چرا نباید از جوملا و وردپرس استفاده کنیم؟

چرا نباید از جوملا و وردپرس استفاده کنیم؟

By: Admin ۹۷/۰۶/۲۰

تعداد امتیاز های ی ثبت شده : 6

امروزه کاربران زیادی از سیستم‌‌های مدیریت محتوا (CMS) در وب سایت ها استفاده می‌کنند. وردپرس و جوملا از جمله پر استفاده‌ترین این سیستم‌ها هستند. اما بنابر اخبار های منتشر شده، این دو سیستم مدیریت محتوا دست خوش مشکلات امنیتی زیاد می باشند که ما در این مقاله سعی داریم تا به برخی از آن ها بپردازیم با وب گستر همراه باشید

به تازگی محققان اعلام کرده‌اند که  هکرها می‌توانند از طریق مشکل امنیتی جدید که در کتابخانه‌ی جاوا اسکریپت پر استفاده JQuery کشف شده، به میلیون‌ها وب‌سایتی که از سیستم‌های مدیریت محتوای وردپرس و جوملا بهره می‌برند، نفوذ کنند.

طبق گفته‌های شرکت امنیتی Avast، حملات جعلی جی‌ کوئری که اخیرا به روشی پر استفاده برای هک وب‌سایت‌ها تبدیل شده است. این تیم اعلام کرده که روش هکی که طی چند ماه اخیر برای نفوذ به وب‌سایت‌های وردپرسی و جوملایی مورد استفاده قرار گرفته، استفاده از اسکریپت‌های جعلی در جی‌کوئری بوده ،با توجه به اینکه این دو سیستم مدیریت محتوا از پر استفاده‌ترین CMSها هستند، می‌توان گفت که تعداد زیادی از سایت‌ها هم اکنون درگیر این مشکل امنیتی هستند.

اگر با طراحی وب سایت آشنایی داشته باشید حتما می‌دانید که JQuery هم یکی از محبوب‌ترین و پر استفاده‌‌ترین کتابخانه‌های جاوا اسکریپت است که هدف آن استفاده‌ی آسان از جاوا اسکریپت در وب بوده و در تمامی مرورگرها نیز به یک شکل اجرا می شود. این کتابخانه همچنین ابزارها و ویژگی‌های بسیار کاربردی و مناسبی را به توسعه‌دهندگان وب ارائه می‌کند که باعث سرعت بخشی به فرآیند توسعه می‌شود و همین عامل باعث شده بسیاری از افراد و شرکت‌ها از جمله دو سیستم مدیریت محتوای مورد اشاره از آن در پروژه‌های خود استفاده کنند.

از آنجا که نوشتن کد به زبان اصلی جاوا اسکریپت دشوار بوده و زمان نسبتا بیشتری را از برنامه نویس می‌گیرد، استفاده از کتابخانه‌های آماده مانند جی‌کوئری این فرآیند را آسان‌تر و سریع‌تر می‌کند.

بر طبق گفته‌ی محققان، اسکریپت‌های جعلی JQuery در بیش از ۷۰ میلیون فایل منحصر به‌فرد وجود دارند. از نوامبر ۲۰۱۵ جمعا وب‌سایت‌های ۴/۵ میلیون کاربر تحت‌تاثیر این مشکل قرار گرفته بودند که این مقدار تعداد بسیار زیادی به حساب می‌آید.

کدهای مخرب مورد بحث برای وب سایت‌های قربانی و نیز بازدیدکنندگان آن‌ها قابل مشاهده نیست. در عوض اسکریپت‌های جعلی JQuery را می‌توان از طریق کد منبع صفحات دید. اسکریپت یاد شده بسیار ساده است و شامل تعداد کمی متغیر و دستور IF است که از طریق وب سایت آلوده شده، به سورس جاوا اسکریپت دیگری که در یک فضای وب دیگر ذخیره شده، متصل می‌شود.

مشکل امنیتی مورد اشاره می‌تواند در ۱۰ میلی‌ ثانیه اجرا شود. این زمان در انوع حملاتی که شناخته شده، معمول به شمار می‌آید؛ هرچند که تاخیر طولانی در اجرای چنین کدهایی اساسا وجود دارد. کد مورد بحث از بخشی که در آدرس URL کاراکترهای خاصی مانند @  یا ? و ... را به صورت کد شده در می‌آورد، استفاده می‌کند.

محققان در توضیح این مشکل گفته‌اند که در مرحله‌ی آخر با استفاده از یک شرط IF بررسی می‌شود که متغیرها دارای مقدار مورد نیاز باشند تا سرانجام اسکریپت اصلی که در سرور دیگری ذخیره شده، اجرا شود.

زمانی که حمله انجام شد، کد یاد شده باعث بالا رفتن امتیاز SEO (بهینه سازی برای موتورهای جستجو) دامنه های دیگر می‌شود که این موضوع نه تنها باعث افزایش بازدید وب‌سایت‌های مورد نظر هکر می‌شوند، بلکه امکان دارد مجرمان سایبری که از این روش بهره می‌برند، با نمایش تبلیغات در وب‌سایت قربانی، به کسب درآمد نیز بپردازند.

 

CryptXXX باج افزار

هزاران وب سایت تحت جوملا و وردپرس در خطر هک شدن توسط باج افزار CryptXXX

براساس آخرین اطلاعات ارائه شده توسط هکرها با استفاده از حفره های امنیتی موجود در سیستم های مدیریت محتوا نظیر وردپرس و جوملا که به آخرین نسخه بروز نشده‌اند، اقدام به هدایت وب‌سایت‌های مبتنی بر این CMS‌ها به وب‌سایت‌های دیگری می‌کنند که باج افزار CryptXXX را روی سیستم کاربران نصب می‌کند.

براساس گفته کمپانی Sucuri States (در زمینه‌ی امنیت وب فعالیت می‌کند) در طول چند هفته‌ی اخیر بیش از ۱۰۰ سایت بصورت روزانه آلوده شده و کاربران خود را نیز در معرض دریافت باج افزار قرار می‌دهند. این کمپانی اعلام کرده که به تنهایی موفق شده تا کنون بیش از ۲٫۰۰۰ وب سایت آلوده را شناسایی کند. با توجه به اینکه این آمار برگرفته از سیستم اسکن وب‌سایت‌های Sucuri است، از این‌رو می‌توان حدس زد که آمار اصلی بسیار بالاتر می باشد. براساس گفته‌های دنیل سید، موسس Sucuri رقم واقعی وب‌سایت‌های آلوده می‌تواند پنج برابر میزانی باشد که توسط این کمپانی اعلام شده است.

سید به این موضوع اشاره کرده که امروزه بیش از ۹۰ درصد وب‌سایت‌های موجود در فضای اینترنت از نرم‌افزار‌های CMS استفاده می‌کنند که بیش از ۶۰ درصد این وب‌سایت‌ها از جوملا و وردپرس بهره می‌برند. با بررسی نسخه‌ی CMS‌های مورد حمله می‌توان به این نکته پی برد که هکرها از طریق دستیابی به هسته‌ی این نرم‌افزار‌ها اقدامات خود را به پیش برده و احتمالا از یک ضعف امنیتی در یکی از پلاگین‌ها برای هدایت ترافیک به سمت وب‌سایت‌های دیگر بهره می‌برند.

 

نتیجه گیری

طراحی وب سایت ها با  CMS های عمومی مثل جوملا و وردپرس با هزینه کمتری انجام میشود ولی به مرور زمان هزینه های زیادی رو برای شرکت ها جهت رفع مشکلات امنیتی خواهد داشت. هر روزه دارندگان این وب سایت ها ترس از نفوذ و وجود باگ های امنیتی که توسط هکر ها ایجاد می شوند رو دارند. پیشنهاد ما برای شما استفاده از طراحی سایت اختصاصی وب گستر می باشد که احتیاج به بروز رسانی ندارد و به زبان php با معماری mvc برای امنیت هرچه بیشتر آن ، متناسب با نیاز شما طراحی و پیاده سازی می شود.

 

متخصص در بهینه سازی و سئو وب سایت

سئو سایت

©کلیه حقوق این سایت به شرکتوب گسترتعلق دارد.

پشتیبانی : ۰۹۱۲۵۸۳۹۰۲۵