هشدار محققان درباره

امکان سوءاستفاده هکرها از قابلیت جدید WSOD در وردپرس

محققان امنیتی هشدار داده‌اند که ویژگی WSOD که با نسخه جدید وردپرس قرار است ارائه شود، می‌تواند در راستای غیرفعال کردن پلاگین‌های امنیتی مورد استفاده قرار گیرد و سایت‌ها و وبلاگ‌های وردپرسی را در معرض خطر قرار دهد. از این رو به همه مدیران وب‌سایت‌های وردپرسی توصیه می‌شود که در استفاده از این قابلیت، اصول امنیتی مرتبط با شرایط استفاده از آن را جدی بگیرند.
هشدار محققان درباره قابلیت WSOD در وردپرس

براساس خبرهای منتشر شده،‌ ویژگی جدید وردپرس که Cool WSOD نام دارد، نوعی Safe Mode در سیستم مدیریت محتوای وردپرس محسوب می‌شود که قرار است نخستین‌بار با انتشار نسخه ۵.۲ وردپرس در بهار آینده رونمایی شود.

به گفته فلیکس آرنتز، یکی از توسعه‌دهندگان هسته اصلی وردپرس، این ویژگی به وردپرس اجازه می‌دهد تا هنگامی که یک خطای PHP اتفاق می‌افتد، تشخیص دهد که چه افزونه یا قالبی خطا را ایجاد کرده و براساس همین تشخیص، وردپرس منشا خطا را متوقف می‌کند. به این ترتیب، مدیر سایت اجازه پیدا می‌کند تا از طریق بخش مدیریتی به‌راحتی عوامل بروز خطاها را اصلاح یا غیرفعال کند.

تیم وردپرس از چند ماه پیش کار روی ویژگی WSOD Protection را آغاز کرده و در حال حاضر این ویژگی، بخشی از یک طرح جامع کمک به مدیران سایت‌ها به منظور به‌روز‌رسانی سرورهای قدیمی PHP 5.x و ارتقاء به نسخه جدید یعنی PHP 7x تبدیل شده است.

براساس اطلاعات موجود، ویژگی WSOD Protection در ابتدا با این هدف ایجاد شد که مدیران سایت‌ها بتوانند از بروز مشکلات ناگهانی در سایت‌شان پس از به‌روزرسانی نسخه PHP سرور به ۷ جلوگیری کنند. اما همزمان با توسعه آن، برخی محققان امنیتی متوجه ضعف‌هایی در این قابلیت شده‌اند نشان می‌دهد مهاجمان می‌توانند از آن برای حملات مختلف بهره‌برداری کنند.

اسلاوکو مایهالوسکی در یک پست وبلاگی که در اوایل این هفته منتشر کرده است، توضیح داده که مهاجمان چگونه می‌توانند از افزونه‌های وردپرس که کم‌ضررترین و بعضاً بی ضرر هستند، استفاده کنند تا یک خطای PHP بسیار آسیب‌زا را که توسط ویژگی WSOD شناسایی می‌شود، ایجاد کنند.

از آنجا که ویژگی پشتیبانی WSOD به منظور توقف اشکال پلاگین‌ها و قالب‌ها طراحی شده است، مایهالوسکی اینطور استدلال می‌کند که مهاجمان می‌توانند از این قابلیت برای غیر فعال کردن افزونه‌های حفاظتی مانند احراز هویت دو مرحله‌ای و دیگر پلاگین‌های امنیتی موجود روی سایت‌های وردپرس استفاده کنند.

نگرانی مایهالوسکی با مت روسناک، یکی از مدیران WordFence نیز مشترک است. روسناک در گزارشی در نقد این ویژگی، چند سناریوی حمله دیگر را که ویژگی WSOD Protection به اجرای آن‌ها کمک خواهد کرد، معرفی کرده است.

در حال حاضر هنوز معلوم نیست که ویژگی WSOD به صورت پیش‌فرض در نسخه جدید وردپرس فعال خواهد بود یا خیر، اما وقتی وردپرس ۵.۲ منتشر شود، فعال بودن این ویژگی می‌تواند خطرناک و آسیب‌زا باشد.

کارشناسان امنیتی معتقدند که مدیران سایت‌ها تنها در هنگام بهروزرسانی سرور PHP یا هسته وردپرس و قالب‌ها و افزونه‌ها این ویژگی را به‌صورت موقت فعال کنند. در غیر این صورت، بهتر است این گزینه غیرفعال باقی بماند.

 

 

توضیحات بیشتر در:

Concerns raised about WordPress' new 'White Screen Of Death' protection feature