🎯 حملات گسترده هکرها با سوءاستفاده از حداقل 2 افزونه‌ قدیمی وردپرس!

⚠️ روش حمله

بر اساس گزارش Wordfence، مهاجمان فایل فشرده‌ای به نام up.zip را روی GitHub بارگذاری کرده‌اند که حاوی اسکریپت‌های رمزگذاری‌شده است. این اسکریپت‌ها قادرند:

• فایل‌ها را آپلود، دانلود یا حذف کنند،

• سطح دسترسی‌ها را تغییر دهند،

• و با جعل یک مؤلفه از افزونه All in One SEO، دسترسی ادمین را به‌صورت خودکار برای مهاجم فعال کنند.

در برخی موارد، مهاجمان برای ایجاد درب‌پشتی (backdoor) از افزونه‌ی آسیب‌پذیر دیگری با نام wp-query-console استفاده می‌کنند تا به اجرای کد بدون احراز هویت (unauthenticated RCE) دست یابند.

🧩 نشانه‌های نفوذ (IoCs)

مدیران وب‌سایت‌ها باید لاگ‌های خود را بررسی کنند و به درخواست‌های زیر توجه ویژه داشته باشند:

• /wp-json/gutenkit/v1/install-active-plugin

• /wp-json/hc/v1/themehunk-import

همچنین بررسی پوشه‌های زیر توصیه می‌شود:

• /up

• /background-image-cropper

• /ultra-seo-processor-wp

• /oke

• /wp-query-console

🛡️ توصیه امنیتی

به مدیران سایت‌ها توصیه می‌شود:

1. تمامی افزونه‌ها را به آخرین نسخه‌ی منتشرشده به‌روزرسانی کنند.

2. لاگ‌های دسترسی را برای یافتن فعالیت‌های مشکوک بررسی نمایند.

3. از افزونه‌های قدیمی یا بدون پشتیبانی فعال خودداری کنند.

🧠 نتیجه‌گیری

این حمله‌ی جدید بار دیگر اهمیت به‌روزرسانی مداوم افزونه‌ها را نشان می‌دهد. هرچند وصله‌های امنیتی از سال گذشته در دسترس بوده‌اند، اما غفلت مدیران وب‌سایت‌ها باعث شده بسیاری از سایت‌ها هنوز در برابر حملات Remote Code Execution آسیب‌پذیر بمانند.