کمیته رکن چهارم – در حال حاضر مهاجمان سایبری بر روی نمونههایی از وردپرس که بهتازگی نصب شدهاند، متمرکز شده و کاربرانی را هدف قرار دادهاند که در پیکربندی کارگزارهای وردپرس با مشکل مواجه هستند. محققان امنیتی وردپرس روز سهشنبه گفتند از ماه می تا اواسط ماه ژوئن، افزایش شدیدی در حمله به وبگاههای وردپرس مشاهده شده است. بیشترین تعداد حملات نیز در تاریخ ۳۰ می برابر با ۷۵۰۰ حمله بوده است.
کارشناسان وردپرس گفتند که مهاجمان هر روزه پویشهای متعددی را بر روی آدرس URL به نشانی wp-admin/setup-config.php/ انجام دادهاند. این آدرس در نمونههای جدید وردپرس، برای راهاندازی وبگاه جدید مورد استفاده قرار میگیرد. نمونههایی مشاهده شده که کاربر وردپرس را بر روی کارگزار خود نصب کرده ولی آن را پیکربندی نکرده است.
برای یک مهاجم کار سختی نیست که چنین نمونههای پیکربندینشده را هدف حملهی خود قرار دهد. محققان این حملات را WPSetup نامگذاری کردهاند. با فرض اینکه یک کاربر فرآیند تنظیمات وبگاه وردپرس خود را تمام نکند، مهاجم میتواند به وبگاه وارد شده و تنظیمات آن را به اتمام برساند. با دسترسیهای مدیریتی، مهاجم میتواند نامِ پایگاه دادهی خود، نام کاربری، گذرواژه و حتی کارگزار خودش را وارد کند. از پایگاه دادهای که اطلاعات آن ثبت شد، مهاجم باید نصب وردپرس را انجام داده و برخی اطلاعات مربوط به وبگاه را وارد کند تا به دسترسیهای کامل برسد.
محققان اعلام کردند برای مهاجم کار بسیار آسانی است که از طریق یک قالب یا ویرایشگر افزونه، کدهای پیاچپی اجرا کرده و حساب میزبانی وبگاه را در دست بگیرد. در این سناریو، کنترل کامل وبگاه در اختیار مهاجم بوده و میتواند افزونههای دلخواه خود را نصب کرده و آن را فعال کند. علاوه بر اینها، مهاجم میتواند شِلهای مخرب را در دایرکتوری وبگاه بارگذاری کرده و با استفاده از آنها، به اطلاعات و دادههای مهم وبگاه و حتی پایگاه دادهها دسترسی داشته باشد. کارشناسان وردپرس اعلام کردند روشی که در این حملات مورد استفاده قرار میگیرد، جدید نیست ولی تأثیر آن نیز محدود نخواهد بود.
محققان گفتند مهاجمان میتوانند از پویشگرهای مختلفی مانند spiga.py برای پیدا کردن نصبهای ناقص وردپرس استفاده کنند. بعد از پیدا کردن چنین وبگاههایی، کامل کردن فرآیند نصب و به دست آوردن دسترسیهای مدیریتی کار سختی نیست. کارشناسان میگویند کاربران باید پروندهی کدشدهی htaccess. را در دایرکتوری وبگاه خود ایجاد کنند تا مطمئن شوند که مهاجمان در طول فرآیند نصب نمیتوانند به وبگاه آنها دسترسی داشته باشند. پروندهی htaccess. مربوط به پیکربندی کارگزار است که بهطور معمول در پوشهی ریشهی وبگاه قرار میگیرد. این پرونده استفاده از SSL را اجبار کرده و از اطلاعات حساس محافظت میکند. همچنین اجازهی دسترسی به وبگاه تنها از یک IP مشخص را میدهد.
