هر آنچه باید در مورد افزونه‌های جعلی وردپرس بدانید

افزونه‌های جعلی وردپرس

هر آنچه باید در مورد افزونه‌های جعلی وردپرس بدانید


واحد تولید محتوای پرستیژ تقدیم می کند


به نام خداوند بخشنده مهربان

شما به‌عنوان یک توسعه‌دهنده وردپرس برای ساده‌سازی جریان‌های کاری خود می‌توانید عملکردهای موردنظر خود را با چارچوب CSS و کتابخانه‌های جاوا اسکریپت طراحی کنید. اما همگی اغلب برای صرف زمان کمتر و راحت‌تر بودن از افزونه‌ها کمک می‌گیریم به‌خصوص مواردی که به‌صورت رایگان یا در مخزن وردپرس به ثبت رسیده‌اند. افزونه‌ها قطعاً یکی از اساس‌های مهم در طراحی وب‌سایت‌ها به کمک وردپرس هستند. با این‌حال، اگر محتاط نباشید، افزونه‌های جعلی وردپرس می‌توانند امنیت سایت شما را به خطر اندازند. در این مقاله می‌خواهیم روش شناسایی این نوع افزونه‌ها را بررسی کنیم.


افزونه‌های جعلی وردپرس

درصد بالایی از آسیب‌پذیری‌های شناخته‌شده مربوط به افزونه‌ها است که عامل اصلی نقض امنیت وردپرس هستند. البته، این موارد معمولاً به خطای کاربر مربوط می‌شود (به‌عنوان‌مثال یک افزونه زمانی که باید، به‌روز نمی‌شود). اما گاهی اوقات نیز این مسائل مربوط به امنیت افزونه‌ها است و هیچ ارتباطی با نوع خطای کاربر ندارند. به‌عنوان‌مثال، هکرهایی که آگاهانه کدهای مخرب به افزونه تزریق می‌کنند، یا افزونه‌های جعلی وردپرس که با اهداف شوم منتشر می‌شوند.

افزونه‌های جعلی وردپرس باهدف آلوده کردن وب‌سایت‌ها منتشر می‌شوند. اکنون سؤالاتی پیش می‌آید مانند:

  • چرا هکرها از افزونه‌های وردپرس استفاده می‌کنند؟
  • برای جلوگیری از نفوذ هکرها چه اقداماتی باید انجام داد؟
  • روش تشخیص افزونه‌های جعلی وردپرس چیست؟

اهمیت شناسایی افزونه‌های جعلی وردپرس

همیشه افراد به موارد امنیتی مانند انتخاب میزبان مناسب، مدیریت وب‌سایت، بالا بردن سطح ایمنی و …توجه دارند اما توجه به رعایت موازین برای جلوگیری از هک شدن وب‌سایت از داخل وردپرس نیز بسیار مهم است. این امر و این نوع از هک فقط به‌واسطه موارد نصب‌شده مخرب امکان‌پذیر است به همین دلیل شناسایی افزونه‌های جعلی وردپرس بسیار حائز اهمیت است.

افزونه‌های جعلی وردپرس در نگاه اول قانونی به نظر می‌رسند. اگر قبلاً با افزونه‌های جعلی وردپرس مواجه نشدید، اجازه دهید تعدادی از موارد شناخته‌شده را معرفی کنیم:


Pingatorpin

Pingatorpin یک افزونه در سال ۲۰۱۳ بود که بلافاصله شناسایی شد. توسط این افزونه تعداد زیادی از وب‌سایت‌ها حاوی کدهای مخرب شده بودند و این افزونه فایل‌های مشابهی را به اشتراک گذاشته بود. بعد از تحقیقات گسترده مشخص شد که افزونه Pingatorpin منبع اسپم در این سایت‌ها بوده است.


SI CAPTCHA Anti-Spam

افزونه SI CAPTCHA Anti-Spam در تابستان ۲۰۱۷ توسط یک شخص خریداری شد. خریدار مالکیت افزونه را تغییر داد. مالک جدید کد مخربی را به افزونه اضافه کرد که به سرور جداگانه‌ای اجازه می‌داد تا تبلیغات خود را به پست‌های وبلاگ‌های کاربران ارسال کند. این هکر از هشت افزونه وردپرسی به‌عنوان وسیله‌ای برای به دست آوردن دسترسی backdoor به وب‌سایت‌ها به‌منظور اجرای هرزنامه در آن استفاده کرده بود.
هکرهای بسیاری مانند این شخص هستند که افزونه‌های شناخته‌شده را از توسعه‌دهندگان خریداری می‌کنند و سپس به‌روزرسانی‌های مربوط به افزونه را با یک قطعه کد آسیب‌پذیری ادغام می‌کنند که دسترسی آن‌ها به سایت‌های کاربران را فراهم می‌کند.  هکرها به‌خوبی می‌دانند که توسعه‌دهندگان وردپرس و سایر کاربران در مورد امنیت بسیار حساس هستند و احتمالاً مایل به استفاده از یک افزونه شناخته‌شده کوچک از مخزن هستند، بنابراین این حرکت فوق‌العاده انحصاری و هوشمندانه است.


WP Base SEO

در آوریل ۲۰۱۷ نزدیک به ۴۰۰۰ وب‌سایت وردپرسی توسط افزونه WP Base SEO آلوده شد. هکر برای جلب اعتماد کاربران، ظاهر افزونه را کاملاً قانونی جلوه داد در عوض، کد مخرب را در پشت پرده و کاملاً مخفیانه به افزونه منتقل کرد که از توجه اسکنرهای آنلاین پنهان مانده بود.
بعدها پس از بازرسی، تعدادی فایل مشکوک کدگذاری شده شناسایی شد و عملکرد افزونه مخرب افشا شد.


X WP SPAM SHIELD PRO

ابتدا به نظر می‌رسید که X WP SPAM SHIELD PRO یک افزونه امنیتی خوب برای وردپرس است. حتی ساختار پوشه‌ای آن طبیعی و امن بود. اما عملکردی بسیار خطرناک داشت و افزونه قادر به دسترسی به بخش‌های مهم وردپرس بود ازجمله:

  • نسخه فعلی وردپرس
  • فهرستی از تمام افزونه‌های نصب‌شده در وب‌سایت
  • لیستی از مدیران سایت
  • نام کاربران واردشده، گذرواژه‌های آن‌ها، آدرس‌های IP
  • و…

هنگامی‌که افزونه این اطلاعات را داشت، قادر به انجام عملیات داخلی در وردپرس بود مانند:

  • افزودن یک کاربر با نقش مدیر و دسترسی به تمام بخش‌ها
  • غیرفعال‌سازی افزونه‌های موردنظر ازجمله افزونه‌های امنیتی
  • امکان آپلود فایل‌های دلخواه
  • دریافت اعلان هنگام نصب افزونه جدید

می‌بینید که وجود افزونه‌های جعلی وردپرس بسیار خطرناک است و حتی باوجود افزونه‌های امنیتی ممکن است مسائل و مشکلات متعددی رخ دهد. بنابراین قبل از نصب هرگونه افزونه‌ای باید از سلامت کدهای افزونه مطمئن شد.

۹ روش کاربردی برای حفظ امنیت در برابر افزونه‌های جعلی وردپرس

تا اینجا با افزونه‌های جعلی وردپرس و نوع عملکرد آن‌ها آشنا شدید. به کمک روش‌های زیر قادر خواهید بود افزونه‌ها را قبل از نصب، مورد بررسی قرار دهید تا در دام هکرها نیفتید.


1- بررسی و کنترل کیفیت افزونه

قبل از دانلود و نصب افزونه وردپرس موردنظر خود از مخزن وردپرس یا یکی دیگر از منابع، آن را به‌طور گسترده موردبررسی قرار دهید.

۵ مورد را باید بررسی کنید. (طبق تصویر)

  1. شهرت توسعه‌دهنده افزونه: ابتدا مطمئن شوید که توسعه‌دهنده افزونه شخص معتبری است.
  2. به‌روزرسانی‌: به‌روزرسانی‌ها باید منظم باشند در غیر این صورت افزونه جعلی و رهاشده است و هیچ پشتیبانی برای آن در دسترس نیست.
  3. تعداد نصب فعال: معمولاً می‌توانید کیفیت یک افزونه را براساس تعداد کاربران آن بفهمید. اصولاً اگر بیش از چند هزار نفر از افزونه‌ای استفاده می‌کنند می‌توان گفت که مشکل خاصی دیده نشده و می‌توان تا حدودی به افزونه اعتماد کرد.
  4. امتیاز کاربران: امتیاز افزونه، میزان رضایت افراد را نمایش می‌دهد پس معیار مناسبی در تشخیص کیفیت افزونه است.
  5. بررسی نظرات دیگران: با توجه به دیدگاه‌های ثبت‌شده می‌توان اطلاعات مناسبی از عملکرد و امنیت افزونه کسب کرد.

Fake WordPress Plugins - افزونه‌های جعلی وردپرس

اگر افزونه‌ای ازنظر شما فاقد استانداردهای لازم بود باید در انجمن‌های وردپرس و موتورهای جستجو نیز در مورد آن تحقیق کنید تا متوجه مشکلات آن افزونه شوید.


2- بررسی و بازبینی کدهای افزونه

مورد دیگری که باید قبل از نصب افزونه جدید انجام دهید، بررسی ساختار افزونه و اطمینان از استاندارد بودن ساختار پوشه‌بندی‌ها است. پس از بازرسی ساختار، کدهای افزونه را بررسی کنید. حتی اگر توسعه‌دهنده افزونه نباشید، می‌توانید کدگذاری‌های مشکوک در فایل‌های افزونه را مشاهده کنید این کدگذاری چیزی شبیه اطلاعات تماس هستند که برای ارسال داده‌ها استفاده می‌شوند.


3- بررسی قالب

برخی از قالب‌ها به همراه افزونه‌های داخلی موردنیاز خود ارائه می‌شوند که معمولا توسعه‌دهنده متوجه سوء استفاده‌های احتمالی نیست و به‌روزرسانی این افزونه‌ها را بر عهده کاربر قرار می‌دهد که در صورت عدم به‌روزرسانی ممکن است مشکلات متعددی رخ دهد.

TimThumb، Revolution Slider و Gravity Forms سه افزونه حساس هستند که اصولاً همراه با قالب ارائه می‌شوند که در صورت عدم به‌روزرسانی یا به‌روزرسانی نامناسب برای شما مشکل ایجاد می‌کنند. پس در حین تهیه قالب نیز از اعتبار توسعه‌دهنده و کیفیت افزونه‌های داخلی قالب اطمینان حاصل کنید.


4- استفاده از اسکنر امنیتی

اسکنرها قادر به شناسایی افزونه‌های جعلی وردپرس هستند و به شما اطلاع می‌دهند که با بدافزار، اسپم، کد مخرب و… مواجه شده‌اید.


5- استفاده از افزونه‌های امنیتی

یک‌سری از افزونه‌های امنیتی وجود دارند که علاوه‌بر افزایش سطح امنیتی، اطلاعاتی مبنی بر حذف افزونه‌ها از مخزن وردپرس و یا افزونه‌های علامت‌دار و مشکوک به شما می‌دهند.


6- مدیریت و نگهداری افزونه‌ها

تنها تشخیص سالم بودن افزونه کافی نیست بلکه بعد از نصب نیز باید مواردی را رعایت کرد تا از نفوذ هکرها در امان باشید از جمله:

  • تمام افزونه‌های خود را به‌روز نگه‌دارید. (همچنین هسته وردپرس و قالب)
  • هر افزونه قدیمی یا استفاده‌نشده را حذف کنید.
  • بلافاصله هر افزونه جعلی وردپرس یا افزونه‌هایی که دارای مشکلات امنیتی و عملکردی هستند را کنار بگذارید.

7- بررسی سایت بعد از نصب افزونه

هر بار که افزونه جدیدی نصب کردید یا افزونه‌های موجود را به‌روزرسانی کردید، وب‌سایت را بررسی کنید. بسیاری از کاربران تغییرات وب‌سایت و تبلیغات اسپمی که افزونه ارسال کرده بود را متوجه نمی‌شوند.


8- استفاده از WPScan Vulnerability Database

 WPScan-Vulnerability-Database - افزونه‌های جعلی وردپرس

WPScan Vulnerability Database یک ردیاب آنلاین است که یک لیست از آسیب‌پذیری‌های شناسایی‌شده از وردپرس، افزونه‌ها و قالب‌ها را نگه‌داری می‌کند. می‌توانید افزونه‌های مورداستفاده خود را بررسی کنید و از این ابزار به‌عنوان یک نقطه مرجع استفاده کنید.


9- اعتماد و انتخاب منابع مناسب

اعتماد بهترین گزینه است. همیشه سعی کنید از هر منبعی استفاده نکنید و فقط از منابع شناخته‌شده و معتبر برای تهیه افزونه‌های موردنظر خود کمک بگیرید.


نتیجه گیری کلی:

حتی با سختگیرترین استانداردهای امنیتی، هکرها راهی برای بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده وردپرس پیدا خواهند کرد. متأسفانه یکی از این نقاط ضعف، عدم اطلاع ما از افزونه‌ها است که بخشی از کار را برای آنان انجام می‌دهیم و با نصب افزونه جعلی وردپرس مسیر را برای آنان هموار می‌سازیم.
البته نمی‌توان گفت که از افزونه‌های وردپرس استفاده نکنید بلکه همیشه باید مراقب باشید و با رعایت نکات ذکرشده فقط افزونه‌های شناخته‌شده و سالم را نصب کنید.

پایدار باشید.

با تشکر از حسن انتخاب شما

واحد تولید محتوای پرستیژ

مطالب زیر را حتما بخوانید

پاسخی بگذارید