اختراق إضافات ووردبريس لزرع أبواب خلفية في ملايين المواقع

كشف تقرير تيكبامين عن اختراق إضافات ووردبريس شهيرة لزرع أبواب خلفية خفية، مما يهدد أمن وخصوصية أكثر من 1.2 مليون موقع إلكتروني نشط حول العالم.

في تطور خطير يهدد أمن الويب، تعرضت مجموعة من إضافات ووردبريس الأكثر استخداماً لعمليات تلاعب خبيثة استهدفت ملفات الجافا سكريبت الخاصة بها. هذا الهجوم سمح للمهاجمين بزرع أبواب خلفية (Backdoors) في المواقع التي تستخدم هذه الأدوات، مما يمنحهم سيطرة كاملة على المواقع المصابة دون علم أصحابها.

كيف يتم استغلال ثغرة إضافات ووردبريس لزرع أبواب خلفية؟

تعتمد هذه الثغرة الأمنية على آلية ذكية، حيث لا يتم تنشيط الكود الخبيث عند زيارة المستخدمين العاديين للموقع، بل ينتظر حتى يقوم مدير الموقع بتسجيل دخوله. عند تحميل الملفات المتلاعب بها، يقوم الكود بتنفيذ المهام التالية:

• إنشاء حساب مسؤول (Admin) جديد تحت سيطرة المهاجم بشكل سري تماماً.
• تثبيت إضافة مخفية تعمل كبوابة دخول دائمة للمخترقين حتى بعد حذف الكود الأصلي.
• استغلال جلسة عمل المسؤول النشطة لتنفيذ عمليات برمجية بصلاحيات كاملة.
• تجنب الظهور في سجلات النشاط التقليدية داخل لوحة تحكم الموقع.

ما هي الإضافات المتضررة من هذا الهجوم السيبراني؟

وفقاً لما ذكر تيكبامين، فإن الهجوم استهدف ثلاث إضافات رئيسية مملوكة لشركة أوسم موتيف، وهي أدوات يعتمد عليها ملايين أصحاب المواقع لتحسين الأداء والتفاعل. تشمل القائمة ما يلي:

• أوبتن مونستر (OptinMonster): أداة شهيرة لزيادة المشتركين، وتعمل على أكثر من مليون موقع.
• بوش إنجيج (PushEngage): منصة لإرسال إشعارات المتصفح، وتخدم آلاف المواقع.
• تراست بلس (TrustPulse): إضافة مخصصة لإظهار تنبيهات النشاط الاجتماعي لزيادة الموثوقية.

نطاق التأثير وفترة التعرض للخطر

كشف المحققون الأمنيون في شركة سانسيك أن المهاجمين تمكنوا من الوصول إلى شبكات توصيل المحتوى (CDN) الخاصة بهذه الإضافات. تفاوتت فترة التعرض بين الإضافات، حيث كانت في أدنى مستوياتها مع أوبتن مونستر وتراست بلس لمدة لم تتجاوز 25 دقيقة، بينما استمرت الثغرة في بوش إنجيج لعدة ساعات وحتى أيام في بعض الخوادم.

كيف تكتشف ما إذا كان موقعك قد تعرض للاختراق؟

المشكلة الكبرى في هذا الهجوم هي أن لوحة تحكم ووردبريس لا يمكنها إخبارك إذا كنت قد أصبت أم لا، لأن الأبواب الخلفية مصممة لتبقى بعيدة عن الأنظار. ولضمان سلامة موقعك، ينصح الخبراء عبر تيكبامين باتباع الخطوات التالية:

• فحص قائمة المستخدمين والبحث عن أي حسابات مسؤولين غير معروفة.
• مراجعة ملفات الخادم يدوياً والبحث عن ملفات غريبة تمت إضافتها مؤخراً.
• التحقق من ملفات الجافا سكريبت التي يتم تحميلها من مصادر خارجية.
• تغيير كافة كلمات المرور الخاصة بالمسؤولين وتفعيل التحقق بخطوتين.

في النهاية، يجب على أي موقع استخدم هذه الإضافات خلال فترة الاختراق أن يتعامل مع موقعه على أنه قد تم اختراقه بالفعل، والبدء في إجراءات تنظيف شاملة لضمان عدم وجود أي بقايا للكود الخبيث في قاعدة البيانات أو ملفات النظام.