چگونه از سایت خود محافظت کنید؟ آسیب‌پذیری‌ها در قالب‌ها و افزونه‌های وردپرس

چگونه از سایت خود محافظت کنید؟ آسیب‌پذیری‌ها در قالب‌ها و افزونه‌های وردپرس

چگونه از سایت خود محافظت کنید؟ آسیب‌پذیری‌ها در قالب‌ها و افزونه‌های وردپرس  : سایت‌های وردپرس به طور فزاینده‌ای هدف حملاتی قرار می‌گیرند که از آسیب‌پذیری‌های افزونه‌ها و قالب‌ها سوءاستفاده می‌کنند. در این پست موارد اخیر را بررسی کرده و نکات حفاظتی را به اشتراک می‌گذاریم.

 آسیب‌پذیری‌ها در افزونه‌ها و قالب‌ها

سیستم مدیریت محتوای وردپرس (CMS) اخیراً به طور مکرر در سایت‌های خبری امنیت سایبری ظاهر شده است. بیشتر این پوشش خبری به دلیل آسیب‌پذیری در افزونه‌ها و قالب‌ها بوده است. با این حال، همکاران ما موردی را نیز مشاهده کرده‌اند که در آن مهاجمان از سایت‌های وردپرس با امنیت ضعیف برای توزیع تروجان‌ها استفاده کرده‌اند.

این به خودی خود تعجب‌آور نیست – وردپرس همچنان یکی از محبوب‌ترین پلتفرم‌های CMS در این تجارت است. اما تعداد زیاد آسیب‌پذیری‌های افزونه کشف شده و حوادث مرتبط نشان می‌دهد که مهاجمان به همان اندازه مدافعان آن، اکوسیستم وردپرس را از نزدیک زیر نظر دارند.

حوادث وردپرس

همین تابستان، چندین حادثه امنیتی جدی مرتبط با وردپرس آشکار شد.

افزونه Gravity Forms: نفوذ به سایت و آلودگی کد

در اوایل ماه جولای، مهاجمان به سایتی که Gravity Forms – یک افزونه محبوب فرم‌ساز را اجرا می‌کرد، دسترسی پیدا کردند و کد مخرب را به نسخه‌های ۲.۹.۱۱.۱ و ۲.۹.۱۲ تزریق کردند. سایت‌هایی که این نسخه‌های افزونه به صورت دستی توسط مدیران یا از طریق مدیر وابستگی PHP، Composer، نصب شده بودند، بین ۹ و ۱۰ جولای آلوده شدند.

این بدافزار به‌روزرسانی‌های بیشتر را مسدود کرد کدهای مخرب اضافی را دانلود و نصب کرد و حساب‌های کاربری ادمین جدیدی ایجاد کرد. این کار به مهاجمان کنترل کامل سایت را داد که سپس از آن برای اهداف مخرب خود استفاده کردند.

تیم Gravity Forms از همه کاربران می‌خواهد که بررسی کنند آیا نسخه‌ای که استفاده می‌کنند آسیب‌پذیر است یا خیر. دستورالعمل‌های مربوط به نحوه انجام این کار در اطلاعیه مربوط به حادثه در وب‌سایت رسمی افزونه موجود است. این اطلاعیه همچنین نحوه حذف بدافزار را توضیح می‌دهد. و البته، افزونه باید به نسخه ۲.۹.۱۳ به‌روزرسانی شود.

تم تکی: بهره‌برداری فعال از آسیب‌پذیری CVE-2025-5394

همچنین در ماه جولای، محققان گزارش دادند که مهاجمان به طور فعال از یک آسیب‌پذیری بحرانی در فرآیند اعتبارسنجی آپلود فایل غیرمجاز ( CVE-2025-5394 ) سوءاستفاده می‌کردند که بر همه نسخه‌های قالب Alone برای وردپرس – تا نسخه ۷.۸.۳ – تأثیر می‌گذارد. این نقص امکان اجرای کد از راه دور (RCE) را فراهم می‌کند و به مهاجمان کنترل کامل سایت‌های آسیب‌دیده را می‌دهد.

نکته قابل توجه این است که حملات چند روز قبل از افشای رسمی این آسیب‌پذیری آغاز شده بود. طبق گفته Wordfence ، تا ۱۲ ژوئن بیش از ۱۲۰۰۰۰ تلاش برای سوءاستفاده از CVE-2025-5394 انجام شده بود. عوامل تهدید از این نقص برای آپلود آرشیوهای ZIP حاوی webshellها، نصب درهای پشتی PHP محافظت‌شده با رمز عبور برای دسترسی از راه دور HTTP و ایجاد حساب‌های کاربری مدیر پنهان استفاده کردند. در برخی موارد، آنها حتی مدیران فایل کامل را در سایت وردپرس آسیب‌دیده نصب کردند و کنترل کامل پایگاه داده سایت را به دست گرفتند.

توسعه‌دهندگان قالب Alone از آن زمان نسخه ۷.۸.۵ را منتشر کرده‌اند که این آسیب‌پذیری را وصله می‌کند. به همه کاربران اکیداً توصیه می‌شود که فوراً به این نسخه به‌روزرسانی کنند. راهنمایی‌های بیشتر در مورد نحوه محافظت در برابر این اشکال را می‌توانید در گزارش Wordfence بیابید.

موضوع موتورها: بهره‌برداری از آسیب‌پذیری CVE-2025-4322

در ماه ژوئن، مهاجمان همچنین سایت‌های وردپرس را که از یک قالب پریمیوم دیگر به نام Motors استفاده می‌کردند، هدف قرار دادند. در این مورد، مهاجمان از CVE-2025-4322 سوءاستفاده کردند – یک ضعف در فرآیند اعتبارسنجی کاربر که بر همه نسخه‌ها تا ۵.۶.۶۷ تأثیر می‌گذارد. سوءاستفاده از آن به مهاجمان اجازه داد تا حساب‌های مدیر را بدزدند.

سازندگان قالب، StylemixThemes، در ۱۴ مه ۲۰۲۵ نسخه اصلاح‌شده (۵.۶.۶۸) را منتشر کردند. پنج روز بعد، Wordfence بیانیه‌ای منتشر کرد و از کاربران خواست بدون تأخیر به‌روزرسانی کنند. با این حال، همه کاربران به موقع به‌روزرسانی نکردند – حملات از روز بعد، ۲۰ مه، آغاز شد و تا ۷ ژوئن، Wordfence 23100 تلاش برای بهره‌برداری را ثبت کرده بود.

سوءاستفاده‌ی موفقیت‌آمیز از آسیب‌پذیری CVE-2025-4322 به مهاجمان حقوق مدیر اعطا می‌کند و آنها را قادر می‌سازد تا حساب‌های کاربری جدید ایجاد کرده و رمزهای عبور را تغییر دهند.

بدافزار Efimer: از طریق سایت‌های وردپرس آلوده منتشر می‌شود

و در نهایت موردی که در آن مجرمان سایبری از آسیب‌پذیری‌های افزونه‌ها و قالب‌ها سوءاستفاده نکرده‌اند، اما با این وجود، علاقه مهاجمان به سایت‌های مبتنی بر وردپرس را نشان می‌دهد.

در اوایل ماه اوت، همکاران ما حمله‌ای را بررسی کردند که شامل بدافزار Efimer بود که در درجه اول برای سرقت ارزهای دیجیتال طراحی شده بود. مهاجمان آن را از طریق ایمیل و تورنت‌های مخرب پخش می‌کردند، اما برخی از آلودگی‌ها نیز از سایت‌های وردپرس آسیب‌دیده سرچشمه می‌گرفتند.

تجزیه و تحلیل دقیق نشان داد که Efimer همچنین شامل یک ابزار شکستن رمز عبور وردپرس نیز بوده است. اساساً، هر بار که این بدافزار اجرا می‌شد، با استفاده از مجموعه‌ای از رمزهای عبور استاندارد که در اسکریپت به صورت کد ثابت قرار داشتند، یک حمله brute-force به پنل مدیریت وردپرس انجام می‌داد. هر رمز عبوری که با موفقیت شکسته می‌شد، به سرور فرماندهی مهاجمان ارسال می‌شد.

آسیب‌پذیری‌های بالقوه خطرناک

فراتر از موارد فوق، چندین آسیب‌پذیری دیگر گزارش شده است – اگرچه هنوز در حملات دنیای واقعی مشاهده نشده‌اند. با این حال، همانطور که مورد Motors نشان می‌دهد، مهاجمان می‌توانند به زودی از آنها سوءاستفاده کنند، بنابراین باید از نزدیک تحت نظر باشند.

همچنین شما میتوانید با کلیک برروی خرید لایسنس eset که دارای ⭐️ پشتیبانی از نسخه های خانگی اسمارت سکیوریتی پریمیوم/ اینترنت سکیوریتی / نود 32 آنتی ویروس ⭐️پشتیبانی از سیستم عامل: ویندوز 7 – 8 – 10 – 11 ، ⭐️ قابلیت نصب نرم افزار از سایت رسمی eset.com میباشد خریداری کنید.

GiveWP: یک آسیب‌پذیری در افزونه‌ی اهدای کمک مالی وردپرس

در اواخر ماه جولای، تیم پشت پروژه متن‌باز Pi-hole یک آسیب‌پذیری در افزونه GiveWP که در سایت وردپرس خود از آن استفاده می‌کردند، کشف کرد. این افزونه به وب‌سایت‌ها اجازه می‌دهد تا کمک‌های مالی آنلاین را بپذیرند، کمپین‌های جمع‌آوری کمک‌های مالی را مدیریت کنند و موارد دیگر.

توسعه‌دهندگان دریافتند که این افزونه با نمایش اطلاعات اهداکنندگان در منبع صفحه، ناخواسته آنها را در معرض خطر قرار داده و دسترسی به نام‌ها و آدرس‌های ایمیل را بدون احراز هویت امکان‌پذیر کرده است.

توسعه‌دهندگان GiveWP تنها چند ساعت پس از گزارش این مشکل در گیت‌هاب، وصله‌ای منتشر کردند . با این حال، از آنجایی که داده‌ها قبلاً افشا شده بودند، سرویس Have I Been Pwned این حادثه را به پایگاه داده نشت خود اضافه کرد و تخمین زد که اطلاعات نزدیک به 30000 نفر به خطر افتاده است.

به مدیران سایت‌هایی که از GiveWP استفاده می‌کنند توصیه می‌شود افزونه را به نسخه ۴.۶.۱ یا بالاتر به‌روزرسانی کنند.

پست SMTP: آسیب‌پذیری CVE-2025-24000 امکان تصاحب حساب مدیر را فراهم می‌کند

آسیب‌پذیری CVE-2025-24000 – با امتیاز ۸.۸ در مقیاس CVSS – اخیراً در افزونه Post SMTP کشف شده است . این افزونه، تحویل ایمیل‌های خروجی از یک سایت وردپرس را نسبت به تابع داخلی wp_mail، قابل اعتمادتر و کاربرپسندتر می‌کند.

CVE-2025-24000، که بر روی تمام نسخه‌های Post SMTP تا نسخه ۳.۲.۰ و از جمله آن تأثیر می‌گذارد، ناشی از یک مکانیسم کنترل دسترسی معیوب در REST API این افزونه است. مشکل این است که این API فقط بررسی می‌کند که آیا کاربر احراز هویت شده است یا خیر – نه سطح دسترسی او. در نتیجه، حتی یک کاربر با امتیاز پایین نیز می‌تواند گزارش‌های حاوی ایمیل‌های ارسالی را به همراه محتوای کامل آنها مشاهده کند.

این امر امکان ربودن حساب کاربری مدیر را فراهم می‌کند. یک مهاجم فقط باید تنظیم مجدد رمز عبور را برای حساب کاربری مدیر آغاز کند، سپس گزارش‌های ایمیل را بررسی کند تا پیام تنظیم مجدد را بازیابی کند و پیوند داخل آن را دنبال کند و در نتیجه دسترسی مدیر را به دست آورد.

توسعه‌دهنده در ۱۱ ژوئن یک نسخه وصله‌شده – Post SMTP 3.3.0 – منتشر کرد. با این حال، آمار دانلود در WordPress.org در زمان نگارش این مطلب نشان می‌دهد که تنها حدود نیمی از کاربران این افزونه (۵۱.۲٪) به نسخه اصلاح‌شده به‌روزرسانی کرده‌اند. این باعث می‌شود بیش از ۲۰۰۰۰۰ سایت هنوز در معرض خطر باشند. علاوه بر این، تقریباً یک چهارم از کل سایت‌ها (۲۳.۴٪ یا حدود ۱۰۰۰۰۰) هنوز از شاخه قدیمی ۲.x استفاده می‌کنند که شامل این و سایر آسیب‌پذیری‌های وصله‌نشده است.

بدتر از همه، کد اثبات ادعا (PoC) برای آسیب‌پذیری CVE-2025-24000 قبلاً به‌صورت آنلاین منتشر شده است، هرچند ما عملکرد آن را تأیید نکرده‌ایم.

چگونه از سایت وردپرس خود محافظت کنیم

افزونه‌ها و قالب‌ها وردپرس را بسیار انعطاف‌پذیر و کاربرپسند می‌کنند، اما سطح حمله را نیز به طور قابل توجهی گسترش می‌دهند. اگرچه اجتناب کامل از آنها واقع‌بینانه نیست، اما می‌توانید با پیروی از این شیوه‌های برتر، امنیت سایت خود را تضمین کنید:

✅تعداد افزونه‌ها و قالب‌ها را به حداقل برسانید. فقط آن‌هایی را نصب کنید که واقعاً ضروری هستند. هرچه تعداد کمتری استفاده کنید، خطر آسیب‌پذیری یکی از آن‌ها کمتر می‌شود.

✅افزونه‌ها را در یک محیط ایزوله به طور کامل آزمایش کنید و قبل از نصب، کد آنها را برای وجود درهای پشتی تجزیه و تحلیل کنید.

✅به افزونه‌های پرکاربرد اولویت دهید. اگرچه در برابر نقص‌ها مصون نیستند، اما مشکلات موجود در چنین پروژه‌هایی معمولاً سریع‌تر کشف و وصله می‌شوند.

✅از اجزای رها شده اجتناب کنید – آسیب‌پذیری‌های موجود در آنها ممکن است برای همیشه باقی بمانند.

✅نظارت بر ناهنجاری‌ها. مرتباً لیست حساب‌های کاربری ادمین را برای کاربران ناشناس بررسی کنید و حساب‌های کاربری موجود را از نظر خطاهای ناگهانی رمز عبور زیر نظر داشته باشید.

✅سیاست‌های رمز عبور را تقویت کنید. از کاربران بخواهید رمزهای عبور قوی تنظیم کنند و احراز هویت دو مرحله‌ای را اجباری کنید.

✅به درستی به حوادث واکنش نشان دهید. اگر مشکوک به هک شدن سایت خود هستید، فوراً به حادثه واکنش نشان دهید و امنیت سایت را بازیابی کنید. اگر تخصص کافی ندارید، با متخصصان خارجی تماس بگیرید اقدام سریع می‌تواند تأثیر حمله را تا حد زیادی کاهش دهد.