باگ امنیتی جدید در افزونه Duplicator وردپرس

Duplicator

یک ماه گذشته مشکل امنیتی در افزونه Duplicator توسط شرکت ارائه دهنده آن Synacktiv کشف شد.
Duplicator یکی از پرکاربرد ترین افزونه های وردپرس برای بک آپ گیری و انتقال سایت های وردپرسی هستش و باعث شد که عده زیادی با مشکلات عدیده ای رو به رو شوند. این باگ باعث میشه اختلالات زیادی مثل حذف شدن مشخصات دیتابیس از فایل کانفیگ وردپرس به وجود بیاید که در این صورت سایت با پیغام دیتابیس مواجه می شود:

در زمانی که قالبی را نصب میکنید  بعد از پایان کار و استفاده از افزونه، فایل های installation باقی مانده توسط کاربر از روی هاست پاک نمی شوند.

خود Duplicator این موضوع را به کرات به کاربر گوشزد می کند

بعد از پایان کار افزونه، این پیغام به صورت sticky داشبورد نمایش داده میشه و تا زمان پاک کردن فایل های نصبی (و یا uninstall کردن افزونه) باقی می ماند:

فایل های مخرب اصلی در این باگ، دو فایل installer.php و installer-backup.php هستند و چون استرینگ های دریافتی را اصطلاحا بدون تمیز کاری (sanitizing)‌ مستقیما به فایل wp-config وارد می کنند باعث به وجود آمدن injection vulnerability در سایت می شوند.

راه حل

  •  Duplicator را آپدیت کنید. چون patch مربوط به باگ توسط شرکت صادر شده که تا حد زیادی مشکل رو رفع می کنه.
  • فایل هایی که دربارش صحبت شد (installer.php and installer-backup.php) و یا هر فایل دیگه ای که مربوط به بازگردانی بک آپ توسط افزونه میشه را از روی هاست خود پاک کنید. ممکنه فایل هایی با اسم database.sql را هم ببینید که باید حذف بشه.
  • جهت اطمینان رمز دیتابیس وردپرس را ریست کنید.
  • باز هم جهت اطمینان، فایل wp-config.php را پاک کنید و مجددا بسازید. از این API وردپرس استفاده کنید تا کلید های امنیتی برای فایل بسازید و در آن جایگزین کنید.

دیدگاه ها بسته شده است