زنگ خطر برای هزاران سایت وردپرس به صدا درآمد

مهاجمان در حمله‌ای عظیم به یک مرجع دانلود، ۹۳ قالب و پلاگین وردپرس را به در پشتی آلوده کردند. این اقدام با هدف ایجاد دسترسی کامل به وب‌سایت‌های وردپرسی انجام شد. گفته می‌شود که این قالب‌ها و پلاگین‌ها در بیش از ۳۶ هزار سایت فعال در حال استفاده هستند.

به گزارش وب‌سایت BleepingComputer، در مجموع ۴۰ قالب و ۵۳ پلاگین متعلق به وب‌سایت AccessPress در این حمله تغییر پیدا کردند. مهاجمان ظاهرا یک در پشتی PHP را به این ابزارها اضافه کرده‌اند تا به وب‌سایت‌های وردپرسی بیشتری دسترسی داشته باشند.

شیوه کار مهاجمان به این صورت برنامه‌ریزی شده که پس از نصب یکی از این قالب‌ها یا پلاگین‌ها، فایل جدیدی به نام initial.php به فهرست اصلی قالب‌های وردپرس اضافه می‌شود و درون آن یک فایل functions.php وجود دارد. این فایل دارای کدهایی است که در پشتی را درون فایل vars.php جایگذاری می‌کند. با این کار مهاجم می‌تواند از راه دور به وب‌سایت قربانی دسترسی داشته باشد.

در پشتی سایت‌های وردپرس احتمالا در دارک وب فروخته می‌شود

تنها راه شناسایی این حمله استفاده از ابزارهای نظارت بر یکپارچگی فایل‌هاست، چون بدافزار هکرها فایل initial.php را حذف می‌کند تا رد خود را از بین ببرد. بررسی‌ها نشان داده که مهاجمان از این در پشتی برای انتقال کاربران به سایت‌های مجهز به بدافزار و کلاهبرداری استفاده می‌کنند. همچنین این احتمال وجود دارد که هکرها دسترسی به در پشتی این سایت‌ها را در دارک وب بفروشند.

با توجه به اطلاعاتی که در فایل‌ها ثبت شده، این حمله احتمالا در ماه سپتامبر آغاز شده. وب‌سایت AccessPress در اواسط ماه اکتبر افزونه‌ها را از پرتال دانلود خود حذف کرد تا مشکل را برطرف کند. این وب‌سایت حالا همین چند روز پیش نسخه‌های سالم افزونه‌ها را یک بار دیگر برای دانلود در دسترس قرار داده است. با این حال، کاربرانی که درگیر این مشکل هستند، باید به‌سرعت نسخه‌های قدیمی قالب‌ها و افزونه‌های خود را با نسخه‌های جدید و سالم آن‌ها جایگزین کنند. فهرست کامل فایل‌های آلوده در این لینک قابل مشاهده است.