⭕مهاجمان در حمله‌ای عظیم به یک مرجع دانلود، 93 قالب و پلاگین وردپرس را به در پشتی آلوده کردند. این اقدام با هدف ایجاد دسترسی کامل به وب‌سایت‌های وردپرسی انجام شد. گفته می‌شود که این قالب‌ها و پلاگین‌ها در بیش از 36 هزار سایت فعال در حال استفاده هستند.

🔻به گزارش وب‌سایت BleepingComputer، در مجموع 40 قالب و 53 پلاگین متعلق به وب‌سایت AccessPress در این حمله تغییر پیدا کردند. مهاجمان ظاهرا یک در پشتی PHP را به این ابزارها اضافه کرده‌اند تا به وب‌سایت‌های وردپرسی بیشتری دسترسی داشته باشند.

🔻شیوه کار مهاجمان به این صورت برنامه‌ریزی شده که پس از نصب یکی از این قالب‌ها یا پلاگین‌ها، فایل جدیدی به نام initial.php به فهرست اصلی قالب‌های وردپرس اضافه می‌شود و درون آن یک فایل functions.php وجود دارد. این فایل دارای کدهایی است که در پشتی را درون فایل vars.php جایگذاری می‌کند. با این کار مهاجم می‌تواند از راه دور به وب‌سایت قربانی دسترسی داشته باشد.

🔻تنها راه شناسایی این حمله استفاده از ابزارهای نظارت بر یکپارچگی فایل‌هاست، چون بدافزار هکرها فایل initial.php را حذف می‌کند تا رد خود را از بین ببرد. بررسی‌ها نشان داده که مهاجمان از این در پشتی برای انتقال کاربران به سایت‌های مجهز به بدافزار و کلاهبرداری استفاده می‌کنند. همچنین این احتمال وجود دارد که هکرها دسترسی به در پشتی این سایت‌ها را در دارک وب بفروشند.