مهاجمان در حمله ای بزرگ به یک منبع دانلود،93 درصد قالب و پلاگین وردپس را به در پشتی (Back Door) آلوده کردند.این اقدام با هدف ایجاد دسترسی کامل به وب سایت های وردپرسی انجام شده است.به نقل از منابع معتبر این قالب ها و پلاگین ها در بیش از 36 هزار سایت فعلا در حال استفاده هستند.

به گزارش وب سایت BleepingComputer،در مجموع 40 قالب و 53 پلاگین متعلق به وب سایت AccessPress در این حمله تغییر پیدا کردند.مهاجمان ظاهرا یک در پشتی PHP را به این ابزار ها اضافه کرده اند تا به وب سایت های وردپرسی بیشتری دسترسی داشته باشند.

شیوه ی کار این مهاجمان بدین صورت است که پس از نصب یکی از قالب ها یا پلاگین های آلوده به این Back Door  یک فایل جدید به نام initial.php به فهرست اصلی قالب های وردپرس اضافه می شود و درون آن یک فایل function.php وجود دارد.این فایل دارای کد هایی است که در پشتی را درون فایل vars.php جایگذاری می کند.با این کار مهاجمان می توانند از راه دور به وب سایت قربانی دسترسی داشته باشند.

در پشتی سایت های وردپرس احتمالا در دارک وب فروخته می شوند

تنها راه شناسایی این حمله استفاده از ابزار نظارت بر یکپارچگی فایل هاست ،چون بدافزار هکر ها فایل initial.php را حدف می کندتا رد خود را از بین ببرد.بررسی ها نشان می دهد که مهاجمان ز این در پشتی برای انتقال کاربران به سایت های مجهز به بدافزار و کلاهبرداری استفاده می کنند.همچنین این احتمال وجود دارد که هکر ها دسترسی به در پشتی این سایت ها را در دارک وب بفروشند.

با توجه به اطلاعاتی که در فایل ها ثبت شده،این حمله احتمالا در ماه سپتامبر آغاز شده.وب سایت AccessPress در اواسط ماه اکتبر افزونه ها را از پرتال دانلود خود حذف کرد تا مشکل را برطرف کند.این وب سایت در همین چند روز اخیر نسخه های سالم افزونه ها و قالب ها را در دسترس کاربران برای دانلود قرار داده است.با این حال،کاربرانی که درگیر این مشکل هستند،باید به سرعت اقدام به به روزرسانی افزونه ها و قالب های خود و جایگزین کردن فایل های سالم با فایل های آلوده کنند.فهرست کامل این فایل های آلوده در این لینک قابل مشاهده می باشد.