توسعه‌دهنده یک افزونه محبوب وردپرس، محصول خود را برای رفع یک آسیب‌پذیری حیاتی که می‌توان از آن برای تغییر ظاهر وب‌سایت‌ها سواستفاده کرد، به‌روزرسانی کرده است.

پلتفرم Elementor به عنوان یک پلتفرم پیشرو در ساخت وب‌سایت برای وردپرس به بازار عرضه می‌شود که به بیش از پنج میلیون کاربر این امکان را می‌دهد تا بدون نوشتن هیچ کدی به راحتی وب‌سایت‌هایی را برای خود یا کسب‌وکارشان ایجاد کنند.

با این حال، هفته گذشته محققان شرکت امنیتی Plugin Vulnerabilities فعالیت مشکوکی مرتبط با این افزونه را کشف کردند.

این شرکت توضیح داد: «ما نتوانستیم هیچ آسیب‌پذیری فاش‌شده تازه‌ای را پیدا کنیم که این موضوع را توضیح دهد، بنابراین بررسی‌های استاندارد خود را در شرایطی که ممکن است یک هکر از یک آسیب‌پذیری رفع‌نشده در یک افزونه سواستفاده کند، شروع کردیم».

آن‌ها افزودند: «آنچه بلافاصله متوجه شدیم این بود که افزونه امنیت اولیه را به درستی مدیریت نمی‌کند، زیرا ما عملکرد‌های زیادی را پیدا کردیم که بررسی‌های قابلیت‌ها در جایی که نباید وجود داشته باشد، فراموش شده بودند. در حالی که برخی از آن‌ها برای کاربرانی که نباید دسترسی داشته باشند، در دسترس نبودند، حداقل یک مورد را پیدا کردیم که قابل دسترسی است و عملکرد قابل دسترسی منجر به یکی از جدی‌ترین انواع آسیب‌پذیری، یعنی اجرای کد از راه دور (RCE) می‌شود».

مشخص شد که این باگ در نسخه ۳. ۶. ۰ این افزونه که در ۲۲ مارس منتشر شد، معرفی شد، به این معنی که حدود ۱. ۵ میلیون کاربر تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.

آسیب‌پذیری این پلاگین هشدار داد که این آسیب‌پذیری می‌تواند توسط مهاجمان احراز هویت شده با دسترسی به داشبورد مدیریت وردپرس مورد سواستفاده قرار گیرد، اما این احتمال وجود دارد که توسط عوامل تهدیدی وارد داشبورد وب‌سایت نشده‌اند نیز استفاده شود.

به نظر می‌رسد که این آسیب‌پذیری مهاجمان را قادر می‌سازد تا با تغییر عناصر، از جمله نام، لوگو، تصاویر و موضوع، ظاهر سایت مورد نظر را به طور کامل تغییر دهند.

خوشبختانه Elementor اکنون نسخه 3.6.3 را برای رفع این مشکل منتشر کرده است که از کاربران درخواست می‌شود آن را دانلود کنند. آسیب‌پذیری پلاگین proof of concept را منتشر کرده است که این اصلاحیه را ضروری‌تر و فوری‌تر می‌کند.

مدیر عامل امنیت سایبری K2، پروین مدهانی، گفت سازمان‌هایی که سایت‌های وردپرس را اجرا می‌کنند باید امنیت لایه‌بندی شده را اعمال کنند.

او افزود: «وردپرس به اندازه یک سوم تمام وب‌سایت‌های موجود در اینترنت، از جمله برخی از سایت‌های پرترافیک و درصد زیادی از سایت‌های تجارت الکترونیک را تأمین می‌کند، پس چرا آن‌ها برای محافظت در برابر این دست حملات مجهزتر نیستند».

«برای حداکثر حفاظت، سازمان‌هایی که از وردپرس استفاده می‌کنند باید مطمئن شوند که از امنیتی عمیق، از جمله امنیت برنامه، شبکه و سیستم استفاده می‌کنند. در نهایت، ساده‌ترین کاری که هر سازمانی می‌تواند برای کمک به کاهش آسیب‌پذیری‌ها انجام دهد این است که کد خود را به‌روز و اصلاح‌شده حفظ نماید».