چگونه یک افزونه می تواند باعث هک شدن سایت گردد؟ پرینت

افزونه ها به دلیل اینکه قابلیت افزودن امکانات بیشتری به سایت را دارند، همیشه محبوب بودند. فرقی نمی کند که شما از چه سیستم سایت سازی استفاده می کنید. در بیشتر مواقع قادر به نصب کردن افزونه های خاص همان CMS هستید. اما به دلیل اینکه افزونه ها دارای پرونده هایی هستند که روی سرور قابلیت اجرا شدن را دارند، احتمال ایجاد رخنه در سایت را هم به وجود می آورند، که برنامه نویسِ افزونه باید به این نکته توجه داشته باشد و سعی در نوشتن کدهای امن کند.

برای اینکه به شما نشان دهیم یک افزونه چطور می تواند باعث هک شدن سایت گردد، به صورت نمونه وار برای شما مثال خواهیم زد تا داستان را کامل درک کنید.

فرض می کنیم شما از وردپرس برای مدیریت سایت خود استفاده می کنید و افزونه ای هم برای تهیۀ نسخۀ پشتیبان سایت روی آن نصب کردید. این افزونه در پوشۀ plugins قرار گرفته و نام آن می تواند recent-backups یا هر چیز دیگری باشد. درون این پوشه هم پروندۀ php با نام download-file.php وجود دارد که با فراخوانی این پرونده از طریق مرورگر به راحتی می توان آن را اجرا کرد.

wp-content/plugins/recent-backups/download-file.php

پس هکر باید مسیر بالا را در ادامۀ نشانیِ سایتِ وردپرسیِ شما وارد کند تا بتواند پروندۀ مورد نظر را اجرا کند. حالا این پرونده چه کار می کند؟ از آن جایی که از اسمش معلوم است، باید اقدام به دانلود کردن پرونده های پشتیبانی (بکاپ) که تا به الان از سایت گرفته شده است کند!

اگر سازندۀ این افزونه نکات امنیتی را رعایت کرده باشد، نباید بگذارد این سند به صورت مستقیم از طریق مرورگر باز گردد. که این کار در وردپرس معمولاً با افزودن یک خط کد در بالای سند به راحتی انجام می شود.

پس همین جا باید درک کرده باشید که چرا گفته می شود حتماً از افزونه ها و قالب های معتبر که در مخزن خود وردپرس یا دیگر CMS ها هستند استفاده کنید. چرا که هر کسی می تواند افزونه ای را بنویسد که سبب هک شدن سایت شما گردد.

از طرف دیگر در خیلی از مواقع هکر به راحتی می تواند مسیری که در بالا به آن اشاره شد را دنبال کند. یعنی عبارت wp-content/plugins را در انتهای نشانیِ سایت شما وارد می کند؛ فهرست افزونه هایی که تا به الان نصب کردید را می بیند. حالا می تواند تشخیص دهد که حمله با استفاده از کدام افزونه شکل دهد! وارد آن پوشه شده و پروندۀ مورد نظر خود را اجرا می کند و یا گام های بعدی را بر می دارد.

می بینیم که چقدر راحت می تواند اطلاعات بسیار جذابی را از سایت ما بدست بیاورد. برای جلوگیری از این کار ما (وبنولوگ) امکان فهرست کردن محتوای پوشه ها را برای هر کسی مسدود کردیم. البته خود شما هم می توانید با گذاشتن یک پروندۀ خالی با پسوند html یا htm یا حتی home درون هر پوشه ای که احساس می کنید دیگران نباید بدانند داخل آن چیست، این کار را انجام دهید. که شاید این کار برای همۀ پوشه های سایت کمی دشوار باشد. به همین دلیل این قابلیت از طرف خود سرور برای تمامیِ سایت ها فعال شده است. هر چند شاید شخصِ مدیر سایت را هم کمی با مشکل مواجه کند. اما در این صورت برای مدیریت پرونده ها و پوشه های سایت حتماً باید از File Manager استفاده شود.

البته هک شدن سایت با افزونه به این موارد محدود نمی شود. شاید لازم باشد دیگر مقاله های آموزشی موجود در مرکز آموزش وبنولوگ را مطالعه کنید تا با روش های دیگر و همچنین پیشگیری از آنها آشنا شوید.