info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

افزونه محبوب وردپرسی با درب پشتی!

خلاصه: افزونه‌ی محبوب Display Widget وردپرس که بر روی ۲۰۰۰۰۰ سایت اجرا می‌شود از روی wordpress.org حذف شد. به گفته‌‌ی وردفنس این افزونه حاوی یک درب‌پشتی است که اجازه‌ی دسترسی به محتوای سایت و انتشار لینک‌ها و تبلیغات در وب‌سایت را می‌دهد. لازم به ذکر است که محتوای تبلیغی تولید شده توسط این افزونه از داشبورد مدیر سایت پنهان می‌شود.

افزونه‌ی محبوب Display Widget وردپرس که بر روی ۲۰۰۰۰۰ سایت اجرا می‌شود، پس از این‌که محققان کشف کردند که حاوی یک درب‌پشتی است که برای تزریق هرزنامه‌های تبلیغاتی به وب‌سایت‌ها به کار می‌رود، از wordpress.org حذف شد. 

این بدافزار حدود ۳ ماه در نسخه‌ی ۲.۶.۱ و ۲.۶.۳ این افزونه وجود داشت، به گفته‌ی محققان این افزونه از ماه ژوئن ۴ بار به دلایل مشابه از wordpress.org حذف‌شده است.

این مشکلات از جایی شروع شد که توسعه‌دهنده‌ی این افزونه نسخه‌ی متن‌باز آن را فروخت. صاحب جدید در ۲۱ ژوئن نسخه‌ی ۲.۶.۰ را منتشر کرد و فورا توسط رقبا به خاطر شکستن قوانین  افزونه‌‌ی وردپرس متهم شد. به گفته‌ی وردفنس کد مخربی که در این افزونه وجود دارد  یک درب‌پشتی است که امکان دسترسی به محتوای سایت با استفاده از افزونه را می‌دهد.

به گفته‌ی David Law این افزونه با دانلود ویژگی‌هایی از کاربر، قادر به ردیابی آدرس IP کاربرو ترافیک وب‌سایت و اشتراک‌گذاری این اطلاعات با یک سایت سوم بوده است و این باعث حذف این افزونه از wordpress.org شده است.

Display Widget ابزاری است که به مدیران سایت‌های وردپرس اجازه‌ی مدیریت و تعیین اجزایی که بر روی سایت در حال اجرا هستند را می‌دهد.

دقیقا چند روز پس از حذف این افزونه از wordpress.org نسخه‌ی جدیدی از آن (v2.6.1) منتشر شد که سعی می‌کرد قوانین افزونه‌های وردپرس را با ذخیره کردن ویژگی‌های دانلود شده درون یک فایل geolocation.php در افزونه، دور بزند. یک روز بعد این افزونه نیز حذف شد و چند روز بعد مهاجمان نسخه‌ی ۲.۶.۲ را منتشر کردند. این نسخه‌ی جدید نیز به سرعت به عنوان یک نسخه‌ی مشکل‌ساز شناخته‌شد. تجزیه‌و‌تحلیلی که توسط وردفنس انجام شد نشان داد که این نسخه لینک‌هایی را در وب‌سایت‌های وردپرس تولید می‌کند و پس از این، افزونه دوباره از کتابخانه‌ی وردپرس حذف شد. در ۲ سپتامبر نسخه‌ی ۲.۶.۳ این افزونه بازگشت و ۵ روز بعد به خاطر گزارش‌هایی مبنی بر اضافه‌کردن لینک‌ها و تبلیغات جدید بر روی وب‌سایت‌ها، دوباره حذف شد.

لازم به ذکر است که محتوای تبلیغی تولید شده توسط این افزونه از داشبورد مدیر پنهان می‌شود، همچنین لینک‌ها و تبلیغات به مدیران نشان داده نمی‌شود.

گفته‌شده است که فقط ۲۰۰ سایت از ۲۰۰۰۰۰ سایتی که نسخه‌ی مخرب را اجرا می‌کنند، آسیب دیده‌اند، اما SiteLock معتقد است که تخمین این‌که چه تعداد وب‌سایت ضربه دیده‌اند مشکل است.

به گفته‌ی وردفنس ممکن است که نویسندگان افزونه به صورت تصادفی  بدون این‌که بدانند از یک کتابخانه‌ی حاوی کد مخرب استفاده کرده باشند اما تحقیقات نشان می‌دهد که نویسندگان به طور فعالی جنبه‌های مخرب کد را حفظ می‌کنند و منابع خود را برای هرزنامه‌ها تغییر داده و سعی می‌کنند که دامنه‌هایی که برای دریافت هرزنامه‌ها استفاده می‌کنند مبهم بماند.

توصیه‌ می‌شود که همیشه توسعه‌دهنده‌ی افزونه‌ای را که می‌خواهید نصب کنید را بررسی کرده، همچنین نظرات دیگران را درباره‌ی افزونه‌ی که می‌خواهید نصب کنید و افزونه‌های دیگری که توسط همین توسعه‌دهنده منتشر شده‌اند را بخوانید.