Ommabop WordPress plaginidagi jiddiy zaiflik xakerlarga foydalanuvchilarga mo’ljallangan kripto veb-saytlarni egallash imkonini beradi. Bu zaiflik zararli shaxslar uchun fishing sahifalari, soxta hamyon havolalari va zararli yo’naltirishlarni qo’shish imkoniyatini yaratadi.
Bu xato hamyonning orqa qismi yoki token shartnomalariga ta’sir qilmasa-da, foydalanuvchilar kripto xizmatlari bilan xavfsiz muloqot qilish uchun tayanadigan old qism infratuzilmasini ochib beradi. Plagin yangilangan bo’lsa-da, o’n minglab saytlar himoyasiz qolmoqda, eski versiyalarni ishlatmoqda.
WordPress plaginining firibgarlik ehtimoli
Kripto jinoyatlari hozirda juda yuqori darajada, va ko’plab kutilmagan yo’nalishlar yangi firibgarlik hujumlarini keltirib chiqarishi mumkin. Masalan, “Patchstack” raqamli xavfsizlik firmasi tomonidan tayyorlangan hisobot yangi WordPress ekspluatatsiyasini ochib beradi, bu esa yangi kripto firibgarliklarini amalga oshirish imkonini berishi mumkin.
“Post SMTP plaginida, 400,000 dan ortiq o’rnatilgan, elektron pochta yetkazib berish plaginidir. 3.2.0 va undan past versiyalarda, plagin REST API nuqtalarida bir nechta Buzilgan Kirish Nazorati zaifliklariga ega… bu har qanday ro’yxatdan o’tgan foydalanuvchiga (hatto hech qanday imtiyozga ega bo’lmasligi kerak bo’lgan Obunachi darajasidagi foydalanuvchilar ham) turli harakatlarni amalga oshirish imkonini beradi,” deb ta’kidlandi.
Bu funksiyalar quyidagilarni o’z ichiga oladi: elektron pochta soni statistikalarini ko’rish, elektron pochtalarni qayta yuborish va batafsil elektron pochta jurnallarini, jumladan, butun elektron pochta matnini ko’rish.
WordPress xakeri bu zaiflikdan foydalanib, parolni tiklash elektron pochtalarini ushlab qolishi va administrator hisoblarini nazorat qilish imkoniyatiga ega bo’lishi mumkin.
Kriptovalyutada ko’plab maqsadlar
Qanday qilib bu WordPress zaifligi kripto firibgarliklariga olib kelishi mumkin? Afsuski, imkoniyatlar deyarli cheksiz. Soxta mijozlarni qo’llab-quvvatlash elektron pochtalari ko’plab so’nggi fishing urinishlarida muhim rol o’ynagan, shuning uchun cheklangan elektron pochta nazorati allaqachon xavfli.
WordPress-dan foydalanayotgan buzilgan sayt zararli skriptlar va yo’naltirishlar orqali soxta tokenlar va firibgarlik veb-saytlarini tashqi havolalarga qo’shishi mumkin.
Xakerlar parollarni yig’ib, ularni birja ro’yxatida ishlatishga harakat qilishlari mumkin. Ular hatto ma’lum bir sahifani ochgan har bir foydalanuvchiga zararli dastur qo’shishi mumkin.
Mening hamyonlarim xavfsizmi?
Tashqi ko’rinishda, ko’pchilik kripto hamyonlari va token platformalari asosiy infratuzilma uchun WordPress-dan foydalanmaydi. Biroq, u ko’pincha foydalanuvchi uchun mo’ljallangan funksiyalar, masalan, bosh sahifalar va mijozlarni qo’llab-quvvatlash uchun ishlatiladi.
Agar kichik yoki yangi loyiha kuchli muhandislik jamoasiz buzilsa, xavfsizlik buzilishlari sezilmasligi mumkin. Buzilgan WordPress hisoblari kelajakdagi firibgarliklar uchun foydalanuvchi ma’lumotlarini to’plashi yoki mijozlarni to’g’ridan-to’g’ri fishing urinishlariga yo’naltirishi mumkin.
Qanday qilib himoyalangan holda qolish mumkin
Yaxshiyamki, “Patchstack” bu xatolik uchun tezda tuzatish chiqardi. Ammo “Post SMTP” foydalanuvchilarining 10% dan ortig’i uni o’rnatmagan. Bu taxminan 40,000 veb-saytni ekspluatatsiyaga ochiq qoldiradi, bu esa katta xavfsizlik xavfini anglatadi.
Oqilona kripto foydalanuvchilari xotirjam bo’lib, standart xavfsizlik amaliyotlarini qo’llashlari kerak. Tasodifiy elektron pochta havolalariga ishonmang, ishonchli loyihalar bilan ishlang, apparat hamyonlaridan foydalaning va hokazo. Eng katta mas’uliyat sayt operatorlarining o’zida.
Agar kichik kripto loyiha “Patchstack”ning xatolik tuzatishini yuklamasdan WordPress saytini ishlatsa, xakerlar uni cheksiz firibgarliklar ro’yxatini amalga oshirish uchun ishlatishi mumkin. Xulosa qilib aytganda, kripto foydalanuvchilari asosiy bo’lmagan loyihalar bilan ehtiyotkorlik bilan harakat qilsalar, xavfsiz bo’lishlari kerak.
