اختراقات بالجملة لورد برس

منذ فترة (حوالي الشهر) وهناك تقارير تتحدّث عن اختراقات بالجملة لورد برس. العامل المشترك بين جميع هذه الاختراقات هو أنّها جميعاً كانت على حسابات استضافة مشتركة. الصفحات المخترقة يبدو أنّه قد تم حقنها بكود يقوم بتثبيت برمجيّات ضارّة (malware) على حواسيب المستخدمين، هذا بالإضافة الى منعه متصفحي غوغل كروم وفايرفوكس واللذان يستخدمان تطبيقات غوغول للتصفح الامن، من اصدار تحذير للمستخدم عند زيارته للصفحات المشبوهة. عندما يتعرض باحث غوغل الالي (للارشفة) لهكذا صفحات تقوم الصفحة ببساطة بارسال كود غير مصاب.

حتى الان لا يوجد معلومات كيف تمّت عمليات الاختراق بهذا المستوى الكبير. بعض الخبراء ينصحون بالترقيّة الى احدث اصدار من وردبرس، ولكن حسب خبراء آخرين حتى اخر الاصدارات قد تمّ اختراقها. لكن لو كان هناك ثغرة في ورد برس لكانت عمليات الاختراق على نطاق اوسع من ذلك بكثير، ولكن الظاهر حتى الان ان الاصدارات المثبّتة على خوادم خاصة لم يتم اختراقها.

الصفحات المصابة تقوم بتحميل البرمجيّات الضارة من هذه المواقع (في الوقت الحالي):

http://www.indesignstudioinfo.com/ls.php
http://zettapetta.com/js.php
http://holasionweb.com/oo.php

وفي العادة يتم حقن الكود المشبوه في ملف footer.php ولكن هناك حالات تم حقن الكود في جميع ملفات php.

في حال تعرضك للاصابة، الخطوات التالية ستساعدك في عملية التنظيف:
من خلال سطر الاوامر

find ./ -name "*.php" -type f | xargs sed -i 's###g' 2>&1
find ./ -name "*.php" -type f | xargs sed -i '/./,$!d' 2>&1

من خلال الويب
حمل الملف الاتي:
http://sucuri.net/malware/helpers/wordpress-fix_php.txt

قم بتغيير اسمه الى wordpress-fix.php

ثمّ من خلال المتصفح قم باستدعاؤه http://yoursite.com/wordpress-fix.php

اذا لم يقم بالملف بتنظيف الاصابة فهذا يعني انّه لم ينته من عمله، لذلك قم بتشغيله مرّة أخرى، وفي حال لم تنجح هذه الطريقة ضع الملف في المجلدات wp-admin, wp-content, wp-includes واستدعه مباشرة من هذه المجلدات http://yoursite.com/wp-admin/wordpress-fix.php