محققان امنیتی اخیراً اعلام کردهاند که چندین افزونه وردپرس که روی بیش از 36 هزار وبسایت نصب شدهاند، حاوی کدهای مخرب هستند. این افزونهها پس از بهروزرسانی، بهطور خودکار یک حساب کاربری مدیر (Admin) جدید ایجاد میکنند که به هکرها امکان دسترسی کامل به وبسایت شما را میدهد.
طبق گزارش Ars Technica، این آسیبپذیری توسط محققان Wordfence، شرکتی که بر امنیت بزرگترین پلتفرم ساخت وبسایت در جهان نظارت میکند، کشف شده است. تاکنون پنج افزونه آلوده شناسایی شدهاند که در ادامه به آنها اشاره میکنیم:
Social Warfare با بیش از 30 هزار نصب
BLAZE Retail Widget با 10 نصب
Wrapper Link Elementor با 1000 نصب
Contact Form 7 Multi-Step Addon با 700 نصب
Simply Show Hooks با 4000 نصب
هنوز مشخص نیست که هکرها چگونه به سیستم بهروزرسانی این افزونهها نفوذ کردهاند.
وردپرس به طور کلی یک پلتفرم امن برای ساخت وبسایت است، اما فروشگاه آن مملو از تمها و افزونههای شخص ثالث است که بسیاری از آنها به اندازه پلتفرم اصلی، از نظر امنیتی مورد تأیید نیستند. این افزونهها میتوانند به عنوان دروازهای برای ورود هکرها به وبسایت شما عمل کنند.
برای محافظت از وبسایت خود در برابر این تهدید، به نکات زیر توجه کنید:
هنگام نصب افزونههای شخص ثالث، بسیار مراقب باشید و فقط افزونههایی را نصب کنید که واقعاً به آنها نیاز دارید.
افزونههای خود را همیشه بهروز نگه دارید و اخبار مربوط به امنیت آنها را دنبال کنید.
از افزونههایی که توسط توسعهدهندگان معتبر و شناخته شده ارائه میشوند، استفاده کنید.
پس از نصب هر افزونه، وبسایت خود را از نظر وجود هرگونه مشکل امنیتی اسکن کنید.
با رعایت این نکات ساده، میتوانید امنیت وبسایت خود را در برابر هکرهایی که از طریق افزونههای وردپرس به دنبال طعمه هستند، به طور قابلتوجهی افزایش دهید.
Security researchers have recently discovered that several WordPress plugins, installed on over 36,000 websites, contain malicious code. Upon updating, these plugins automatically create a new admin account, granting hackers full access to the website.
According to Ars Technica, this vulnerability was identified by researchers at Wordfence, a company that monitors the security of the world’s largest website building platform. So far, five infected plugins have been identified:
- Social Warfare with over 30,000 installations
- BLAZE Retail Widget with 10 installations
- Wrapper Link Elementor with 1,000 installations
- Contact Form 7 Multi-Step Addon with 700 installations
- Simply Show Hooks with 4,000 installations
It is still unclear how hackers infiltrated the update system for these plugins.
WordPress is generally considered a secure platform for website creation, but its repository is filled with third-party themes and plugins, many of which are not as rigorously vetted for security as the core platform. These plugins can serve as entry points for hackers to compromise websites.
To protect your website from this threat, follow these guidelines:
- Be very cautious when installing third-party plugins, and only install plugins that you truly need.
- Always keep your plugins up to date and follow security news related to them.
- Use plugins from reputable and well-known developers.
- Scan your website for any security vulnerabilities after installing any plugin.
By following these simple steps, you can significantly enhance the security of your website against hackers targeting WordPress plugins.
By taking these precautions, you can make your website much less vulnerable to attacks.