شماره: IRCNE201004702
هكرهاي خرابكار راهي براي سرقت اطلاعات از پايگاه داده هاي WordPress پيدا كرده اند و از اين اطلاعات براي تغيير مسير كاربران از هزاران وبلاگ متعلق به WordPress به وب سايتهاي حاوي بدافزار استفاده ميكنند.
اين حملات كه از روز جمعه آغاز شده است، اغلب بر روي آن دسته از وبلاگهاي WordPress اتفاق افتاده است كه توسط Network Solutions ميزباني ميشوند، ولي به نظر ميرسد كه چندين ضعف امنيتي باعث اين اتفاق شده است.
يكي از محققان آزمايشگاههاي Sucuri Security خاطر نشان كرد كه آن دسته از وبلاگهاي WordPress كه از تمامي اصلاحيه ها نيز استفاده ميكنند، در حقيقت اطلاعات پايگاههاي داده را به شكل متن ساده ذخيره ميكنند كه اين موضوع باعث ميشود كه اين پايگاههاي داده، هدف ساده اي براي هك باشند.
كل اين مشكل را ميتوان در چند مورد زير توضيح داد:
1- WordPress اطلاعات پايگاه داده را به صورت متن ساده در فايل wp-config.php ذخيره ميكند.
2- اين فايل پيكربندي بايد فقط براي Apache قابل خواندن باشد، اما برخي كاربران (در حقيقت بسياري از كاربران) آن را طوري تنظيم ميكنند كه هركسي بتواند آن را بخواند.
3- يك كاربر خرابكار در Network Solutions يك اسكريپت ايجاد ميكند كه اين فايلهاي پيكربندي را كه به درستي تنظيم نشده اند پيدا نمايد.
4- همين كاربر خرابكار صدها فايل پيكربندي پيدا ميكند كه مجوزهاي آن به درستي تنظيم نشده است و اطلاعات را از پايگاههاي داده بازيابي مينمايد.
5- سپس اين كاربر يك حمله را آغاز كرده و پايگاههاي داده اين بلاگها را تغيير ميدهد. به اين ترتيب تمامي آنها كاربران را به يك وب سايت خرابكار منتقل ميكنند.
به عنوان بخشي از راهكار، Network Solutions تمامي كلمات عبور پايگاه داده براي WordPress را تغيير داده است. اين مساله به طور عادي تاثيري بر عملكرد وبلاگ نميگذارد، ولي در برخي موارد كه كاربران تنظيماتي را بصورت دستي اعمال كرده و كد دلخواه خود را مورد استفاده قرار داده اند، نياز به اعمال تغييراتي خواهد بود.
همچنين Network Solutions به تمامي كاربراني كه از WordPress استفاده ميكنند توصيه كرده است كه كلمه عبور Admin خود را تغيير دهند. علاوه بر اين كاربران بايد تمامي حسابهاي مديريتي خود را بررسي كرده و موارد مشكوك را حذف نمايند.
- 2