بیش از یک میلیون وبسایت وردپرسی با پلاگین WP-Slimstat در معرض خطر هستند
همانطور که میدانید وردپرس یکی از محبوبترین سرویسهای مدیریت محتوای وبسایتهاست. به تازگی یک حفره امنیتی بسیار مهم در یکی از پلاگینهای این سیستم به نام WP-Slimstat پیدا شده که بیش از یک میلیون وبسایت را در معرض خطر قرار داده است.
نسخههای پیش از نسخه 3.9.6 از این پلاگین دارای یک کلید قابل حدس هستند که میتواند برای ساین یا همان امضا کردن پنهانی اطلاعات و در نتیجه ارسال و دریافت اطلاعات بدون اجازه استفاده شود. در این حفره امنیتی که روز سهشنبه توسط مؤسسه امنیتی Sucuri کشف شده یک کد SQL خطرناک میتواند اطلاعاتی بسیار حساس مانند پسوردهای رمزگذاری شده و کلید رمزگذاریها برای مدیریت از راه دور وبسایتها را لو بدهد.
اگر وبسایت شما از نسخهای قدیمیتر از نسخه 3.9.6 پلاگین Slimstat استفاده میکند باید هر چه سریعتر آن آپدیت و یا غیرفعال کنید. سواستفاده موفق از این حفره امنیتی میتواند منجر به حملات تزریقی Blind SQL شده و مهاجم قادر خواهد بود اطلاعاتی حیاتی مانند نام کاربری، پسوردهای هششده و گاهی کلیدهای امنیتی وردپرس را به سرقت ببرد و در نهایت کنترل سایت را به طور کامل به دست گیرد.
کلید رمز پلاگین WP-Slimstat یک هش MD5 حاوی زمان نصب این پلاگین است. یک مهاجم میتواند با استفاده از وبسایت Internet Archive و یا وبسایتهای مشابه سال دقیق تأسیس سایت را یافته و با امتحان کدن حدود 30 میلیون مقدار مختلف که تنها 10 دقیقه به طول خواهند انجامید اطلاعات را از دیتابیس استخراج کند.
گفتنی است WP-Slimstat یک پلاگین آمارگیری است که بیش از 1.3 میلیون بار از وبسایت وردپرس دانلود شده است. بنابراین اگر شما هم در وبسایت خود از این پلاگین استفاده میکنید هر چه سریعتر آن را به آخرین نسخه آپدیت کنید.