افزونه‌ی محبوب وردپرس به‌مدت ۵ سال اعتبار سایت‌ها را مخفیانه سرقت می‌کرد!

افزونه‌‌ای با نام «Quick Page/Post Redirect» که روی بیش از ۷۰ هزار وب‌سایت وردپرسی نصب است، حدود ۵ سال یک درِ پشتی (Backdoor) مخفی داشته که به مهاجمان اجازه می‌داد کدهای دلخواه را روی سایت‌های میزبان اجرا کنند.

این پلاگین ابزار ساده‌ای برای ریدایرکت (تغییر مسیر) در صفحات و نوشته‌های وردپرس است اما به ابزاری برای سرقت اعتبار سایت‌ها در گوگل تبدیل شده بود.

بدافزار چگونه کار می‌کرد؟

یک پژوهشگر امنیتی به نام «آستین گیندر» پس از دریافت هشدار امنیتی از ۱۲ سایت آلوده‌، ردپای این بدافزار را پیدا کرد. بررسی‌های او نشان داد نسخه‌های 5.2.1 و 5.2.2 افزونه که بین سال‌های ۲۰۲۰ تا ۲۰۲۱ منتشر شده بودند، یک مکانیسم به‌روزرسانی مخفی داشتند.

هکرها با این مکانیزم، سرورهای رسمی و امن وردپرس را به طور کامل دور می‌زدند و سایت‌های قربانی را مجبور به دریافت فایل‌های آلوده از یک سرور ناشناس ‌می‌کردند. این یعنی سایتی که افزونه روی آن نصب بوده در پس‌زمینه و بدون اطلاع مدیران، از یک منبع غیرمجاز دستور می‌گرفت!

هوشمندی این بدافزار، در مخفی‌کاری بی‌نظیر آن نهفته بود. کدهای مخرب تنها زمانی فعال می‌شدند که کاربر از حساب کاربری ادمین خارج شده بود. این ترفند هوشمندانه باعث می‌شد مدیران سایت متوجه تغییرات مشکوک و فعالیت‌های غیرعادی در صفحات وب‌سایت خود نشوند.

هدف اصلی هکرها سوءاستفاده از اعتبار سایت‌ها برای «سئوی کلاه سیاه» بوده است. در این روش مهاجم با تزریق لینک‌ها یا کدهای پنهان به سایت‌های معتبر، «اعتبار» آن‌ها را به سرقت می‌برد تا رتبه‌ی سرویس‌های خود را در جستجوگر گوگل ارتقا دهد.

چرا کدهای مخرب سال‌ها شناسایی نشدند؟

دلایل متعددی باعث شد تا این نفوذ گسترده سایبری برای ۵ سال شناسایی نشود و در لایه‌های پنهان سایت‌ها به حیات خود ادامه دهد:

• دور زدن ناظران: کدهای مخرب قبل از بررسی امنیتی توسط ناظران کد وردپرس، به‌طور موقت از نسخه‌های عمومی حذف می‌شدند.
• تغییر شناسه فایل‌ها: نسخه آلوده‌ای که از سرور هکرها در پس‌زمینه دانلود می‌شد، هش (Hash) کاملاً متفاوتی با نسخه تمیز داشت، اما با همان نام فعالیت می‌کرد.
• هدف‌گیری ربات‌ها: بدافزار به جای از کار انداختن سایت، تنها به دنبال دستکاری نتایج برای ربات‌های خزنده‌ی موتورهای جستجو بود.

در آخر: مدیران سایت‌های وردپرسی چه کنند؟

سرور فرمان‌دهی مهاجمان در حال حاضر غیرفعال به نظر می‌رسد، اما دامنه‌ی آن همچنان فعال است و هر لحظه ممکن است کدهای جدیدی را به سایت‌های هدف تزریق کند.

مخزن رسمی وردپرس این افزونه را تا زمان پاک‌سازی و بررسی دقیق‌تر از دسترس خارج کرده است. اگر شما هم از افزونه Quick Page/Post Redirect استفاده می‌کنید، توصیه می‌شود همین امروز آن را به طور کامل از سایت خود حذف کنید.

برای جایگزینی از افزونه‌های معتبر دیگر استفاده کنید و تنها زمانی به این افزونه بازگردید که نسخه ایمن و پاک‌سازی‌شده‌ی آن (احتمالاً نسخه 5.2.4) به صورت رسمی در وردپرس منتشر شود.