ماجرای هک شدن افزونه WPML از آنجایی شروع میشود که هکری ناشناس پس از نفوذ و دستکاری محتوای وبسایت این افزونه، ایمیلهایی را به کاربران آن ارسال میکند که در متن ایمیلها به چندین نقص امنیتی در افزونه WPML اشاره شده بود.
این هکر به همه کاربران این افزونه در متن ایمیلها اعلام کرده بود که یک محقق امنیتی بوده و آسیبپذیریهای متعددی را به تیم WPML گزارش کرده است؛ اما از آنجایی که این گزارشها توسط تیم سازنده این افزونه نادیده گرفته شده، دست به این کار زده است. در متن ایمیلها از کاربران درخواست شده که سایتهای خود را به منظور پیشگیری و شناسایی خطرات احتمالی به دلیل استفاده از این افزونه، حتما بررسی کنند.
براساس اطلاعات موجود، افزونه WPML بیش از ۶۰۰ هزار کاربر دارد که برای دریافت خدمات بیشتر میتوانند پول پرداخت میکنند و همچنین یکی از معدود پلاگینهایی است که نیازی به تبلیغ در بخش پلاگینهای سایت اصلی وردپرس ندارد.
اما این تمام ماجرا نیست؛ تیم سازنده WPML تمام ادعاهای هکر ناشناس را به شدت انکار کرده است. این تیم در حساب توییتر خود و همچنین با ارسال ایمیل به کاربران گفته است که شخص نفوذگر، یکی از اعضای سابق تیم توسعه آنها بوده که در سرور وبسایت رسمیشان یک درب پشتی «Backdoor» قرار داده و از آن برای دسترسی به سرورهای آنها و پایگاه داده کاربران استفاده کرده است.
تیم WPML اعلام کرده است که شخص مهاجم پس از سرقت آدرس ایمیلهای موجود در پایگاه داده کاربران این افزونه، اقدام به ارسال ایمیلهای انبوه کرده و همچنین از درب پشتی برای نفوذ و دستکاری محتوای وبسایت استفاده کرده است. سازندگان WPML اعلام کردهاند که از آنجایی که اطلاعات مالی مشتریان را ذخیره نمیکنند، پس مهاجم نیز قابلیت دسترسی به این اطلاعات را نداشته است.
علاوه براین، به گفته تیم WPML، هکر به کد منبع رسمی این افزونه دسترسی نداشته و هیچ اقدام برای تزریق کدهای مخرب در این افزونه نتوانسته است انجام دهد.
توضیحات بیشتر در:
- Popular WordPress plugin hacked by angry former employee