همین حالا دنبال کن:

خبر و تحلیل فروش آنلاین

کشف آسیب‌پذیری حیاتی در افزونه وردپرس: ۶۰ هزار وب‌سایت در خطر دسترسی غیرمجاز

همین حالا آپدیت کنید!
لوگوی وردپرس روی بک‌گراندی از کدهای نرم‌افزاری و مادربردی که ترک خورده، نمادی از آسیب‌پذیری در وردپرس.
یونس مرادی
زمان مطالعه ۲ دقیقه
بازبینی: شایان ضیایی
صحت سنجی شده

فهرست:

محققان امنیت سایبری از وجود یک آسیب‌پذیری بسیار خطرناک در وردپرس خبر داده‌اند که بیش از ۶۰ هزار وب‌سایت را در معرض خطر جدی قرار داده است. این نقص امنیتی در افزونه پرکاربرد «ثبت‌نام و عضویت کاربران» (User Registration & Membership) شناسایی شده و به هکرها اجازه می‌دهد بدون نیاز به احراز هویت، حساب‌های مدیریتی پنهان بسازند و کنترل کامل وب‌سایت را در اختیار بگیرند.

هکرها چگونه سیستم را فریب می‌دهند؟

این آسیب‌پذیری که با شناسه امنیتی CVE-2026-1492 و امتیاز بحرانی ۹.۸ از ۱۰ ثبت شده، تمام نسخه‌های ۵.۱.۲ و قدیمی‌تر این افزونه را تحت تأثیر قرار می‌دهد. مشکل اصلی اینجاست که افزونه یادشده در بررسی و تأیید هویت درخواست‌های ارسالی به سرور، ضعف ساختاری دارد.

هکرها با سوءاستفاده از این حفره و ارسال کدهای دستکاری‌شده به هسته‌ی وردپرس، سیستم را فریب می‌دهند و به صورت خودکار بالاترین سطح دسترسی (Admin) را دریافت می‌کنند. با دریافت این سطح از دسترسی، مهاجمان می‌توانند اطلاعات حساس و شخصی کاربران را به سرقت ببرند، بدافزار و باج‌افزار روی سایت نصب کنند و یا بازدیدکنندگان را به صفحات جعلی (فیشینگ) بفرستند.

بررسی‌ها نشان می‌دهند که دلالانِ سایبریِ فعال در انجمن‌های زیرزمینی، در حال آموزش دادن این روش و فروش دسترسی‌های سرقتی هستند.

در آخر: اقدامات فوری برای مدیران سایت

توسعه‌دهندگان این افزونه، نسخه‌ی جدید 5.1.3 را برای ترمیم این حفره خطرناک منتشر کرده‌اند. با توجه به سادگی اجرای این حمله و عمومی شدن روش آن، مدیران وب‌سایت‌ها باید در سریع‌ترین زمان ممکن افزونه خود را آپدیت کنند.

علاوه بر به‌روزرسانی، توصیه می‌شود این اقدامات امنیتی را نیز انجام دهید:

  • بررسی دقیق بخش کاربران سایت و حذف فوری حساب‌های کاربری ناشناس که دارای دسترسی مدیریت هستند.
  • قطع کردن نشست‌های (Sessions) فعال و مشکوک.
  • تغییر رمز عبور تمامی مدیران اصلی سایت به عنوان یک اقدام پیشگیرانه و ضروری.

در نهایت خوب است بدانید که همین اواخر، هکرها ده‌ها افزونه وردپرس را هم آلوده کردند و به دنبال نفوذ بی‌سر و صدا به ۲۰ هزار سایت مختلف بودند. به عبارت دیگر درحالی که ما در قطعی نزدیک به دو ماهه‌ی اینترنت به سر می‌بریم، مسابقه‌ی طناب‌کشی میان هکرها و سازندگان وردپرس به اوج خود رسیده و امنیت هزاران سایت به خطر افتاده که با هیچ راهی جز «آپدیت» به نسخه‌های جدید، ایمن نمی‌شوند!

بازبینی: شایان ضیایی

یک پاسخ

  1. علی محمد صلاحی نیم‌رخ
    علی محمد صلاحی

    |

    لینک دقیق افزونه: https://fa.wordpress.org/plugins/user-registration

پست‌های مرتبط

نوشدارو را دنبال کنید

اینستاگرام

تلگرام

واتساپ

مطالب پرنگاه

نوشدارو NooshDaroo
بحران و شرایط اضطراری

راهنمای نگهداری گوشت در بحران و بی‌برقی

وقتی شرایط بحرانی است و برق برای مدتی طولانی قطع می‌شود، فریزر کارایی‌‌اش را از دست می‌دهد و مرغ و گوشت شما به سرعت فاسد می‌شود…

زمان مطالعه ۱۰ دقیقه
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
بحران و شرایط اضطراری

۱۰ نکته برای مصرف بنزین کمتر هنگام رانندگی

با رعایت برخی نکات ساده‌ی رانندگی، می‌توان تأثیر قابل‌توجهی بر مصرف سوخت و سلامت فنی خودرو گذاشت. اینجا به ده مورد از مهم‌ترین آنها می‌پردازیم.

زمان مطالعه ۳ دقیقه

ویدیوهای نوشدارو

ویدیو های بیشتر

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
بازگشت به بالای صفحه
×

منابع

  1. TechRadar
    https://www.techradar.com/pro/security/update-immediately-60-000-wordpress-websites-at-risk-after-experts-discover-flaw-that-allows-hackers-to-create-hidden-admin-accounts