باگ جدید وردپرس و خطر هک شدن هزاران سایت وردپرسی و آسیپ پذیری افزونه داپلیکیتور Duplicator (افزونه نصب آسان)

باگ جدید وردپرس و خطر هک شدن هزاران سایت وردپرسی و آسیپ پذیری افزونه داپلیکیتور (افزونه نصب آسان) Duplicator

طی چند ماه اخیر و تقریبا از آگوست 2018، شاهد هک شدن گسترده سایت های وردپرسی بوده ایم که از پلاگین "بسته نصب آسان" یا همان داپلیکیتور استفاده می کردند و در پی این باگ، فایل wp-config.php و index.php وردپرس یا مورد حذف شدن قرار می گرفت یا با کد مخرب همراه میشد که اسکریپت را با نمایش صفحه سفید یا خطای 500 و یا حتی نمایش صفحه نصب مجدد سایت را همراه می نمود.


بر اساس گزارش وب سایت wordfence این مشکل زمانی ایجاد می شود که کاربر اقدام به بازگردانی بک آپ می کند که این فرآیند حاوی دو فایل می باشد که یکی از آن فایل installer.php است و فایل دیگر فایل فشرده فایل های سایت می باشد و در مرحله آخر که کاربر اقدام به نصب می نماید باید فایل های اصلی برای نصب مانند installer.php و فایل دیتابیس و فایل فشرده حذف شود و بعد از آن تمامی افزونه ها و خود وردپرس آپدیت گردد تا مشکل امنیتی ایجاد نشود و در صورت عدم حذف و عدم آپدیت، سایت با خطر هک شدن همراه می شود.

راه حل:

1- ابتدا باید بررسی شود بک آپ سالمی از هاست مورد نظر قبل از هک شدن وجود دارد یا خیر، که می توانید این کار را با ارسال تیکت و ذکر نام سرویس از واحد "پشتیبانی فنی" جویا شوید .

# راه حل در صورت وجود بک آپ:

2- سپس در صورتی که بک آپ موجود بود و ریستور انجام شد باید اسکریپت و تمامی افزونه ها و قالب خود را آپدیت کنید و سپس افزونه Duplicator و فایل های اینستالر موجود در مسیر اصلی نصب اسکریپت را از وردپرس و هاست حذف نمایید و بررسی کنید در مسیر اصلی نصب وردپرس، به غیر از فایل ها و فولدرهای اصلی اسکریپت، فایل و فولدری اضافی وجود نداشته باشد و در صورت وجود بعد از بررسی و اطمینان از وجود فایل مخرب و فولدر اضافی آن ها را هم باید حذف نمایید.

# راه حل در صورت عدم وجود بک آپ:

3- اگر بک آپ موجود نبود باید آخرین نسخه وردپرس را از سایت رسمی آن دانلود کنید و به صورت دستی فایل های اسکریپت را به همراه 2 فولدر wp-admin و wp-includes (فولدر wp-content مد نظر نیست) را ابتدا از هاست حذف کنید و سپس از طریق فایل های موجود در آخرین نسخه وردپرس مجدد بر روی هاست و مسیر اصلی آپلود نمایید(که این فرآیند با عنوان نحوه انجام آپدیت دستی وردپرس در زیر به صورت کامل توضیح داده شده است).
بعد از انجام جایگزین کردن فایل ها و فولدر های اصلی اسکریپت باید اقدام به حذف افزونه ها و قالب و بارگزاری مجدد از طریق افزونه ها و قالب موجود در بسته نصب آسان نمایید و سپس از طریق مدیریت اسکریپت آن ها را آپدیت کنید.
دقت کنید که تمامی مسیر های دیگر موجود در فولدر wp-content مانند فولدر زبان یا آپلود و آپدیت و . . . را هم باید بررسی کنید و نباید در هیچ کدام از این مسیر ها هم فایل php وجود داشته باشد و در صورت وجود کد نویسی هر فایل را باید بررسی نمایید که برای این کار هم می توانید وارد هر فولدر شوید و از طریق قسمت جست و جوی سی پنل عبارت php را در مسیر جاری (نه کل هاست) جست و جو کنید که اگر در زیر مجموعه آن فولدر فایلی با پسوند php وجود داشت به راحتی مسیر ان را مشاهده کنید.

نحوه انجام آپدیت دستی وردپرس :

اسکریپت وردپرس شما معمولا در مسیر اصلی هاست و فولدر public_html قرار دارد و فولدر wp-content نباید از هاست حذف شود زیرا این فولدر مسیر اصلی فایل های آپلودی اسکریپت وردپرس شما است و در تصویر زیر مشاهده می کنید که سه فولدر اصلی وردپرس به نام های زیر که مربوط به وردپرس است وجود دارد:

wp-content و wp-include و wp-admin

تمامی فایل ها و فولدرهای هاست را به غیر از فولدر wp-content و فایل htaccess را حذف کنید ( اگر از فولدرهای متفرقه دیگر موجود در هاست اطمینان دارید که درون آن ها فایل مخرب وجود ندارد و یا برای آدرس و سایت دیگر می باشد حذف آن ها را انجام ندهید) و سپس آخرین نسخه وردپرس را دانلود کرده و آن را بر روی سیستم شخصی از حالت فشرده خارج کنید که بعد از آن یک فولدر با نام wordpress ایجاد می شود که تمامی فایل های اسکریپت در این فولدر است و وارد این فولدر شوید تمامی فایل ها و فولدر های وردپرس را به غیر از فولدر wp-content را مجدد فشرده ( zip ) کنید و فایل فشرده را بر روی هاست و مسیر اصلی نصب اسکریپت وردپرس آپلود نمایید و سپس فایل فشرده را بر روی هاست از حالت zip خارج کنید (extract نمایید) که فایل های انتخابی شما بر روی سیستم که باید فشرده شوند هم به صورت زیر است.

در مرحله بعدی باید اطلاعات دیتابیس خود را از قسمت MySQL® Databases در سی پنل مشاهده کنید و در فایل wp-config.php وردپرس به صورت دستی قرار دهید (دقت کنید نام فایل wp-config-sample.php باید به نام wp-config.php تغییر داده شود و در واقع –sample از نام این فایل حذف گردد و سپس این فایل را ویرایش نمایید) و با توجه به اینکه رمز قبلی را نمی دانید، بهتر است رمز دیتابیس هم عوض شود و در این قسمت باید رمز نام کاربری دیتابیس را عوض کرده و همراه نام دیتابیس و نام کاربری دیتابیس در فایل کانفیگ اعلامی وارد کنید .

کد نویسی فایل کانفیگ وردپرس و قسمت هایی که باید ویرایش شود به صورت زیر خواهد بود:



چند نکته برای افزایش امنیت وردپرس

1- همیشه سعی کنید اسکریپت و افزونه های خود را بروزرسانی نمایید و تا حد امکان از افزونه های نال شده و دانلود شده از سایت های متفرقه خودداری کنید و تمامی افزونه ها را از مخزن وردپرس دانلود کنید.
2- اگر نام کاربری وردپرس شما admin است هرچه سریعتر آن را تغییر دهید و این کار را باید از phpmyadmin و جدول users انجام دهید و همچنین نمایش نام مدیریت را در وردپرس از نام کاربری به اسم سایت یا نام سایت تغییر دهید تا نام نمایشی با نام کاربری که با آن لاگین می کنید یکی نباشد که بتوان نام کاربری را حدس زد.
3- رمز های وردپرس را به رمز های ترکیبی از اعداد کاراکتر و حروف بزرگ و کوچک تغییر دهید.
4- از نمایش محتویات فولدر هایی که بدون فایل index هستند، با استفاده از کد زیر و قرار دادن آن در فایل htaccess جلوگیری کنید.
Options –Indexes
5- از افزونه های امنیتی وردپرس مانند iThemes Security استفاده کنید و تنظیمات امنیتی آن را حتما انجام دهید.
6- برای جلوگیری از حملات brute force و لاگین های مکرر و همچنین جلوگیری از ارسال اسپم از افزونه های کپچا مانند افزونه Google Captcha استفاده کنید و آن را از طریق یک حساب گوگل با ایجاد کلید، فعال نمایید.

و در پایان در صورتی که موفق به انجام مراحل نشدید یا نیاز داشتید بررسی و رفع مشکل امنیتی سایت مربوطه از طرف قسمت طراحی آبتین وب با هزینه انجام شود می توانید از طریق ارسال تیکت به واحد طراحی آبتین وب درخواست خود را اعلام نمایید.

  • هک شدن وردپرس, باگ جدید وردپرس, نمایش صفحه نصب وردپرس, مشکل امنیتی وردپرس, صفحه سفید وردپرس, سفید شدن سایت وردپرس, افزونه داپلیکیتور وردپرس, هک شدن افزونه نصب آسان, رفع مشکل هک شدن وردپرس, هک وردپرس, باگ duplicator, هک duplicator
  • 9 کاربر این را مفید یافتند
آیا این پاسخ به شما کمک کرد؟

Powered by WHMCompleteSolution