استفاده میکنند، پس از سی روز این قانون را دریافت میکنند و مقابله با حملات اخیر توسط Wordfence انجام میشود.
البته در این مقاله ما سعی کردهایم که نگاهی اجمالی به آسیب پذیری این افزونه و اثرات بد آن بر روی سایتها بپردازیم. علاوه بر این، برخی از مراحلی که یک مالک سایت میتواند انجام دهد تا اثرات این افزونه را در صورتی که بهروزرسانی فوری امکان نداشته باشد، کاهش دهد، را خواهیم گفت.
Profile Builder افزونهای است که برای ایجاد فرمهای سفارشی، طراحی شده است که به کاربران این امکان را میدهد تا ثبت نام، ویرایش پروفایل خود و موارد دیگر را انجام دهند. همچنین دارای یک ویرایشگر نقش کاربر سفارشی است که به تمام ادمینها این امکان را میدهد که مجموعهای از امتیازات خاص را به کاربران سایت خود اختصاص دهند.
برای پیادهسازی این نقشهای کاربر سفارشی در فرآیند ثبت نام، این افزونه از هندلرهای فرم استفاده میکند تا یک نقش انتخاب شده را به یک کاربر جدید اختصاص دهد. این قسمت نقش کاربر یا نوع کاربر به طور پیشفرض موجود نیست اما میتواند توسط یک مدیر سایت اضافه شود تا لیستی از نقشهای تأیید شده را در فهرست کشویی ارائه دهد.
متأسفانه، یک اشکال در کنترل کننده فرم، این را برای کاربر مشکوک، محقق میسازد تا امکان ارسال ورودی در زمینههای فرم را که در شکل واقعی اصلا وجود ندارد، فراهم کند. به خصوص اگر ادمینهای یک سایت، User Role field را به فرم اضافه نکرده باشند، یک مهاجم یا هکر میتواند یک مقدار موجود در User Role را در زمان ارسال فرم خود، استفاده کند.
هنگامی که ادمینها User Role selector را به یک فرم اضافه میکنند، آنها باید لیستی از نقشهای تأیید شده را نیز برای کاربران جدید انتخاب کنند. اگر این لیست ایجاد شود، فقط نقشهای تأیید شده توسط کنترل کنندگان فرم، پذیرفته میشوند. هنگامی که فیلد User Role در فرم موجود نیست و یک هکر میتواند نقش کاربر یا user role را ارسال کند، در حالی که هیچ لیستی از نقشهای تأیید شده وجود ندارد و هر ورودی توسط کاربر، نیز پذیرفته خواهد شد.
این دو مسئله مطرح شده با هم ترکیب میشوند تا به هکرها و کاربران غیرمجاز این امکان را بدهند تا اکانتهای ادمین را در سایتهای آسیب پذیر وردپرسی ثبت کنند. و حالا این افراد با داشتن امتیازات ادمین سایت، میتوانند به طور موثری سایت را به دست بگیرند آن را از دسترس ادمین اصلی خارج کنند و همچنین میتواند بدافزار و ویروسها را در سایت رها کنند. چاره کار چیست؟ مقابله با حملات با بروزرسانی افزونهها گاهی بهترین راه ممکن است. اما این مسائل در نسخه Profile Builder version 3.1.1. رفع گردیدهاند.
ورکشاپرس تداعی خلاقیت و نوآوری در دنیای وردپرس فارسی است ، کیفیت محصولات ، پشتیبانی ویژه و منحصربه فرد از ویژگی های برجسته ورکشاپرس میباشد. تمامی محصولات تجاری مجموعه بصورت اورجینال از مراجع مربوطه خریداری شده و با بهترین کیفیت در اختیار شما عزیزان قرار میگیرد. ورکشاپرس از سال 1403 در پی کسب یک رضایت همگانی ایجاد شده است…
تمامی حقوق این سایت متعلق به شرکت ورکشاپرس می باشد.
طراحی و بهینه سازی : تیم سئوکار سیروتا
