خطرات استفاده از افزونه ها و پوسته هایی که دیگر بروزرسانی نمی شوند
ممکن است شما در سایت خود از افزونه ها و پوسته هایی که در مخزن وردپرس وجود دارد استفاده کرده باشید یا افزونه ها و پوسته پرمیوم اریجینال یا فارسی شده، درهر صورت امکان اینکه دیگر توسعه دهندگان آن افزونه یا پوسته دیگر آن را بروزرسانی نکنند وجود دارد، مخصوصا زمانی که از مارکتهای فارسی غیرمعتبر افزونه یا پوسته های پرمیوم فارسی را تهیه می کنید.
برخی از این افزونه ها و پوسته ها، اطلاعاتی را از دامنه هایی دریافت می کنند که این دامنه ها منقضی شده اند و دیگر وجودندارند. این نوع افزونه ها و پوسته های قدیمی و بروزنشده هدف خوبی برای مهاجمان فرصت طلب است . به محض اینکه یک مهاجم از آن دامنه های منقضی استفاده کند ، می توانند بدافزارها را برای هر کاربری که هنوز از این افزونه ها استفاده می کنند، توزیع کنند. در اینجا مثالی از آن سناریوی دقیق آورده شده است.
دامنه منقضی شده برای پلاگین My Weather
دامنه منقضی شده در افزونه My Weather قدیمی
یکی از کارکردهای اصلی این افزونه قدیمی، نمایش ابزارک های هواشناسی در وب سایت است. داده های مربوط به اطلاعات آب و هوا توسط این افزونه از یک دامنه منقضی شده weatherforecastmap [.] com بازیابی می شود.
داده های آب و هوا با تزریق های مخرب جایگزین شده است
URL تولید شده توسط افزونه برای داده های آب و هوا براساس شهر و کشور بود – به عنوان مثال: hxxps: // weatherforecastmap [.] com / weather3F.php؟ zona = mexico_playa-del-carmen
مهاجمان توانستند دامنه را ثبت کنند و به جای اینکه اطلاعات آب و هوا را ارائه دهند ، منبع داده را با تزریق مخرب JavaScript جایگزین کردند که هر زمان از یک سایت با استفاده از افزونه قدیمی My Weather بازدید می کردند ، در مرورگر کاربر بارگیری می شد.
افزونه ها و تبلیغات ناخواسته مرورگر
با بررسی بیشتر ، متوجه شدیم که دامنه تازه ثبت شده بدافزاری را توزیع می کند که کاربر را فریب می دهد تا یک م component / اکستنشن مخرب را در مرورگر خود نصب کند. پس از نصب ، تبلیغات اضافی از یک دامنه مخرب دیگر – terraclicks [.] com ارائه شد .
این مثال به وضوح نشان می دهد که چگونه افزونه های قدیمی و رها شده می توانند سایت شما را در معرض خطر قرار دهند. ما توصیه می کنیم تمام افزونه ها را به روز نگه دارید تا از تأثیر این نوع موضوعات بر اعتبار سایت شما جلوگیری کند – و اگر اتفاقاً پلاگین یا قالبی در سایت خود دارید که از آن استفاده نمی کنید ، از آن خلاص شوید.
روش دیگر برای کاهش خطر اضافه کردن WAF ( Firewall برنامه وب ) به وب سایت شما است. WAF ها می توانند از بسیاری از حملات جلوگیری کنند ، به خصوص اگر افزونه های قدیمی یا قدیمی دارید که ممکن است دارای آسیب پذیری های شناخته شده باشند – فایروال می تواند به طور مجازی نرم افزار شما را وصله دهد تا زمانی که فرصت بروزرسانی یا انتقال به نسخه جدید را پیدا کنید.
برای این کار می توانید از افزونه وردفنس استفاده کنید. درضمن می توانید آموزش امنیت وردپرس را برای انجام گامهایی ساده اما موثر برای افزایش امنیت وردپرس، مطالعه کنید.
درباره اسماعیل منصوری
از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی
نوشتههای بیشتر از اسماعیل منصوری
دیدگاهتان را بنویسید