ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

آسیب امنیتی در افزونه‌های وردپرس

| چهارشنبه, ۱۹ آذر ۱۳۹۳، ۱۲:۵۸ ب.ظ | ۰ نظر

امروزه با گسترش وب سایت های پویا و رقابت های موجود در بین وب سایت های داخلی، اکثر طراحان وب از سیستم های مدیریت محتوا استفاده می کنند.

سیستم مدیریت محتوا یا CMS به برنامه‌ های تحت وبی گفته می شود که بطور کامل از ایجاد، مدیریت و بروزرسانی یک وب ‌سایت پویا پشتیبانی می کند و تمام ماژول های مورد نیاز برای تولید محتوا را در خود شامل می شود.

یکی از محبوب ترین سامانه های مدیریت وب، سیستم مدیریت محتوای "Wordpress" می باشد. وردپرس یکی از قدیمی ترین سیستم‏های مدیریت محتوای متن باز بوده که خود به زبان پایه PHP نوشته شده و پایگاه داده آن توسط My SQL پشتیبانی می شود که البته توسط انجمن های بسیاری در کشور توسعه یافته است.

بدون شک با محبوب تر شدن وردپرس، همواره میزان حملات سایبری روی این سامانه رو به افزایش است. مطابق آمار اعلام شده از سوی شرکت پاندا سکیوریتی، 75 میلیون وب سایت وردپرسی درحال اجرا هستند که در برابر حملات هکرها آسیب پذیرند.

رایگان بودن وردپرس شاید مهم ترین عامل هدف گذاری آن توسط مجرمان سایبری طی سال های اخیر بوده است. در ماه های گذشته، ده ها هزار وب سایت در وردپرس مورد هدف هکرهای اینترنتی قرار گرفته بودند؛ از آنجایی که این سامانه از چندین گروه برنامه نویس حرفه ای تشکیل شده، همواره این شانس برای آنها وجود داشته تا آسیب پذیری های موجود را شناسایی و در جهت رفع آن قدم بردارند.

رایان دیوهارست، یکی از پژوهشگران موفق در صنعت وب می گوید"توسعه دهندگان وردپرس متشکل از یک تیم فوق حرفه ای هستند که با تکنیک های کد نویسی و اقدامات امنیتی خود احتمال وجود آسیب پذیری در کدهای پایه را به حداقل می رسانند."

او یک پایگاه داده از نقص های امنیتی وردپرس را در طی سال های اخیر جمع آوری کرده است که در آن اشاره شده این حفره های امنیتی خیلی معدود و قابل پوشش بوده اند... اما با این حال چه توجیهی برای هک شدن 50000 وب سایت در تابستان سال گذشته وجود دارد؟!

جواب این سوال در سیستم های مدیریت محتوای وردپرس نهفته است اما نه کدهای اصلی و پایه آن، بلکه افزونه های ظاهراً بی ضرر که یک وب سایت را در معرض آسیب های احتمالی قرار می دهند.

افزونه ها، ابزارهای کوچکی هستند که قابلیت های جدیدی که به طور پیش فرض روی وردپرس نصب نیستند را به آن اضافه می کنند.

کارشناسان امنیتی شرکت پاندا سکیوریتی افزونه های وردپرس را در جایگاه یک اسب تروجان می پندارند؛ آنها بر این باورند که گرچه این افزونه ها یک وسیله برای ارتقای قابلیت های اصلی وردپرس محسوب می شوند اما با حفره های امنیتی موجود در آنها، تمامی فایل ها و بانک های اطلاعاتی موجود در یک وب در معرض آسیب های احتمالی قرار می گیرد.

بنابراین آنها همانند یک ابزار مکملی هستند که وردپرس هیچ کنترل و نظارتی بر روی کدهای آسیب پذیر آن ندارد؛ در صورت نصب یک افزونه ناشناخته و غیر امن، این کل سیستم مدیریت محتوا خواهد بود که در معرض هک گسترده جهانی قرار می گیرد.

در حال حاضر بیش از 30000 افزونه وردپرس در سراسر اینترنت وجود دارد که هر کدام از آن ها یک وظیفه مشخص دارند؛ مجرمان سایبری همیشه به دنبال نقص های امنیتی موجود در افزونه ها هستند تا بتوانند از آنها به نفع خود بهره برداری کنند.

اخیراً در وب سایت رسمی وردپرس، از آخرین نسخه منتشر شده و پوشش آخرین نقص های امنیتی خبرهای بسیاری منتشر شده، وردپرس با انتشار نسخه 4.0.1 ، از تمامی کاربران خواسته تا هرچه سریعتر این اصلاحیه امنیتی را نصب کرده و به آخرین نسخه موجود مهاجرت کنند.

شرکت پاندا سکیوریتی به منظور جلوگیری از دسترسی های غیر مجاز و آسیب های احتمالی وب سایت های مبتنی بر وردپرس، برای تمامی مشترکان نکات امنیتی توصیه کرده تا با رعایت آنها، امنیت وب سایت خود را تا میزان قابل توجهی افزایش دهند:

1. در هنگام دانلود و نصب افزونه های مکمل، به وب سایت مرجع یا نام نویسنده افزونه توجه بسیاری داشته باشید، برخی از افزونه ها توسط اشخاص ناشناس تولید می شوند، طبیعتاً اینگونه ابزارها نقص های امنیتی بیشتری به نسبت افزونه های تولید شده توسط یک گروه متخصص وب یا شرکت های توسعه دهنده وردپرس خواهند داشت.

2. آخرین اصلاحیه های رسمی منتشر شده وردپرس را نصب نمایید. این کار با به روز رسانی مستقیم وردپرس انجام می پذیرد.

3. حتماً به صورت روزانه یا هفتگی از بانک های اطلاعاتی و دیگر اطلاعات منتشر شده روی فضای میزبانی خود یک نسخه پشتیبان تهیه نمایید تا در صورت بروز هرگونه اشکال بتوانید بانک های اطلاعاتی خود را به حالت اولیه خود بازگردانید.

4. استفاده از موتورهای ضدویروس جهت شناسایی کدهای مخربی که به منظور تخریب سامانه های مدیریتی طراحی می شوند میتواند کمک بسزایی در رفع اشکالات امنیتی به وجود آمده در سایت شما داشته باشد.

در صورت بروز هرگونه اشکالات امنیتی و مواجه شدن با خطاهای نا شناخته و مشکوک، میتوانید آخرین نسخه پشتیبانی وب سایت خود را اسکن کرده و با حذف کدهای مخرب، اشکال موجود را رفع نمایید.

  • ۹۳/۰۹/۱۹

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">