دو آسیب پذیری خطرناک از نوع Local File Inclusion و Path Traversal اخیرا توسط Simon Scannell عضو شرکت RIPS Technology (مالک پروژه بزرگ و قدرتمند RIPS) روی سیستم مدیریت محتوای وردپرس کشف شد که در این مطلب به دنبال خود یک خبر خوب و یک خبر بد هم برای استفاده کنندگان این مدیریت محتوای بزرگ دارد که این موضوع را مورد برسی قرار خواهیم داد.
خرید هاست با امنیت بالا همیشه پیش از هر چیز به مشتریان پیشنهاد میگردد و پس از اینکه اقدام به تهیه هاست مورد نظر خود کردید پیشنهاد میشود نکات امنیتی اسکریپت ساز خود را نیز رعایت کنید تا از هک شدن سایت های خود نیز بصورت ویژه جلوگیری کرده باشید.
خب حالا یک خبر:
آسیب پذیری اول یعنی Local File Inclusion در نسخه های ۴٫۹٫۹ و ۵٫۰٫۱ رفع شده. خوشحال شدین؟ زیاد خوشحال نباشین چون آسیب پذیری دوم یعنی Path Traversal هنوز وصله نشده و هنوز احتمال هک شدن برای میلیون ها نفر وجود داره. یه خبر خوب دیگه هم همین الان برام اومده که میگه آسیب پذیری دوم فقط تو نسخه ۵٫۰٫۳ رفع شده. پس عملا خبر بدی وجود نداره و اگه همین الان به نسخه ۵٫۰٫۳ وردپرس بروز رسانی کنید از شر هر دو مشکل رها خواهید شد. 😉
ریشه این آسیب پذیری ها در ورودی های Post Meta ای هست که توسط خود وردپرس بکار گرفته می شود یا پلاگین ها و تم هایی که با پوشه wp-content/uploads کار می کنند. به بیان ساده چه وقتی که با خود وردپرس چه وقتی با پلاگین ها و تم های خود در حال آپلود یا ویرایش عکس هستید همون لحظه آسیب پذیرید و امکان رهگیری مسیر عبوری وردپرس برای مدیریت عکس های ویرایش شده (Path Traversal) توسط هکر وجود دارد.
در مرحله بعد با کسب اطلاع از مسیرهایی که بوسیله وردپرس برای هاست شما ایجاد شده، هکر می تواند با تزریق اکسپلویت در توابع php که حین مدیریت عکسها فراخوانی می شوند کنترل کامل هاست را در دست بگیرد.
توصیه ما به عزیزانی که در حال حاضر از وردپرس استفاده می کنند این است که در وهله اول سایت خود را بروز نگه دارید. متاسفانه بعضی برنامه نویسان، طراحان و مدیران سایت به دلایل تجاری سایت رو آپدیت نمی کنند یا دیر اقدام به بروز رسانی می کنند تا به زعم خودشون خیالشون از خراب نشدن سایت راحت باشه. این جمله قطعا یک کلیشه هست اما حقیقت رو باید قبول کرد حتی اگر کلیشه باشه: یک سایت دارای ایراد بهتر از یک سایت هک شدس! پس حرف ما رو گوش کنید و همین حالا برای بروز رسانی وردپرس اقدام کنید!