ماجرای هک شدن افزونه وردپرسی WPML

اواخر هفته گذشته، یک هکر ناشناس پس از نفوذ و دستکاری وب‌سایت یک افزونه وردپرسی به‌نام WPML، ایمیل‌هایی را به کاربران این افزونه ارسال کرد که در آن به چندین نقص امنیتی در این افزونه اشاره شده بود. افزونه WPML یکی از افزونه‌های محبوب وردپرسی برای ترجمه قالب وب‌سایت‌ها و سایر افزونه‌ها به زبان‌های مختلف است.

ماجرای هک شدن افزونه WPML از آنجایی شروع می‌شود که هکری ناشناس پس از نفوذ و دستکاری محتوای وب‌سایت این افزونه، ایمیل‌هایی را به کاربران آن ارسال می‌کند که در متن ایمیل‌ها به چندین نقص امنیتی در افزونه WPML اشاره شده بود.

این هکر به همه کاربران این افزونه در متن ایمیل‌ها اعلام کرده بود که یک محقق امنیتی بوده و آسیب‌پذیری‌های متعددی را به تیم WPML گزارش کرده است؛ اما از آنجایی که این گزارش‌ها توسط تیم سازنده این افزونه نادیده گرفته شده‌، دست به این کار زده است. در متن ایمیل‌ها از کاربران درخواست شده که سایت‌های خود را به منظور پیشگیری و شناسایی خطرات احتمالی به دلیل استفاده از این افزونه، حتما بررسی کنند.

براساس اطلاعات موجود، افزونه WPML بیش از ۶۰۰ هزار کاربر دارد که برای دریافت خدمات بیشتر می‌توانند پول پرداخت می‌کنند و همچنین یکی از معدود پلاگین‌هایی است که نیازی به تبلیغ در بخش پلاگین‌های سایت اصلی وردپرس ندارد.

اما این تمام ماجرا نیست؛ تیم سازنده WPML تمام ادعا‌های هکر ناشناس را به شدت انکار کرده است. این تیم در حساب توییتر خود و همچنین با ارسال ایمیل‌ به کاربران گفته است که شخص نفوذگر، یکی از اعضای سابق تیم توسعه آن‌ها بوده که در سرور وب‌سایت رسمی‌شان یک درب پشتی «Backdoor» قرار داده و از آن برای دسترسی به سرورهای آن‌ها و پایگاه داده کاربران استفاده کرده است.

تیم WPML اعلام کرده است که شخص مهاجم پس از سرقت آدرس ایمیل‌های موجود در پایگاه داده کاربران این افزونه، اقدام به ارسال ایمیل‌های انبوه کرده و همچنین از درب پشتی برای نفوذ و دستکاری محتوای وب‌سایت استفاده کرده است. سازندگان WPML اعلام کرده‌اند که از آنجایی که اطلاعات مالی مشتریان را ذخیره نمی‌کنند، پس مهاجم نیز قابلیت دسترسی به این اطلاعات را نداشته است.

علاوه براین، به گفته تیم WPML، هکر به کد منبع رسمی این افزونه دسترسی نداشته و هیچ اقدام برای تزریق کدهای مخرب در این افزونه نتوانسته است انجام دهد.

 

 

توضیحات بیشتر در:

Popular WordPress plugin hacked by angry former employee