هفته گذشته “ارتش الکترونیک سوریه” وابسته به حکومت اسد، دو شکار بزرگ داشت: وبسایتهای Truecaller.com و tango.me سایت نرمافزار تانگو.
این گروه در اکانت توییتر خود اعلام کرد سایت تروکالر رو هک کرده و به دیتابیس هاش دسترسی داره. طبق ادعای این گروه، پسوردها به صورت متن ساده ذخیره شده بودند.
در مورد تانگو هم ادعا شده که اطلاعات تماس و ایمیل و شماره تلفن میلیون ها کاربر را به دست آورده و همچنین عکسی از فایل های لاگ این نرمافزار رو ارائه کرده.
و اما نکته تاسف برانگیز اینه که این دو سایت که سرمایه خوبی هم داشتند و می تونستند پشتیبانی بهتری از سایتشون داشته باشند از سیستم مدیریت wordpress استفاده می کردند که بهروز نشده بود و هکرها با استفاده از ضعف های امنیتی وردپرس (که برخی از اونها رو با یک جستجو می تونید پیدا کنید و نیازی به تلاش آنچنانی نداره) تونستند که به اطلاعات حیاتی کاربران دسترسی داشته باشند.
عکسهای زیر که وسیله این گروه ارائه شده نشون میده که غیر از هسته وردپرس، حداقل ۱۰ پلاگین هم آپدیت نشدهاند. پلاگین آپدیت نشده در وردپرس یعنی در باز و خونه خالی برای دزدها.
متاسفانه سهل انگاری این سایت ها باعث به خطر افتادن اطلاعات کاربران میشه که در کشورهایی مثل سوریه این نشت اطلاعات میتونه عواقب بدتری رو برای افراد به دنبال داشته باشه.
چند نکته در استفاده امن از وردپرس وجود داره که اولیش آپدیت به موقع است. استفاده از پلاگین های شناخته شده تر و با پشتیبانی بهتر. ترجیحا استفاده هرچه کمتر از پلاگین ها. پاک کردن پلاگین ها و پوسته هایی که استفاده نمی کنید. نصب نکردن پوسته های متفرقه و البته استفاده از پلاگین هایی که امنیت وردپرس رو بالا می برند مثلا پلاگین TAC که پوسته های نصب شده رو چک می کنه و در صورت وجود کدهای مشکوک، به شما اطلاع می ده.
خوشحال می شم اگر ایده هایی برای بالاتر بردن امنیت سایت هایی که از وردپرس استفاده می کنن در کامنت ها بگید تا در متن وارد بشه ویا لینک به مطالب خودتون بدید که دیگران استفاده کنند.
