هک شدن قالب خیریه وردپرس! حواست به سایتت باشه اگه این قالب رو داری 😱

اگه سایتت رو با وردپرس ساختی و از قالب Alone – Charity Multipurpose Non-profit استفاده می‌کنی (معروف به قالب «خیریه» که مخصوص سایت‌های خیریه و جمع‌آوری کمک مالی و ایناس)، الان وقتشه خیلی سریع یه سری به بخش آپدیت‌ها بزنی! چرا؟ چون یه باگ خیلی خطرناک (بهش میگن باگ امنیتی یا vulnerability یعنی یه اشکال یا حفره‌ای که هکرها می‌تونن سوءاستفاده کنن) تو این قالب پیدا شده که امتیاز خطرش ۹.۸ از ۱۰ بوده! یعنی تقریباً میشه گفت اگر بهش بی‌توجهی کنی، سایتتو دودستی تقدیم هکرها کردی.

این آسیب‌پذیری با کد CVE-2025-4394 هم شناخته میشه (CVE یه سیستمه که به باگ‌ها و مشکلات امنیتی یه شماره منحصربه‌فرد میده تا همه بدونن راجع به چی حرف می‌زنن). خلاصه که خیلی جدیه!

خب، حالا قضیه چیه؟ تو نسخه‌های این قالب تا ورژن ۷.۸.۳، یه راه مخفی (!) برای هکرها وجود داشته که بتونن هر فایلی که دوست دارن (حتی شل یا backdoor که یعنی یه جور برنامه که به هکر اجازه میده هر وقت خواست به سایتت متصل بشه) رو آپلود کنن! با این کارشون حتی می‌تونن برای خودشون اکانت مدیر درست کنن و کل سایت رو کنترل کنن. یعنی نه فقط محتوات رو می‌دزدن، یه عالمه بدافزار و صفحه فیشینگ (که وب‌سایت جعلی برای دزدیدن اطلاعات اکانت مردمه) هم رو سایتت سوار می‌کنن و بازدیدکننده‌ها رو می‌فرستن سراغ سایت‌های مخرب دیگه.

خود شرکت وردفنس (Wordfence یعنی یه شرکت معروف تو زمینه امنیت وردپرس و افزونه ضد ویروس و فایروال) گفته که از ۱۲ جولای، قبل اینکه حتی این باگ عمومی بشه، هکرها شروع کردن به سوءاستفاده! ماموران امنیتی وردفنس تونستن تا امروز بیشتر از ۱۲۰,۰۰۰ تلاش برای هک کردن این قالب رو از نزدیک ۱۰ تا آی‌پی مختلف متوقف کنن ولی همچنان حملات ادامه داره. این یعنی هکرها منتظر نمی‌مونن و به‌محض اینکه یه باگ لو بره، مثل زنبور میریزن سرش.

همین الان حدود ۲۰۰ تا سایت وردپرسی این قالب رو فعال دارن و ممکنه خیلی‌ها حواسشون نباشه که خطر در کمینه. قالب alone، مخصوص سایت‌های خیریه و جمع‌آوری کمک طراحی شده، بیشتر از ۴۰ تا دموی آماده داره و با افزونه‌های معروفی مثل Elementor و WPBakery (ابزارهایی که صفحه‌سازی راحت تو وردپرس رو ممکن می‌کنن) کار می‌کنه.

خبر خوب یا شاید تنها امید اینه که تو ورژن ۷.۸.۵ که ۱۶ ژوئن ۲۰۲۵ منتشر شده، این مشکل امنیتی برطرف شده. پس اگه هنوز آپدیت نکردی، لطفاً همین الان برو تو پنل مدیریت وردپرس و قالبت رو بروزرسانی کن! چون این باگ الان تو طبیعت (!) در حال سوءاستفاده‌س و نباید باهاش شوخی کنی.

یه نکته مهم! وردپرس کلاً امن محسوب میشه، ولی بیشتر مشکلات امنیتی سر افزونه‌ها و قالبای متفرقه پیش میاد. پس هر چیزی رو از هر جایی نصب نکن و همیشه همه افزونه‌ها و قالبایی که واقعاً لازم داری رو آپدیت نگه دار. نسخه‌های قدیمی یعنی دعوت رسمی از هکرهای حرفه‌ای و مبتدی!

در آخر، اگه دنبال امنیت بیشتر هستی، بهتره برای تایید دو مرحله‌ای از اپلیکیشن‌های مخصوص (authenticator app یعنی برنامه‌هایی که یه رمز پویا برای ورود می‌سازن، مثل Google Authenticator) و یه پسورد منیجر (نرم‌افزاری که همه رمز‌هات رو امن نگه می‌داره)، استفاده کنی تا دغدغه امنیتت کمتر شه. حواستو جمع کن که حالا که هکرها دارن شکار می‌کنن، تار عنکبوت رو سر سایت تو نبافن!

هر سوالی داشتی ازم بپرس 😉

منبع: +