باگ امنیتی در افزونه داپلیکیتور Duplicator وردپرس و ضرورت اقدام فوری

افزونه Duplicator یکی از پرکاربرد ترین افزونه های وردپرس برای بک آپ گیری و انتقال سایت های وردپرسی می باشد این باگ باعث می شود اختلالات زیادی مانند حذف شدن مشخصات دیتابیس از فایل wp-config.php وردپرس به وجود بیاید که در این صورت سایت با پیغام دیتابیس مواجه می شود:

Error establishing a database connection

 و یا به آدرس وب سایتی دیگر Redirect می شود و صفحه ی سایت قابل مشاهده نیست .

در زمانی که قالبی را نصب میکنید  بعد از پایان کار و استفاده از افزونه، فایل های installation باقی مانده توسط کاربر از روی هاست پاک نمی شوند. جالب اینجاست که در افزونه ی Duplicator این موضوع را به اعلام می کند.

بعد از پایان کار افزونه، این پیغام به صورت sticky داشبورد نمایش داده میشه و تا زمان پاک کردن فایل های نصبی (و یا uninstall کردن افزونه) باقی می ماند:

فایل های مخرب اصلی در این باگ، دو فایل installer.php و installer-backup.php هستند و چون رشته کاراکتر های دریافتی (Strings) را اصطلاحا بدون تمیز کاری (Sanitizing)‌ مستقیما به فایل wp-config.php وارد می کنند باعث به وجود آمدن injection vulnerability در سایت می شوند.

به چه دلیل و چگونه این مشکل به وجود می آید ؟

همانطور که میدانید با استفاده از افزونه ی Duplicator کلیه ی تنظیمات و اطلاعات دیتابیس، قالب و افزونه‌های وردپرس و به طور کلی هر اطلاعاتی که در وردپرس دارید این امکان را پیدا می کنند که یک نسخه خروجی از آن ها تهیه کنید. در این نسخه ی خروجی شما دو فایل installer.php و فایلی که شامل محتویات سایت و دیتابیس هست رو خواهید داشت که با استفاده از فایل database.sql هم امکان درون ریزی (Import) داده‌های دیتابیس در سایت جدید فراهم خواهد شد.

حالا وقتی که تصمیم به نصب قالب با استفاده از بسته نصبی در سایت خودتون میگیرید، فایل‌های database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql و پوشه wp-snapshot نیز در کنار سایر فایل‌های پیشفرض وردپرس قرار میگیرند. مشکل هک وردپرس ناشی از همین موضوع می باشد که به دلیل وجود باگ در این افزونه باعث می شود که هکر بتواند امکان دو بار نصب وردپرس را به دست بیاورد.

این موضوع باعث می شود که هکر در مرحله اول سایت شما را ریست کرده و با ارسال یک سری فایل مخرب فایل wp-config.php وردپرس را ویرایش کرده و مجدد بازنویسی بکند که این مسئله باعث از دسترس خارج شدن سایت شما می شود.

 چه کاری باید انجام دهیم؟‌ شما می توانید با کلیک بر روی این قسمت به آموزش رفع این مشکل در وردپرس خود بروید .