جشنواره زمستانی 1402 وب‌رمز

طی ماه گذشته اختلال امنیتی در افزونه بک‌آپ‌گیری و انتقال افزونه Duplicator وردپرس کشف و شناسایی شده است. این مورد باعث به وجود آمدن اختلالات گسترده درتمامی سایت­‌ها وردپرسی از جمله در سایت­‌های کاربران ایرانی شده است.  طی اطلاعیه شرکت Synacktiv خصوص افزونه Duplicator مشخص شد که اختلال امنیتی در حال حاضر با patch ارائه شده قابل رفع می­‌باشد و کاربران حتما باید اقدام به بروزرسانی این افزونه کنند. در اینجا کمی درخصوص اختلال در افزونه Duplicator وردپرس توضیح خواهیم داد

حفره امنیتی مذکور

 کدی که دارای مشکل امنیتی است در واقع در خود دایرکتوری پلاگین قرار ندارد. مشکل زمانی نمایان می‌­شود که کاربر اقدام به انتقال محتویات وردپرس و با بازگردانی آن می‌­کند.

بک‌آپ‌گیری از سایت ،۲ فایل خروجی دارد که هر دو برای بازگردانی سایت مورد نیاز هستند: یکی فایل آرشیو .zip و دیگری اسکریپتی با نام installer.php که برای بازگردانی محتویات از آن استفاده می­‌شود.

این فایل­‌ها می­‌توانند به سرور جدیدی منتقل شوند و در دایرکتوری مربوطه قرار گیرند. سپس ادمین می‌­تواند از طریق مرورگر خود فایل installer.php را بازدید کند و پروسه بازگردانی و انتقال سایت را آغاز کند.

پيشنهاد وب رمز: هاست وردپرس – WordPress Host

 افزونه duplicator - مشکلات افزونه duplicatore و حفره امنیتی

بعد از اینکه بازگردانی انجام شود، پیغامی مبنی بر آماده بودن سایت و امکان ورود به آن نشان داده می‌­شود.

 افزونه duplicator - ابزار duplicatote

 

در این صفحه یک لیست از گام­‌های نهایی وجود دارد که به کاربر یاد آوری می­‌کند که باید فایل­‌های اضافه و باقی مانده را به دلایل امنیتی حذف کند. در واقع این پیغام به صورت دائمی در داشبورد وردپرس نمایش داده می­‌شود تا زمانی که کاربر اقدام به حذف فایل­‌ها کرده و یا Duplicator را uninstall کند.

 

 افزونه duplicator - حذف کردن فایل های اضافی در ابزار duplicator

 

ماندگار بودن این پیغام دلیل بسیار مهم و موجهی دارد، باقی ماندن فایل­ها و اسکریپت­‌ها در دایرکتوری­‌هایی که که از طریق وب قابل دسترس هستند کار بسیار خطرناکی است. در گذشته نیز این امر باعث به وجود آمدن اختلالات امنیتی در وردپرس بوده است.

 

مشکل از آنجا به موجود می­‌آید که فایل installer.php مقادیر ورودی که از کاربر می‌­گیرد را مستقیما وارد فایل wp-config.php می­کند و این امر باعث به وجود آمدن حفره امنیتی برای تزریق کد می­‌شود.

در حال حاضر patch ارائه شده از سوی شرکت Synacktiv دو کار مختلف انجام داده است:

۱) رفع مشکل امنیتی فایل installer.php و جلوگیری از تزریق کد توسط این فایل

۲)‌ افزودن قابلیت ایمن سازی از طریق تعریف کردن رمز برای فایل­‌های installer

این کار باعث می­‌شود که در حین استفاده از فایل installer کاربر امنیت بیشتری داشته باشد و شخص سومی به طور کل به این فایل­‌ها دسترسی نداشته باشد.

 

 افزونه duplicator - رفع مشکل فایل installer.php

هشدار !!!

با اینکه patch ارائه شده اقدامات امنیتی لازم جهت ایمن سازی پلاگین Duplicator را تا حد زیادی انجام می­‎دهد، باید توجه داشت که حذف کردن فایل­‎های installation بعد از پایان کار از اهمیت بسیار بالایی برخوردار است و تاکید شدیدی بر آن می­‎شود.

در حال حاضر در هاست وردپرس وب‌رمز با وجود اینکه اطلاعات ورودی کاربر در زمان استفاده از پلاگین قبل از وارد شدن به فایل wp-config امن می­‎شود، هم چنان ممکن است مقادیری که از قبل در این فایل­‎ها باقی مانده‎اند باعث بروز مشکل شوند. مثلا ممکن است ربات­‎ها با دادن اطلاعات دیتابیس اشتباه باعث از دسترس خارج شدن سایت و بروز ارور زیر در سایت شوند‌:‌

رفع خطای در افزونه duplicator

 چه کاری باید انجام دهیم؟‌

۱) در ابتدا تمامی افزونه­‎ها از جمله Duplicator را آپدیت کنید.

۲)‌ سپس taller.php و در صورت وجود فایل installer-backup.php را حتما از داخل هاست خود پاک کنید. پس از هر بار استفاده از افزونه Duplicator حتما فایل­‎های مربوط را بعد از بازگردانی حذف کنید.

۳) رمز دیتابیس وردپرس را ریست کنید.

۴)‌ جهت اطمینان فایل wp-config.php را حذف کرده و مجددا بسازید. با استفاده از  این لینک کلید­های لازم جهت افزایش امنیت را در فایل wp-config.php کپی کرده و جایگزین کنید.

۵)‌ دیگر فایل­‎های وردپرس را چک کنید تا کد­های مخرب به آن تزریق نشده باشد.

برچسب ها :

منبع : wordfence.com

یک پاسخ به “باگ امنیتی در افزونه داپلیکیتور Duplicator وردپرس و ضرورت اقدام فوری”

  1. آریا گفت:

    ممنون بابت مقاله خوبتون

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بخشی از آمار خدمات وب رمز

تعداد خدمت ارائه شده

150
پروژه سئو
420
پروژه طراحی سایت
69000
خدمات هاست
220000
ثبت دامنه

در وب‌رمز رضایت مشتریان اولویت ماست

کارفرمایان در مورد ما چه می‌گویند

خانم مهندس درفشی

خانم مهندس درفشی

مدیر سایت "آژانس ارتباطات دان"
آقای مهندس منظمی

آقای مهندس منظمی

مدیر "هلدینگ گام"
خانم مهندس اسدی

خانم مهندس اسدی

مدیر دیجیتال مارکتینگ "ایران ادونچر"
آقای مهندس طالب زاده

آقای مهندس طالب زاده

مدیر مجموعه مهاجرتی - تحصیلی "کانادا از ایران"

برخی برندها که افتخار خدمت به آنها را داشتیم

جایگاه برند معظم شما اینجاست..

webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers
webramz customers

تعدادآرا: 881 - میانگین: 5

رأی شما ثبت شد.