روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سیستم مدیریت محتوای وردپرس (WordPress CMS) در ماه‌های اخیر به طور مکرر در وب‌سایت‌های خبری حوزه امنیت سایبری دیده می‌شود. بیشتر این پوشش خبری مربوط به آسیب‌پذیری‌های موجود در افزونه‌ها و قالب‌ها است. با این حال، همکاران ما همچنین موردی را مشاهده کرده‌اند که در آن مهاجمان از سایت‌های وردپرسی با امنیت ضعیف برای توزیع تروجان‌ها استفاده کرده‌اند. این موضوع چندان تعجب‌آور نیست — چرا که وردپرس همچنان یکی از محبوب‌ترین پلت‌فرم‌های مدیریت محتوا در کسب‌وکارها است. اما تعداد زیاد آسیب‌پذیری‌های کشف‌شده در افزونه‌ها و رویدادهای مرتبط نشان می‌دهد که مهاجمان اکوسیستم وردپرس را به همان اندازه مدافعان آن زیر نظر دارند. با ما همراه باشید. 

رخدادهای وردپرسی

تنها در تابستان امسال، چندین حادثه امنیتی جدی مرتبط با وردپرس گزارش شده است.

افزونه Gravity Forms: نفوذ به سایت و آلودگی کد

اوایل ماه جولای، مهاجمان به سایتی که از افزونه محبوب Gravity Forms برای ساخت فرم استفاده می‌کرد دسترسی پیدا کرده و کد مخرب را در نسخه‌های 2.9.11.1 و 2.9.12 تزریق کردند. سایت‌هایی که این نسخه‌ها را به صورت دستی توسط مدیران یا از طریق Composer (مدیر وابستگی PHP) نصب کرده بودند، بین 9 تا 10 جولای آلوده شدند. بدافزار به‌روزرسانی‌های بعدی را مسدود کرده، کدهای مخرب اضافی را دانلود و نصب می‌کرد و حساب‌های کاربری مدیر جدیدی ایجاد می‌نمود. این امر کنترل کامل سایت را در اختیار مهاجمان قرار داد و آنها توانستند از آن برای مقاصد مخرب استفاده کنند. تیم Gravity Forms از همه کاربران خواسته است بررسی کنند که آیا نسخه آسیب‌پذیر افزونه را اجرا می‌کنند یا خیر. دستورالعمل‌های مربوط به این بررسی در اطلاعیه رسمی منتشر شده در وب‌سایت افزونه موجود است. در همان اطلاعیه توضیح داده شده است که چگونه می‌توان بدافزار را حذف کرد. و البته افزونه باید به نسخه 2.9.13 به‌روزرسانی شود.

قالب Alone: بهره‌برداری فعال از CVE-2025-5394
در ماه جولای، پژوهشگران گزارش دادند که مهاجمان به طور فعال از یک آسیب‌پذیری بحرانی در فرآیند اعتبارسنجی بارگذاری فایل بدون احراز هویت (CVE-2025-5394) سوءاستفاده می‌کنند. این آسیب‌پذیری تمام نسخه‌های قالب Alone در وردپرس تا نسخه 7.8.3 را تحت تأثیر قرار می‌دهد و امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم می‌سازد. حملات چند روز پیش از اعلام عمومی این آسیب‌پذیری آغاز شدند. طبق گزارش Wordfence، تا تاریخ 12 ژوئن بیش از 120 هزار تلاش برای سوءاستفاده از CVE-2025-5394 ثبت شده بود. مهاجمان از این نقص برای آپلود فایل‌های ZIP حاوی وب‌شل، نصب بک‌درهای PHP رمزدار برای دسترسی HTTP از راه دور، و ایجاد حساب‌های مخفی مدیر استفاده کردند. در برخی موارد حتی مدیر فایل‌های کامل روی سایت نصب شد و کنترل پایگاه داده وردپرس نیز در اختیار مهاجمان قرار گرفت. توسعه‌دهندگان قالب Alone نسخه 7.8.5 را منتشر کرده‌اند که این نقص را برطرف می‌کند. همه کاربران باید فوراً به این نسخه ارتقا دهند. 

قالب Motors: بهره‌برداری از CVE-2025-4322
در ماه ژوئن، مهاجمان همچنین سایت‌های وردپرسی را که از قالب پرمیوم Motors استفاده می‌کردند، هدف قرار دادند. آنها از آسیب‌پذیری CVE-2025-4322 — نقصی در فرآیند اعتبارسنجی کاربر که همه نسخه‌ها تا 5.6.67 را تحت تأثیر قرار می‌دهد — سوءاستفاده کردند. این آسیب‌پذیری به مهاجمان امکان سرقت حساب‌های مدیر را می‌دهد. شرکت StylemixThemes (سازنده قالب) نسخه اصلاح‌شده 5.6.68 را در تاریخ 14 می 2025 منتشر کرد و پنج روز بعد Wordfence از کاربران خواست بدون تأخیر به‌روزرسانی کنند. با این حال همه کاربران سریع اقدام نکردند و حملات از 20 می آغاز شد. تا 7 ژوئن، Wordfence بیش از 23,100 تلاش برای بهره‌برداری از این نقص را ثبت کرده بود. موفقیت در اکسپلویت CVE-2025-4322 به مهاجمان دسترسی سطح مدیر می‌دهد و آنها می‌توانند حساب‌های جدید ایجاد کرده یا گذرواژه‌ها را بازنشانی کنند.

بدافزار Efimer: انتشار از طریق سایت‌های وردپرسی آلوده
در نهایت، موردی وجود داشت که در آن مجرمان سایبری به جای سوءاستفاده مستقیم از آسیب‌پذیری‌های قالب یا افزونه، همچنان سایت‌های وردپرسی را هدف قرار دادند. اوایل ماه آگوست، همکاران ما حمله‌ای را شامل بدافزار Efimer — که عمدتاً برای سرقت ارزهای دیجیتال طراحی شده — بررسی کردند. مهاجمان آن را از طریق ایمیل و تورنت‌های آلوده منتشر کردند، اما برخی آلودگی‌ها از سایت‌های وردپرسی آلوده نیز منشاء گرفتند. تحلیل دقیق نشان داد که Efimer یک ابزار کرک رمز عبور وردپرس نیز دارد. به این صورت که هر بار اجرا می‌شود، یک حمله جستجوی فراگیر یا بروت فورس به پنل مدیریت وردپرس با استفاده از مجموعه‌ای از گذرواژه‌های پیش‌فرض (هاردکدشده) انجام می‌دهد. هر رمز عبوری که با موفقیت شکسته شود، به سرور فرمان مهاجمان ارسال می‌گردد.

آسیب‌پذیری‌های بالقوه خطرناک
علاوه بر رخدادهایی که پیش‌تر شرح داده شد، چندین آسیب‌پذیری دیگر نیز گزارش شده‌اند که هنوز در حملات واقعی مشاهده نشده‌اند. اما همان‌طور که مورد Motors نشان داد، مهاجمان ممکن است خیلی زود از آنها سوءاستفاده کنند، بنابراین لازم است با دقت تحت نظر باشند.

GiveWP: آسیب‌پذیری در افزونه کمک‌های مالی وردپرس

اواخر جولای، تیم پروژه متن‌باز Pi-holeهنگام استفاده از افزونه GiveWP در وب‌سایت خود، یک آسیب‌پذیری را کشف کرد. این افزونه برای دریافت کمک‌های مالی آنلاین، مدیریت کمپین‌های جمع‌آوری سرمایه و موارد مشابه استفاده می‌شود. توسعه‌دهندگان متوجه شدند که این افزونه به‌طور ناخواسته داده‌های اهداکنندگان را در سورس صفحه نمایش می‌دهد و به این ترتیب نام‌ها و آدرس‌های ایمیل بدون نیاز به احراز هویت قابل مشاهده بودند. تیم GiveWP تنها چند ساعت پس از گزارش این مشکل در GitHub، وصله امنیتی منتشر کرد. با این حال، از آنجا که داده‌ها پیش‌تر افشا شده بودند، سرویس Have I Been Pwned این رخداد را در پایگاه داده نشت‌های خود ثبت کرد و تخمین زد که نزدیک به ۳۰هزار نفر تحت تأثیر قرار گرفته‌اند. مدیران سایت‌هایی که از GiveWP استفاده می‌کنند باید افزونه را به نسخه ۴.۶.۱یا بالاتر به‌روزرسانی کنند.

Post SMTP: آسیب‌پذیری CVE-2025-24000 و تصاحب حساب مدیر

آسیب‌پذیری CVE-2025-24000با امتیاز ۸.۸ در مقیاس CVSSبه تازگی در افزونه Post SMTP کشف شده است. این افزونه ارسال ایمیل‌ها را نسبت به تابع پیش‌فرض wp_mailدر وردپرس قابل‌اعتمادتر و کاربرپسندتر می‌کند. این نقص، که تمام نسخه‌های Post SMTP تا ۳.۲.۰ را تحت تأثیر قرار می‌دهد، ناشی از ضعف در مکانیزم کنترل دسترسی در REST APIافزونه است. مشکل این است که API فقط بررسی می‌کند کاربر احراز هویت شده یا خیر، اما سطح دسترسی او را در نظر نمی‌گیرد. در نتیجه حتی یک کاربر با سطح دسترسی پایین می‌تواند لاگ‌های ایمیل‌های ارسال‌شده را مشاهده کند. این موضوع راه را برای تصاحب حساب مدیر باز می‌کند: مهاجم کافی است یک فرآیند بازیابی رمز عبور برای حساب مدیر آغاز کند، سپس با بررسی لاگ‌ها پیام بازنشانی را مشاهده کرده و لینک داخل آن را دنبال کند تا دسترسی مدیریتی بگیرد.

توسعه‌دهنده در تاریخ ۱۱ژوئن نسخه اصلاح‌شده ۳.۳.۰ را منتشر کرد. با این حال، آمار دانلود در WordPress.org نشان می‌دهد که تنها حدود ۵۱.۲٪ از کاربران به نسخه اصلاح‌شده ارتقا داده‌اند. این یعنی بیش از ۲۰۰هزار سایت همچنان در معرض خطر هستند. علاوه بر این، تقریباً ۲۳.۴٪ از سایت‌ها (حدود ۱۰۰هزار) هنوز از شاخه قدیمی ۲.x استفاده می‌کنند که این آسیب‌پذیری و چندین نقص دیگر را نیز دارد. وضعیت بدتر آن‌که کد اثبات مفهومی برای بهره‌برداری از CVE-2025-24000 هم‌اکنون به صورت عمومی منتشر شده است، هرچند کارایی آن هنوز تأیید نشده است.

چگونه از سایت وردپرسی خود محافظت کنید؟
افزونه‌ها و قالب‌ها انعطاف‌پذیری و کاربرپسندی بالایی به وردپرس می‌دهند، اما در عین حال سطح حمله را نیز به شکل چشمگیری افزایش می‌دهند. حذف کامل آنها عملی نیست، اما می‌توانید با رعایت این توصیه‌ها امنیت سایت خود را تضمین کنید:

• تعداد افزونه‌ها و قالب‌ها را به حداقل برسانید.فقط مواردی را نصب کنید که واقعاً ضروری هستند. هرچه تعداد کمتر باشد، احتمال وجود آسیب‌پذیری پایین‌تر است.
• افزونه‌ها را پیش از نصب آزمایش کنید. ابتدا آنها را در محیط ایزوله تست کرده و کدشان را برای بک‌درها احتمالی بررسی کنید.
• از افزونه‌های پرکاربرد استفاده کنید. هرچند بی‌نقص نیستند، اما مشکلات در این پروژه‌ها معمولاً سریع‌تر کشف و رفع می‌شوند.
• از اجزای رهاشده پرهیز کنید. در چنین مواردی، آسیب‌پذیری‌ها ممکن است برای همیشه بدون اصلاح باقی بمانند.
• نظارت مداوم داشته باشید. فهرست حساب‌های مدیر را به طور منظم بازبینی کنید تا کاربر ناشناس وجود نداشته باشد و خطاهای ناگهانی ورود در حساب‌های موجود را بررسی کنید.
• سیاست‌های رمز عبور را تقویت کنید.کاربران را ملزم به انتخاب گذرواژه‌های قوی کنید و احراز هویت دومرحله‌ای را اجباری نمایید.
• به‌درستی به حوادث پاسخ دهید.اگر به هک شدن سایت مشکوک شدید، سریعاً واکنش نشان دهید و امنیت سایت را بازیابی کنید. در صورت نداشتن تخصص لازم، با متخصصان خارجی تماس بگیرید — اقدام سریع می‌تواند تأثیر حمله را به میزان زیادی کاهش دهد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.