آسیب پذیری افزونه Redirection در فرم تماس 7 وردپرس

اگر مدیر سایت هستید، باید همین الان نسبت به آسیب پذیری افزونه Redirection که برای پلاگین فرم تماس 7 (Contact Form 7) منتشر شده هوشیار باشید.

این باگ امنیتی (Security Vulnerability) با درجه شدت 8.1 شناسایی شده و میتواند ساختار وب سایت شما را با خطرات جدی روبرو کند.

طبق گزارش های جدید، این مشکل تا الان حدود 300 هزار نصب فعال را درگیر کرده است و میتواند تاثیر منفی روی مقالات سئو سایت شما داشته باشد.

هکرها با استفاده از این حفره امنیتی قادر هستند فایل های مخرب (Malicious Files) را روی هاست شما آپلود کنند.

علاوه بر این، امکان کپی برداری از فایل های روی سرور هم برای نفوذگران فراهم میشود که از نظر چک‌ لیست سئو تکنیکال یک فاجعه محسوب میشود.

عملکرد افزونه Redirection و فرم تماس 7

این پلاگین که توسط تیم Themeisle توسعه یافته، به عنوان یک مکمل برای فرم تماس 7 عمل میکند.

وظیفه اصلی آن هدایت کاربران به یک صفحه خاص پس از پر کردن فرم است که مستقیماً روی تجربه کاربری سایت اثر میگذارد.

علاوه بر این، امکان ذخیره اطلاعات در دیتابیس (Database) و مدیریت داده ها را نیز فراهم میکند.

خطر حملات بدون احراز هویت (Unauthenticated)

نکته ترسناک ماجرا اینجاست که ما با یک آسیب پذیری امنیتی وردپرس از نوع بدون احراز هویت طرف هستیم.

این یعنی هکر برای خرابکاری نیازی به لاگین کردن یا داشتن سطح دسترسی خاصی (مثل Subscriber) ندارد.

همین موضوع باعث میشود که نفوذ به سایت و سوءاستفاده از این باگ بسیار ساده تر انجام شود.

جزئیات فنی و نقش تنظیمات PHP

طبق گزارش گروه امنیتی Wordfence، مشکل اصلی در تابع move_file_to_upload نهفته است.

در این تابع، هیچگونه اعتبارسنجی (Validation) برای نوع فایل انجام نمیشود.

اگر تنظیمات allow_url_fopen در سرور شما روی حالت روشن (On) باشد، هکر میتواند فایل مخرب را از راه دور آپلود کند.

خوشبختانه در اکثر هاست های اشتراکی، این گزینه برای حفظ امنیت و سئو به صورت پیشفرض خاموش است.

با این حال، برای جلوگیری از هرگونه ریسک، پیشنهاد میشود اگر دانش فنی ندارید از خدمات مشاوره سئو استفاده کنید.

بهترین راه کار فعلی، آپدیت سریع افزونه به نسخه 3.2.8 یا بالاتر است.

منبع : Redirection For Contact Form 7 WordPress Plugin Vulnerability