لقد توصل المخترقون إلى طريقة مختلفة لتثبيت المكونات الإضافية الضعيفة في المواقع التي تدعمها WordPress. تعتمد التقنية على الاستفادة من حسابات WordPress.com الضعيفة و JetPack Plugin. هذا الأسلوب معقد للغاية للتنازل عن موقع ويب ويجب على المتسلل استخدام خطوات متعددة لمهاجمة موقع WordPress. بدأت الهجمات في 16 مايو من تقرير صدر عن WordPress Security Firm WordFence.
تتمثل الخطوة الأولى من هذا الهجوم في قيام الهاكرز باختراق أسماء المستخدمين وكلمات المرور من خروقات البيانات العامة لمحاولة تسجيل الدخول إلى حسابات WordPress الخاصة بالمستخدمين. إن المستخدمين الذين أعادوا استخدام كلمات المرور من مواقع مختلفة ولم يتمكنوا من تمكين المصادقة الثنائية لملفاتهم الشخصية يمكن اختراقها بسهولة لمحاولات الاستلام. تستخدم حسابات WordPress.com لإدارة المدونات المهنية التي تستضيفها خدمات Automattic. قبل بضع سنوات ، أخذ Automattic المساعد التحليلي المستخدم على WordPress.com وأصدره كمكوِّن إضافي مفتوح لمواقع WordPress ذاتية الاستضافة.
هناك وحدة تحليلية تسمى Jetpack والتي تعد واحدة من أشهر المكونات الإضافية لمواقع WordPress. تخصص هذا البرنامج المساعد هو أنه يوفر القدرة على ربط موقع WordPress ذاتي الاستضافة بحساب WordPress.com واستخدام لوحة Jetpack داخل wordpress.com. يوفر JetPack القدرة على تثبيت المكونات الإضافية المختلفة عبر مواقع مختلفة بمجرد استخدام لوحة معلومات wordpress.com Jetpack. لا يلزم حتى أن تتم استضافة البرنامج المساعد أو إخفاؤه في مستودع WordPress.org الرسمي ، ويمكن للمجرمين تحميل ملف ZIP بسهولة باستخدام الكود الخبيث الذي يتم إرساله بعد ذلك إلى كل موقع.
يستفيد المخترقون من ميزة الإدارة عن بُعد هذه لنشر المكونات الإضافية المستعارة عبر مواقع الويب المؤمنة سابقًا. ويقول الخبراء إن الهجمات بدأت في 16 مايو ، حيث قام المخترقون بنشر ملحق اسمه "pluginsamonsters" ، ثم تحول بعد ذلك إلى ملحق آخر يسمى "wpsmilepack" في 21 مايو.
وقال فريق Wordfence "البرنامج المساعد مرئي على لوحة تحكم WordPress.com ولكنه غير مرئي على قائمة البرنامج المساعد لموقع WordPress المستهدف عندما تكون نشطة". إذا عثر المدونون على أي نشاط مشبوه ، فيجب عليهم تغيير كلمة المرور على الفور لموقعهم على WordPress.com.
هل تعرف أي شخص سبق أن تأثرت بهذه المشكلة؟