به گزارش ایران اکونومیست؛ وردپرس به زبان ساده یک سیستم سایت ساز و پکیج راه انداز وب سایت و وبلاگ (از هر نوع و هر مدل است) که به صورت رایگان کاربران میتوانند آنرا از طریق وب سایت رسمی وردپرس (فارسی یا انگلیسی) دانلود کرده و برروی فضای اینترنتی خود نصب کنند. سپس وب سایت خود را بهطور کامل با جزئیات و امکانات متفاوت و طرح دلخواه برروی آن راهاندازی کرده و مطالب و بخشهای مختلف سایت را خودشان مدیریت کنند.
اما بهطور کلی وردپرس یک نرمافزار تحت وب متن باز (open source) است که در دسته سیستمهای مدیریت محتوا یا همان CMS ها که مخفف (Content Management System) هستند، قرار میگیرد. از آنجاکه سیستم وردپرس رایگان است، هر کاربری میتواند فایلهای مربوطه آن را دانلود کرده و مورد استفاده قرار دهد. البته بدیهی است که وردپرس بخشی از نیازهای کاربران را برآورده میکند اما برای شخصیسازی و برآورده ساختن سایر نیازها، به متخصصانی نیاز است که تغییرات لازم را ایجاد کرده و یا سایر امکانات و ابزار مورد نیاز کاربران را فراهم کنند.
شرکت امنیت وردپرس (Defiant) اعلام کرده است که ماژول "Wordfence" این شرکت (یک سیستم دیوار آتش در برای حملات جستوجوی فراگیر برای سایتهای وردپرس) در ماه گذشته، بیش از پنج میلیون تلاش ورود از سایتهای آلوده به دیگر پورتالهای وردپرس را شناسایی کرده است.
کارشناسان امنیتی این حملات را حملات «لغتنامهای» مینامند. این حملات، پیادهسازی "XML-RPC" وردپرس را بهمنظور جستوجوی فراگیر ترکیب نام کاربری و گذرواژهی کاربر، تا زمانی که یک حساب معتبر کشف شود، هدف قرار میدهند.
"XML-RPC" یک نقطهی پایانی است که کاربران خارجی میتوانند از راه دور، مطالب را از طریق وردپرس یا سایر APIها به یک سایت وردپرس ارسال کنند. این نقطهی پایانی در دایرکتوری ریشهی وردپرس در فایل "xmlrpc.php" واقع شده است.
مشکل «XML-RPC» این است که در اجرای پیشفرض خود، محدودیتی بر تعداد درخواستهای رابط کاربری که به سوی آن فرستاده میشود، اعمال نمیکند؛ بنابراین، یک هکر میتواند در طول روز تلاش کند تا با ترکیبهای مختلف از نام کاربری و رمزعبور، وارد وبسایت شود. هیچکس هشداری دریافت نخواهد کرد، مگر اینکه ثبتها به صورت دستی، بررسی شوند.
این حمله توسط یک عامل تهدید و با استفاده از چهار سرور فرمان و کنترل (C۲) انجام میشود. این سرورها، دستورالعملهای حمله را از طریق شبکهای با بیش از ۱۴ هزار سرور پروکسی اجارهشده از سرویس "best-proxies [.] ru" ارسال میکنند و سپس این اطلاعات را به اسکریپتهای مخرب بر روی سایتهای وردپرس آلوده منتقل میکند.
روش حمله به سایتهای وردپرس
این اسکریپتها لیستی از اهدافی را که از سرور فرمان و کنترل دریافت میکنند، میخوانند، سپس لیستی از گذرواژهها را بر اساس یک لیست از پیش تعریفشده از الگوهای رمزنگاری جمعآوری میکنند و درنهایت تلاش میکنند تا از گذرواژهی جدید ایجادشده برای ورود به حساب کاربری سایت دیگر استفاده کنند.
اگر اسکریپت تلاش کند تا بهعنوان کاربری با نام "alice" به سایت example.com وارد شود، گذرواژههایی مانند "alice۱"، "alice۲۰۱۸" و غیره را ایجاد خواهد کرد. ممکن است این روش در یک سایت دادهشده مؤثر واقع نشود، اما درصورت استفاده در تعداد زیادی از اهداف، میتواند موفقیتآمیز باشد.
بر اساس اطلاعات سایت مرکز ماهر، از آنجاکه مهاجمان از شبکهای از پروکسیها برای مخفیکردن محل سرورهای فرمان و کنترل خود استفاده میکنند، محققان نمیتوانند تمامی فعالیتهای این باتنت را پیگیری کنند، اما با بررسی سایتهای آلوده، Defiant توانست اسکریپتهای جستوجوی فراگیر مورد استفاده را پیدا کند. این اسکریپتها، ورودی "POST" را از سرورهای C۲ دریافت میکنند. این ورودی، دامنههای هدف و کلمههای مورد نیاز هنگام حملات جستوجوی فراگیر را به اسکریپت اعلام میکند.
هنگام بررسی بیشتر این اسکریپت، آنها متوجه شدند درصورتی که اسکریپت از سایت آلوده حذف شود، یک آدرس URL را برای بازیابی لیست کلمات دریافت میکند. بدین ترتیب محققان توانستند آدرس IP یکی از سرورهای C۲ را دریافت کنند. پس از دسترسی به سرور C۲، آنها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایتهایی که بخشی از باتنت بودند، دسترسی پیدا کنند.
شرکت امنیت وردپرس در تلاش است تا کاربران آلوده را از این حملات مطلع کند و این باتنت را از بین ببرد. از این رو، به صاحبان سایتهای وردپرس توصیه میکند تا با نصب افزونهی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در برابر حملات جستوجوی فراگیر و لغتنامهای محافظت کنند. این افزونه، میزان تلاش ورود ناموفق را که مهاجم میتواند قبل از خروج از سیستم انجام دهد، محدود میکند.