- پلاگین های تقلبی وردپرس که هر کسی را فریب می دهد
- پلاگین Pingatorpin
- پلاگین SI CAPTCHA
- پلاگین WP-Base-SEO
- X-WP-SPAM-SHIELD-PRO
- ۹ کاری که باید در مورد پلاگین ها انجام دهید تا دست هکرها از سایت شما کوتاه شود
- ۱٫ مرور پلاگین از جهت کیفیت کلی آن
- ۲٫ مرور کدهای پلاگین
- ۳٫ مرور و بررسی قالب سایت خود
- ۴٫ استفاده از اسکنر برای آسیب پذیری ها
- ۵٫ استفاده از یک پلاگین امنیتی
- ۶٫ مدیریت و مراقبت از پلاگین های سایت خود
- ۷٫ بررسی سایت بعد از نصب پلاگین
- ۸٫ استفاده از WPScan Vulnerability Database
- ۹٫ به بهترین اعتماد کنید
- جمع بندی
پلاگین های تقلبی وردپرس و چیزهایی که لازم است بدانید
برنامه های زیادی وجود دارند که باعث صرفه جویی در وقت می شوند، فریمورک های سی اس اس و کتابخانه های جاوااسکریپت که به عنوان یک توسعه دهنده وردپرس می توانید از آنها استفاده کنید تا روند کاری خود را سرعت ببخشید.
پلاگین ها قطعا یکی از امتیازاتی است که شما می توانید برای ساخت سایت خود در وردپرس استفاده کنید. اما اگر مراقب نباشید این پلاگین ها واقعا می توانند امنیت سایت شما را تهدید کنند.
با وجود شناسایی ۵۴% آسیب پذیری ناشی از پلاگین ها، بر کسی پوشیده نیست که پلاگین ها می توانند باعث ایجاد شکاف امنیتی در وردپرس شوند. البته پلاگین ها می توانند دچار مشکل شده و خطاهایی به خاطر این امر به کاربر نمایش داده بشه برای مثال ممکن است پلاگین مذکور باید بروز رسانی نشده است در صورتیکه باید این کار صورت میگرفته است.
اما زمان هایی نیز وجود دارد که مشکلات امنیتی مربوط به پلاگین ربطی به خطاهای ظاهر شده ندارد و مربوط به یک عامل بیرونی است، این عامل هکرها هستند که کدهای مورد نظر خود را آگاهانه و با کدهای فریبنده به پلاگین تزریق کرده اند.
بله، این امر حقیقت دارد که: آنها پلاگین های تقلبی هستند که با هدف حمله به سایت ها ساخته شده اند. به زودی خواهید فهمید که، این حملات به آسانی قابل تشخیص نیستند. پس بهتر است به این موضوع بپردازیم که چرا هکرها از پلاگین استفاده می کنند تا راه خود را برای رسیدن به سایت شما هموار کنند، چگونه این کار را انجام می دهند و شما چه کاری می توانید بکنید تا از این امر جلوگیری کنید.
پلاگین های تقلبی وردپرس که هر کسی را فریب می دهد
خب شما میدونید که چطوری میشود یک سایت وردپرسی را قفل کرد. همان طور که محیط مدیریتی سایت شما نیاز به توجه دارد، محل قرارگیری فایل های اصلی سایت نیز به این توجه نیاز دارند.
هر گونه ارتباط مستقیمی که کاربر با سایت شما برقرار می کند نیاز به مراقبت و تقویت دارد همان طور که این نیاز برای هاست شما نیز حس می شود. به طور ساده بخواهیم بیان کنیم، از تمام زوایا باید به سایت نگاه کرده و تمام زوایای ممکن را پوشش داد.
اما اگر هک از داخل سایت شما صورت گیرد، شما چه می کنید؟
هکر هایی که سختی نوشتن یک پلاگین تقلبی را به جان میخرند دقیقا می دانند که در حال انجام چه کاری هستند. بسیاری از پلاگین های تقلبی که به سایت های کاربران ضربه وارد کرده است شناسایی نشده اند و علت آن در وهله اول وجود کدهای به ظاهر سالم و قانونی در پلاگین بوده است.
اگر تا به حال با یک پلاگین تقلبی مواجه نشده اید، پس بزارید چند تا از شناخته شده ترین آنها را به شما معرفی کنیم:
پلاگین Pingatorpin
Pingatorpin پلاگینی است که در سال ۲۰۱۳ آن طور که باید به سرعت شناخته نشده است. Sucuri به تعدادی سایت حاوی Malware برخورد کرد که مجموعه ای از فایل های یکسان را به اشتراک می گذاشتند. وقتیکه آنها شروع به کاوش بیشتر کردند متوجه شدند که پلاگین Pingatorpin منبع اسپم هایی است که به صورت انبوه روی این سایت ها در حال اجرا است.
پلاگین SI CAPTCHA
اگر دنبال چیز فریبنده ای هستید، بهتون پیشنهاد می کنم پلاگین SI CAPTCHA را بررسی کنید. پلاگینی که تا همین تابستان سال ۲۰۱۷ به عنوان یک پلاگین معتبر و سالم در مخزن وردپرس شناخته میشد. در ژوئن، پلاگین توسط گروه دیگری خریداری شد و مالکیت آن تغییر کرد. از این زمان بود که مشکلات پلاگین آغاز شد.
مالک جدید کدی را به پلاگین اضافه کرد که به یک سرور جداگانه که مربوط به خود مالک پلاگین میشد این اجازه را میداد تا تبلیغاتی را در پست های سایت کاربر نمایش دهد. این تنها پلاگینی نبود که این هکر از آن استفاده می کرد بلکه هشت پلاگین دیگر نیز وجود داشتند که به عنوان ابزاری برای دسترسی بک دور (backdoor) به سایت ها و اجرا اسپم در آنها استفاده میشد.
هکرهایی از این دست وجود دارند که پلاگین های شناخته شده را از نویسندگان آنها خریداری کرده و کدهای مورد نظر خود را در آن پلاگین ها تزریق می کنند تا به مقصود آنها که دسترسی به سایت کاربران است برسند.
آنها می دانند که کاربرانی که بیشتر از بقیه به امنیت سایت خود اهمیت میدهند تمایلی به نصب پلاگین هایی که کمتر شناخته شده هستند ندارند به همین دلیل با خریداری پلاگین های شناخته شده هدف خود را عملی می کنند.
پلاگین WP-Base-SEO
حدود ۴۰۰۰ سایت وردپرسی در آوریل سال ۲۰۱۷ با نصب پلاگین WP-Base-SEO مورد نفوذ و حمله قرار گرفتند. هکری که پشت این قضیه بود نه پلاگین را از پایه نوشته بود و نه پلاگین شناخته شده ای را خریداری کرده بود. در مقابل آنها، کدهای یک پلاگین سئو دیگر را کپی کرده بودند تا به عنوان یک پلاگین قانونی جلوه کنند و این راهی بود که آنها توانستند از اسکنرهای آنلاین قسر در بروند.
البته این موردی نبود که کاربران به زودی متوجه اشتباه بودن آن بشوند. بلکه در بررسی های بیشتر، آنها متوجه تعدادی فایل مشکوک با رمزگذاری base64 شدند که باعث حملات میشدند.
X-WP-SPAM-SHIELD-PRO
آخرین مورد یک پلاگین تقلبی وردپرس است که می توان آن را واقعا وحشتناک خواند. فقط کافی است نام X-WP-SPAM-SHIELD-PRO را جستجو کنید. این پلاگین در وهله اول به نظر یک پلاگین کاملا سالم با کدنویسی درست به نظر می آید که برای امنیت سایت وردپرسی شما نوشته شده است.
همه چیز درست به نظر می آید. اما به محض اینکه Sucuri مچ آنها را میگیرد، آن هم وقتیکه چندین سایت به وسیله این پلاگین مورد حمله و نفوذ قرار گرفته است، آنها چندین مشکل بزرگ که در کدها وجود دارد را مطرح می کنند، که در زیر به مواردی که با استفاده از این کدها نمایان میشوند اشاره خواهیم کرد:
- نسخه فعلی وردپرس که کاربر از آن در حال استفاده است
- لیستی از تمام پلاگین های نصب شده بر روی سایت
- لیستی از مدیران سایت
- نام کاربری، پسورد و آیپی کاربرانی که وارد سایت شده اند
به محض اینکه این اطلاعات در دست فرد هکر قرار بگیرد، قدرت انجام کارهای زیر را خواهد داشت:
- اضافه کردن مدیر جدید به سایت و اجازه دادن به وی برای سرک کشیدن در هر جایی از پیشخوان
- غیرفعال کردن هر پلاگینی در سایت، که این پلاگین میتواند یکی از پلاگین های امنیتی نیز باشد
- دریافت اعلان به محض نصب پلاگین توسط کاربر بر روی سایت
خب با وجود این دست از پلاگین ها بهتر است یاد بگیریم که چگونه می توانیم از سایت خود را از پلاگین های تقلبی پاک کنیم.
۹ کاری که باید در مورد پلاگین ها انجام دهید تا دست هکرها از سایت شما کوتاه شود
حالا که شما دانستید مقصود هکرها از پلاگین های تقلبی چیست، نوبت شماست تا مطمئن شوید که در دام این نوع از پلاگین ها نمیافتید. در زیر به ۹ کاری که شما باید انجام دهید تا به این مشکل برنخورید، خواهیم پرداخت:
۱٫ مرور پلاگین از جهت کیفیت کلی آن
اگر پلاگینی که میخواهید از آن استفاده کنید را در مخزن وردپرس پیدا کردید یا هر منبع معتبر دیگری، قبل از هر چیز کاملا آن را بررسی کنید.
لیست زیر مواردی است که باید در مورد یک پلاگین بدانید:
- اولین کار، بررسی اعتبار و شهرت نویسنده پلاگین است. اگر شخص/اشخاص مورد نظر را نمیشناسید، بهتر است در مورد آنها تحقیق کنید.
- زمان آخرین بروز رسانی نشان دهنده اهمیت نویسنده پلاگین به تغییرات وردپرس در طول زمان است و هر چه این زمان بیشتر شود و وقفه بیافتد، نشان دهنده بی توجهی نویسنده و عدم پشتیبانی وی از پلاگین است. البته این دلیلی بر تقلبی بودن پلاگین نیست.
- اغلب اوقات می توانید کیفیت یک پلاگین را از تعداد افرادی که در حال استفاده از پلاگین مذکور هستند نیز ارزیابی کنید. معمولا وجود چند هزار نصب فعال نشان دهنده امنیت و کیفیت مناسب یک پلاگین است.
- امتیازی که کاربران به یک پلاگین میدهند نشان دهنده کیفیت و نحوه ارائه پشتیبانی آن پلاگین است. در صورتیکه یک پلاگین دارای امتیاز کمتر از ۴٫۵ باشد، باید از خود بپرسید علت چه بوده است؟
- در نهایت، خواندن نظرات کاربران و امتیازی که هر کاربر به صورت جداگانه به پلاگین داده است به شما در ارزیابی یک پلاگین کمک شایانی خواهد کرد.
اگر شما پلاگینی را در خارج از منابع معتبر وردپرس پیدا کردید، باید در مورد آن کاملا تحقیق کنید. برای این کار می توانید از انجمن وردپرس یا گوگل استفاده کنید.
۲٫ مرور کدهای پلاگین
اولین کاری که باید قبل از نصب هر پلاگین جدید انجام دهید، بررسی ساختار فایل ها در آن و اطمینان از قانونی بودن و سالم بودن آنها است. در صورتیکه به پلاگینی شک دارید بهتر است کاملا آن را بررسی و ارزیابی کنید. حتی اگر توسعه دهنده پلاگین نیستید، می توانید با یک نگاه موشکافانه به ساختار قرارگیری فایل ها بعضی موارد را تشخیص دهید. اگر موارد مورد نظر نیاز به بررسی بیشتر داشتند می توانید از متخصصین در امر توسعه وردپرس نیز کمک بگیرید.
۳٫ مرور و بررسی قالب سایت خود
آیا در مورد آسیب پذیری های کشف شده TimThumb و Slider Revolution چیزی شنیده اید؟ با وجود اینکه این موارد از نوع پلاگین های تقلبی نبودند اما آسیب پذیری هایی که در آنها وجود داشت باعث مشکل برای کاربر و سایت وی میشد.
بعضی از قالب های وردپرس پلاگین هایی را نیز با خود به همراه دارند. این کار باعث راحتی می شود اما می تواند مشکلات جدی ای را نیز به همراه داشته باشد اگر طراح قالب آشنایی با آسیب پذیری های پلاگین ها و مشکلاتی که ممکن است با بروز رسانی آنها برای کاربر پیش بیاد، نداشته باشد.
پلاگین هایی از قبیل TimThumb، Slider Revolution و Gravity Froms از آن دست پلاگین هایی هستند که اگر بروز رسانی نشوند، می توانند مشکل ساز شوند. به همین دلیل این پلاگین ها باید مورد توجه بیشتر قرار بگیرند.
۴٫ استفاده از اسکنر برای آسیب پذیری ها
یک اسکنر برای آسیب پذیری ها (vulnerability scanner) ممکن است به شما در امر شناسایی پلاگین های تقلبی کمکی نکند اما قطعا به شما اطلاعاتی در مورد malware، اسپم و سایر حملات داده و در امر شناسایی آنها کمک خواهد کرد.
۵٫ استفاده از یک پلاگین امنیتی
پلاگین های امنیتی چندین وظیفه را در سایت شما برعهده دارند؛ یکی از آن وظایف اطلاع رسانی به شما در خصوص حذف یک پلاگین از مخزن وردپرس یا علامت گذاری آن به پلاگین به عنوان یک پلاگین آسیب پذیر است.
۶٫ مدیریت و مراقبت از پلاگین های سایت خود
در زیر به لیستی از کارهایی که شما می توانید انجام دهید تا بتوانید مدیریت و مراقبت را به خوبی انجام دهید:
- بروز نگه داشتن تمام پلاگین ها
- حذف پلاگین های قدیمی و پلاگین های بلااستفاده
- حذف پلاگین هایی که تقلبی بوده و یا باعث ایجاد مشکلاتی در امنیت یا بارگذاری سایت شما می شوند.
۷٫ بررسی سایت بعد از نصب پلاگین
هر زمانیکه که پلاگین جدیدی را نصب کردید یا پلاگینی را بروز رسانی کردید، حتما سایت خود را بعد از آن بررسی کنید. بسیاری از کاربران زمانی متوجه وجود پلاگین های تقلبی در سایت خود می شوند که با تبلیغات اسپم در سایت خود مواجه می شوند.
۸٫ استفاده از WPScan Vulnerability Database
این سرویس بررسی آنلاین، لیستی از آسیب پذیری های موجود در وردپرس، پلاگین ها و قالب ها را تهیه می کند. اگر در مورد پلاگینی که از آن استفاده می کنید، نگران هستید و فکر می کند که مشکلاتی دارد کافی است از این سایت به عنوان مرجع استفاده کنید.
برای اطلاع از هشدارهای این سایت در خصوص آسیب پذیری ها، می توانید بر روی گزینه Free Email Alerts کلیک کرده و با ثبت ایمیل خود از آخرین اطلاع رسانی ها آگاه شوید.
۹٫ به بهترین اعتماد کنید
در صورتیکه در مورد منبعی که پلاگین را از آن دریافت کرده اید شک دارید، بهترین کار دریافت پلاگین مورد نظر از منابع معتبر نظیر مخزن وردپرس است.
جمع بندی
حتی با وجود بالاترین و سخت گیرانه ترین معیارهای امنیتی، هکرها راهی برای شناسایی آسیب پذیری های وردپرس پیدا خواهند کرد. متاسفانه یکی از این نقاط ضعف، اطمینان ما به پلاگین ها برای مدیریت و انجام بخشی از کارها است.
البته این به معنی این نیست که دیگر از پلاگین ها در سایت وردپرسی خود استفاده نکنیم. بلکه این بدین معنی است که در انتخاب پلاگین ها و نصب آنها روی سایت خود باید بیشتر دقت کنیم.
امیدواریم این مقاله مورد توجه شما عزیزان قرار گرفته باشد، در صورتیکه سوالی داشتید می توانید آن را در قسمت دیدگاه ها در پایین همین پست مطرح کنید تا در اسرع وقت توسط تیم پشتیبانی نوین وردپرس پاسخ داده شود.
همچنین اگر شما نیز تا به حال به یک پلاگین تقلبی برخورده اید، خوشحال خواهیم شد که این موضوع را با دیگر کاربران در میان بگذارید تا آنها نیز با پلاگین مذکور آشنا شده و از نصب آن در سایت خود جلوگیری کنند.
لیست مطالب
- پلاگین های تقلبی وردپرس که هر کسی را فریب می دهد
- پلاگین Pingatorpin
- پلاگین SI CAPTCHA
- پلاگین WP-Base-SEO
- X-WP-SPAM-SHIELD-PRO
- ۹ کاری که باید در مورد پلاگین ها انجام دهید تا دست هکرها از سایت شما کوتاه شود
- ۱٫ مرور پلاگین از جهت کیفیت کلی آن
- ۲٫ مرور کدهای پلاگین
- ۳٫ مرور و بررسی قالب سایت خود
- ۴٫ استفاده از اسکنر برای آسیب پذیری ها
- ۵٫ استفاده از یک پلاگین امنیتی
- ۶٫ مدیریت و مراقبت از پلاگین های سایت خود
- ۷٫ بررسی سایت بعد از نصب پلاگین
- ۸٫ استفاده از WPScan Vulnerability Database
- ۹٫ به بهترین اعتماد کنید
- جمع بندی
نظرات کاربران
ثبت دیدگاه