בלוג

אתר התוסף הנפוץ WPML נפרץ וספאם נשלח ללקוחות

על פי דיווח של BleepingComputer מ-20/1/2019

אמש נפרץ והושחת אתר האינטרנט של תוסף ריבוי השפות הנפוץ WPML ולקוחות המשתמשים בתוסף החלו לקבל אימיילים המציינים כי התוסף מכיל חורי אבטחה. לדברי WPML הנ"ל נגרם על ידי עובד לשעבר אשר השאיר backdoor (חור אבטחה מכוון) באתר שלהם.

WPML הינו תוסף עבור אתרי וורדפרס המאפשר בניית אתר רב לשוני, ועל פי אתר החברה נמצא בשימוש במעל 600,000 אתרים ברחבי העולם.

באימייל שנשלח למשתמשי התוסף תחת הכותרת "WPML Updates" (עדכוני WPML) ההאקר ציין כי התוסף מכיל פגיעויות אבטחה רבות וכי המשתמשים צריכים להדק את האבטחה שלהם ואולי אף להסיר את התוסף לגמרי.

מצורף ציטוט מהמייל שנשלח ללקוחות התוסף בו ניתן להבין כי הפורץ הינו לקוח מתוסכל:

"You are seeing this because you are using WPML. You purchased WPML and installed it on one or more of your sites. Or maybe you jus plan to.

I did the same but only to get myself in a whole lot of troubles. WPML came with a bunch of ridiculous security holes which, despite my efforts to keep everything up to date, allowed the most important two of my websites to be hacked."

הפורץ לא הסתפק בשליחת כמויות של דואר זבל, אלא השחית את אתר התוסף וציין ברשימת התכונות שלו כי הוא מכיל חורי אבטחה.

בבלוג של WPML פרסם אמיר הלצר (ישראלי?), מפתח בחברת  WPMLהחברה מסבירה כי הפריצה לאתר וכן ההודעות שנשלחו ללקוחות החברה, נשלחו על ידי עובד לשעבר שהשאיר חור אבטחה מכוון באתר שלהם. הלצר המשיך ואמר כי הם עדכנו את האתר שלהם, בנו מחדש את הקוד, ואיבטחו את הגישה לניהול האתר.

להלן ציטוט מהפוסט הנ"ל המבהיר כי אין כל בעית אבטחה עם התוסף שלהם.

To be clear:

  • WPML plugin running on your site does not contain this exploit.
  • Your payment information was not compromised (we don’t store it).
  • The intruder does have your name and email and might have access to your account at WPML.org.
  • The intruder indeed stole the sitekeys, but they are of no use. The sitekeys allow your site to get updates from wpml.org. The intruder cannot push any changes to your site using these keys.

בעוד שהלצר הצהיר שתוסף ה-WPML בטוח ואינו מכיל כל ניצול לרעה ופרטי התשלום לא נפגעו, כן נראה שהפורץ הצליח להשיג את פרטי החשבון של לקוחות התוסף. בשל כך הם מציעים שכל המשתמשים יאפסו את הסיסמה שלהם.

לסיכום, לא לעולם חוסן ולא כל מה שנראה בטוח אכן כזה. תשארו עם היד על הדופק וכמו תמיד – תגבו באופן קבוע את האתר שלכם! אי אפשר לדעת מתי זה יהיה קריטי לעסק שלכם.

תגיות:

דוד ארוון

מהנדס תעשיה וניהול בהשכלתי, בעולם המחשבים מאז מחשב ה-AT 286 ובעולם התקשורת כבעל BBS עוד לפני שנולדה רשת האינטרנט. את הדומיין הראשון שלי קניתי בשנת 2000 (עדיין קיים) ומתעסק בבניית אתרים מאז, כשבשנים האחרונות אני מתרכז בוורדפרס בלבד.

כתיבת תגובה

 

סגירת תפריט
דילוג לתוכן