براساس گزارشی که در وبسایت Wordfence منتشر شدِ است ۲۷٪ از وبسایتهای اینترنتی که در حال حاضر با سیستم وردپرس ایجاد شدِ با آسیبپذیری جدی روبرو است.
انتخاب مخربترین هدف برای حمله
سرور api.wordpress.org (یا سرورها) یکی از مهمترین نقشها را در سیستم وردپرس دارد: منتشرکننده امکان بروزرسانی خودکار وبسایتهای وردپرسی. هر وبسایت وردپرسی درخواستی را هر ساعت به این سرور برای بررسی بروزرسانی افزونهها، پوستهها و هسته وردپرس ارسال میکند. پاسخ این درخواست حاوی اطلاعاتی درباره هرگونه بروزرسانی موجود برای افزونهها، پوستهها و هسته وردپرس که به بروزرسانی خودکار نیاز دارند. همچنین شامل یک آدرس (URL) برای دانلود و نصب بروزرسانی برنامه است.
به خطر افتادن این سرور این امکان را میدهد تا مهاجم آدرس دیگری را برای دانلود و نصب برنامه به وبسایتهای وردپرسی به صورت خودکار ارایه دهد. این روش راهی را فراهم میکند که هرگونه مهاجمی با مکانیزم بروزرسانی خودکار جایگزین api.wordpress.org بشود.
در حال حاضر وردپرس ۲۷٪ از تمام وبسایتهای اینترنتی را تشکیل میدهد. با توجه به مستندات وردپرس «به صورت پیشفرض، هر وبسایت به صورت خودکار در صورتی که بروزرسانی کوچک (Minor) برای هسته و فایلهای ترجمه وجود داشته باشد بروز میشود». با به خطر افتادن api.wordpress.org امکان آسیب دیدن ۱/۴ وبسایتهای اینترنتی وجود دارد.
وبسایت وردپرسی شما در خطر هست؟
خوشبختانه این آسیبپذیری در ۲ سپتامبر ۲۰۱۶ به شرکت اتوماتیک گزارش شده، و در ۷ سپتامبر این آسیبپذیری به صورت کامل رفع شدِ است.
با تشکر از تیم Wordfence برای گزارش این آسیبپذیری (اطلاعات بیشتر)
نمیدونم چرا نمیخوام افزونه این شرکت رو نصب کنم، به خود وردپرس اعتماد بیشتری دارم…
با سلام مطلب بسیار مفید و آگاه کننده ای بود با تشکر
راه حل این مشکل چیست؟
آپدیت وردپرس؟
راه حل بروزرسانی همیشگی وردپرس هست
سلام
من يه چيزي رو متوجه نشدم
بالاخره آپديت خودكار وردپرس خوبه يا حذفش بايد كرد و به صورت دستي انجام بشه !؟
آپدیت خودکار وردپرس زمانی انجام میشه که آپدیت از نوع امنیتی باشه و لازم باشه برای وردپرس.
باسلام جهت ورود به سایت ایمیل ورمز ورود خود را فراموش کردم چگونه میتوانم وارد دیتابیس ورد پرس بشم تا رمز سایت را بازبینی کنم؟