نشر موقع PublicWWW المهتم بتقارير الثغرات الأمنية التي تصيب مواقع الإنترنت بشكل عام، ومواقع ووردبريس بشكل خاص، نشر تقريراً يحتوي أكثر من 9 ألاف موقع مصاب بثغرة جديدة استغلها المخربون في إضافات وقوالب الووردبريس.
قام فريق عمل إضافة sucuri الشهيرة المتخصصة في تأمين وحماية المواقع المبنية باستخدام ووردبريس بنشر تقرير شامل حول الثغرة الجديدة التي استهدفت الكثير من مواقع ووردبريس، وخصوصا تلك التي لا يراعي أصحابها عوامل التأمين والحماية، وتوصل فريق الإضافة إلى التعرف على الملفات التي تم استهدافها وزرع الاكواد البرمجية الخبيثة داخلها.
في هذه المشاركة سأطلعك على الطريقة التي استخدمها المخربون لإطلاق هذه الحملة الخبيثة على الكثير من مواقع ووردبريس، كذلك سنناقش بعض النصائح الأمنية الهامة لحماية مواقعك من مثل تلك الاختراقات الأمنية.
ما الهدف من إطلاق الثغرة؟
الهدف الأساسي من هذه الثغرة التي نتحدث عنها هو إنشاء عمليات إعادة توجيه لزوار المواقع إلى مواقع أخرى تابعة للمخربين بهدف عرض الإعلانات أمام الزوار بطريقة غير شرعية، وربما إعادة التوجيه مرة أخرى إلى مواقع أخرى بهدف تعبئة نماذج البيانات أو الاتصال بأرقام غير رسمية ومن ثم سرقة أرصدة المستخدمين.
من خلال أداة الإطلاع على تقرير المواقع التي تأثرت بهذا الإختراق قمت باستخدام بعض أدوات التحقق من عمليات الإختراق مثل أداة SiteCheck والتي ألصقت بها احد روابط تلك المواقع وكانت النتيجة كما يظهر بالصورة:
كما يشير السهم في الصورة إلى الموقع الذي استخدمه المخربون ( أو لأكون دقيقا أحد المواقع)، لتنفيذ عملية زرع الأكواد الخبيثة داخل ملفات القوالب والإضافات في مواقع الووردبريس التي تم اختراقها.
ما هي الملفات التي استهدفها القراصنة لتنفيذ الهجوم؟
الووردبريس لا يختلف عليه أثنان من ناحية درجة الحماية والتأمين المتوفرة به بشكل افتراضي، لكن المشكلة تأتي من المرحلة التي يقوم فيها صاحب الموقع بتنصيب القوالب والإضافات والتعديل على الموقع بطريقة ربما تفتح المجال للكثير من المخربين للدخول إلى ملفات الموقع بطريقة أو بأخرى.
من الملفات التي تم استهدافها لزرع الأكواد الخبيثة الملف الخاص باستدعاء أكواد أحد مكتبات لغة Javascript وهي مكتبة Jquery الشهيرة : ./wp-includes/js/jquery/jquery.min.js
أيضا الملف ./wp-includes/js/jquery/jquery-migrate.min.js كان أحد الملفات التي تم زرع الأكواد الخاصة بإعادة التوجيه إلى مواقع القراصنة داخلها.
قام فريق التأمين الخاص بإضافة Secuiri بالإعلان عن الكود البرمجي الذي استخدمه القراصنة في هذه الثغرة، وهو الكود المسؤل عن عملية الحقن Injection الخاصة بحقن الأكواد الخبيثة التي تقوم بدورها بإنشاء عمليات إعادة توجيه إلى المواقع المقصودة:
نلاحظ أن القراصنة يستخدمون ملفات مستضافة على مواقع خاصة بهم مثل الموقع المشار إليه ( أنصح بعدم زيارة الموقع أو أي موقع مستخدم في هذه الثغرة)، وذلك من أجل زرع أكواد خبيثة منها مباشرة إلى مواقع الضحية لتنفيذ أغراضهم.
بالنظر إلى تقرير (التهديدات الأمنية لمواقع ووردبريس) الصادر على فريق إضافة Secuiri، نجد أن أغلب التهديدات الأمنية تقوم باستهداف الثغرات المتواجدة في الإضافات المشغلة على الموقع، وجاء ترتيب الإضافات من ناحية نسبة محاولات الاختراقات التي استخدمها المخربون للدخول إلى مواقع الووردبريس المخترقة:
هذا يعني أن الحفاظ على تحديث إضافات الموقع وكذلك القوالب المستخدمة أصبح أمر ضروري للغاية ولا يجب الإهمال في تنصيب التحديثات الخاصة بموقعك بصورة مستمرة، وذلك للبقاء في أمان بعيدا عن تلك الثغرات الخبيثة.
هل المشكلة في الووردبريس أم في مدير الموقع؟
لا يمكننا اتهام ووردبريس كنظام برمجي وذلك لأن الثغرات التي تحدث تستهدف ملفات الإضافات والقوالب التي يقوم القراصنة باستهدافها بشكل مباشرة لزرع الأكواد البرمجية.
مدير الموقع كذلك لا يمكن توجيه المسؤولية كاملة له في كل الأحيان، وذلك لأنه قد يقوم بتنصيب إضافة وبعد فترة يكتشف المخربون بها احد الثغرات التي تساعدهم على العبث يالموقع بطريقة أو بأخرى، وإن كانت تلك المحاولات تكون ضعيفة للغاية إذا كان هناك اهتمام بتحديث قوالب والإضافات الموقع بشكل مستمر.
الحصول على القوالب والإضافات من مصادرها الرسمية والموثوقة هو إجراء موصى به بشدة، وذلك لأن الإنترنت أصبح يمتلىء بمئات المصادر الغير رسمية للقوالب والاضافات الخاصة بالووردبريس كونه نظام مشهور بقوة حول العالم ويمتلك ملايين المستخدمين.
ماذا تفعل حيال تلك التهديدات الأمنية؟
من خلال اطلاعي على تقرير المواقع التي تم اختراقها، اكتشفت أن أغلب المواقع لا تستخدم إتصالا أمنا HTTPS وهو أحد الإجراءات الأمنية التي لا يجب على صاحب الموقع أن يهمل في استخدامها لإضافة طبقات حماية لموقعه.
كمستخدم ووردبريس لا يجب أن تقلق كثيرا حيال تلك التهديدات إذا كنت تتبع إجراءات حماية وتأمين الووردبريس وتحدثنا كثيرا عنها في مقالات سابقة : تأمين وحماية مواقع الووردبريس من كافة الثغرات | دليل شامل - ووردبريس بالعربية (wpar.net)
إلى جانب التزامك بإجراءات تأمين وحماية موقعك الووردبريس، من الضروري أن تختار استضافة موقعك بعناية، ولا تنجذب إلى عروض الشركات الغير موثوقة التي توفر لك استضافات بأسعار منخفضة للغاية، وفي النهاية تكتشف أن طبقات الأمان فيها شبه منعدمة.
هل تعرض موقعك من قبل لأحد التهديدات الأمنية وكيف تعاملت معه ؟ وهل تشعر بالأمان حيال موقعك الحالي ؟