تیم امنیتی هسته وردپرس همواره در تلاش است تا آسیب پذیری ها و ضعف های موجود را شناسایی و سریع آن را برطرف کند. اکثر نسخه های وردپرسی به منظور رفع باگ های شناسایی شده منتشر می شوند. اخیرا گزارشی در مورد کشف باگ در هسته وردپرس منتشر شده که بسیار خطرناک و در صورت عدم بروزرسانی دچار عواقب ناخوشایندی خواهید شد!
وردپرس محبوب ترین سیستم مدیریت محتوا و طبق نظر w3tech، حدود 30 درصد از همه وب سایت ها بر پایه وردپرس است. این حجم گسترده وردپرس را یک هدف جذاب برای مجرمان اینترنتی تبدیل می کند.
در این پست، یک آسیب پذیری امنیتی تحت عنوان حذف فایل دلخواه را معرفی می کنیم که می تواند منجر به اجرای کد دلخواه شود! 😯
این آسیب پذیری 7 ماه قبل به تیم امنیتی وردپرس گزارش شد اما همچنان گزارش کامل آن منتشر نشده است.
باگ در هسته وردپرس
از طریق این باگ کاربران می توانند فایل های مورد نظر را حدف با به سرور و سایر بخش ها دسترسی یابند!
این باگ می تواند موجب نفوذ مهاجمان به وب سایت شما شود. زیرا مهاجم به صورت کاملا ساده قادر خواهد بود فایل هایی را حذف و به بخش پیکربندی وردپرس دسترسی پیدا کند. دقت داشته باشید مهاجم باید حداقل دسترسی را داشته باشد یعنی در سایت شما اکانت کاربری داشته باشد. بنابراین احتمالا قدم اول هکر این است که از روش های مختلف یک حساب کاربردی به دست آورد.
نکات امنیتی برای وردپرسیها
- برای وردپرس خود رمزهای عبور قوی در نظر بگیرید.
- سعی کنید رمز عبور بخش های مختلف، مشابه نباشند.
- از کلمات کاربری پیش فرض استفاده نکنید.
- حساب های کاربری غیر فعال وردپرس خود را حذف کنید.
- کنترل دقیقی بر فعالیت های کاربران داشته باشید.
این باگ در تابع تصاویر بندانگشتی وردپرس وجود دارد و هنگام بارگذاری یک تصویر و حذف آن راه نفودی برای مهاجم باز می شود. برای رفع باگ در هسته وردپرس سریعا نسبت به بروزرسانی اقدام نمایید. در تصویر زیر گزارش مختصر و اشاره تیم وردپرس به باگ موجود را مشاهده می کنید. این باگ بسیار خطرناک است…
در ادامه گزارش ویدیویی برای درک بهتر این موضوع ارائه خواهیم داد…