Masih

فوری
مشکل امنیتی بسته های نصب آسان با افزونه Duplicator وردپرس + راه حل

2 ارسال در این موضوع قرار دارد

درود.

اخیرا گزارش های زیادی در تلگرام و پیام خصوصی دریافت کردم که سایت وردپرسی آنها که به تازگی راه اندازی شده حاوی کدهای مخرب است. 

اکثر بسته های نصب آسان وردپرس که با افزونه Duplicator ساخته شده اند و حاوی فایل installer.php هستند دارای باگ امنیتی بسیار جدی هستند که در خوش بینانه ترین حالت، باعث ریدایرکت کردن بازدیدکننده های شما به سایت های دیگر و وارد کردن Malware به سایت شما و در بدترین حالت باعث هک و نفوذ کامل به سایت شما خواهد شد.

 

اکیدا پیشنهاد می کنم از بسته های نصب آسان استفاده نکنید. تفاوت استفاده از بسته نصب آسان با راه اندازی عادی سایت وردپرسی در این است که در بسته ی نصب آسان، وردپرس به همراه قالب و افزونه و دیتابیس را در یک زمان نصب می کنید اما در نصب عادی، وردپرس و قالب و افزونه ها را به صورت جداگانه. کمی زمانبر است اما ارزشش را دارد. با این روش از نصب وردپرسی که به صورت اورجینال از Wordpress.org دانلود نکرده اید جلوگیری می کنید و این وردپرس ممکن است دارای فایل های اضافه ی غیررسمی باشد. بنابراین شما در حالت نصب عادی، ابتدا وردپرس را نصب کنید و سپس افزونه و قالب رو آپلود کنید. در صورتی که نیاز به Import کردن اطلاعات دمو بود، از افزونه های "درون ریز" استفاده کنید.

یکی از مهم ترین و جدی ترین مشکل امنیتی این افزونه، فایل installer.php است که باعث ایجاد فایل هایی با نام زیر می شود:

  • temp-crawl.php
  • wp-crawl.php
  • tempcrawl

 

این فایل ها حاوی کدهای مخرب و Backdoor هستند که همانطور که قبلا اشاره کردم، یا باعث وارد کردن کدهای ریدایرکت و تبلیغاتی مخفی به سایتتان خواهند شد یا در بدترین حالت باعث هک شدن کامل سایتتان می شوند.

 

راه های پیشنهادی:

1. برای حل مشکل، ابتدا افزونه ی Duplicator را کاملا حذف کنید. اگر نیاز است از بسته ی نصب آسان استفاده کنید، بعد از اتمام نصب این افزونه و فایل installer را کاملا حذف کنید.

2. اگر از بسته ی نصب آسان استفاده کرده اید، یکبار در بخش پیشخوان > بروز رسانی ها، کلید راه اندازی مجدد را کلیک کنید تا فایل های هسته وردپرس تازه سازی شوند.

3. فایل های ایجاد شده با نام های زیر در فایل منیجر خود را پیدا و حذف کنید:

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

4. سورس صفحه اصلی و یک برگه و یک ادامه مطلب سایتتان را بررسی کنید. اگر حاوی کدهای مشکوک باشد، به دنبال آن کد در قالب باشید و حذف کنید. طبق چند سایتی که بررسی کردم، فایل های header.php توسط باگ افزونه Duplicator آلوده می شوند. یکی فایل header.php و functions.php واقع در پوشه ی قالب و فایل های زیر :

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

5. بخش کاربران سایت خود را بررسی کنید که کاربری به غیر از شما دسترسی "مدیریت" را نداشته باشد.

6. در نهایت بعد از انجام اقدامات بالا، حتما افزونه ی Wordfence را روی وردپرس خود نصب کنید و در تنظیمات بخش Scan این افزونه، حالت اسکن فایل ها را روی High Sensitivity تنظیم کنید و یکبار سایت خود را اسکن کنید. اجازه دهید سایتتان کاملا اسکن شود. اگر سایتتان همچنان آلوده به کدهای مخرب و Malware باشد در قسمت گزارش اسکن مشخص خواهد شد.

 

در صورتی که همچنان با انجام این اقدامات موفق به حل مشکل نشدید، در این تاپیک مطرح کنید.

پسند شده توسط 1 کاربر

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

در پی مطلب اصلی این تاپیک، چند نکته هم اضافه می کنم تا بیشتر با علایم و نشانه های آلوده شدن توسط این افزونه آشنا بشید و اگر چنین مواردی رو مشاهده کردید مطمئن باشید که سایت شما حاوی Malware هست:

1. وجود یک فایل جاوا اسکریپت خارجی با کد زیر در سورس سایت (صفحه اصلی / ادامه مطلب یا برگه ها)

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

در واقع منظور فایل جاوا اسکریپت مربوط به سایت examhome.net هست. اگر چنین دامینی در سورس سایتتان یافت کردید، سایت شما آلوده شده است.

 

2. وجود کدهای جاوا اسکریپت ناخوانا :

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

اگر چنین کدی مشاهده کردید، مجددا باید مطمئن بشید که سایتتون آلوده شده. 

منشاء این دو کدمخرب از همون افزونه ی Duplicator هست که توی باگ ها و دستورات موجود در فایل installer.php وارد سایت میشن. 

این کدها باعث ریدایرکت شدن کاربران به سایت های خارجی دیگر می شوند و بخش وسیعی از بازدیدکننده های سایت شما را سرقت می کنند. افرادی که روی مرورگرشان افزونه های AdBlocker دارند متوجه این مساله نخواهند شد. چون ریدایرکت از طریق جاوا اسکریپت است و افزونه های مرورگر AdBlock این ریدایرکت ها را مسدود می کنند. علاوه بر آن، وب سایت examhome.net به عنوان یک لینک Malware و حاوی ویروس در اکثر دیتابیس های آنتی ویروس جهان ثبت شده است.

 

3. مورد سوم از انواع خرابکاری هایی که ممکن است توسط این موضوع دچارش بشید، تغییر کردن اطلاعات دیتابیس سایتتون هست! گاهی اوقات ممکن است در طول یک ساعت، چندین بار فایل wp-config.php سایتتون توسط کد مخرب ویرایش بشه و در سایتتون خطای "ناتوانی در برقراری ارتباط با دیتابیس" رو مشاهده کنید.

 


 

اینها موارد زیاد دیده شده از آلوده شدن سایت وردپرسی توسط باگ Duplicator هست.

و در نهایت اضافه کنم که یکی از مسیرهایی که توسط این باگ ممکن است آسیب ببیند، پوشه ی wp-content/uploads است. فایل هایی با نام های تصادفی (مثلا hfasajh) و بدون پسوند مشخص ساخته می شوند که محتوای این فایل ها، کد جاوا اسکریپتی هست که در ابتدای همین پاسخ دادم.

در صورت مشاهده ی چنین فایل هایی، فایل را کاملا از طریق فایل منیجر حذف کنید. سطل زباله (Trash) فایل منیجر رو هم بررسی کنید تا فایل های حذف شده همچنان در هاستتون باقی نمانده باشند.

موفق باشید.^_^

پسند شده توسط 2 کاربر

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • چه کسانی در حال بازدید هستند؟   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.