מספר האתרים בעולם הרצים על פלטפורמת וורדפרס (WordPress) הוא עצום, כשגם TGspot נמנה ביניהם. בדיוק מהסיבה הזו, האקרים מנסים למצוא את הדרך שתאפשר להם לגשת למערכת בלי שבעלי האתרים ירגישו בכך וכך הם מצאו זאת באמצעות תוסף פופולרי הזמין להורדה במערכת התוספים הרשמית.

התוסף הנקרא Content Type Manager או בקיצור CCTM, מאפשר ליצור שדות מיוחדים, דבר הנדרש לעיתים למפתחי האתרים ואולם, בדיקה של חברת אבטחה Sucuri מצאה אצל אחד מלקוחותיה כי קיימת פירצה בגרסה האחרונה של התוסף שהופצה למשתמשים לאחרונה (0.9.8.8).

כך מתברר כי בעדכון נוספו הקבצים auto-update.php ו-CCTM_Communicator.php, אשר מכילים קוד זדוני המאפשר לבעליו לקבל מידע על שמות המשתמש והסיסמאות למרות כי הן מוצפנות, פרטים על התוספים המותקנים ומידע הנשלח לכתובת צד שלישית. כל זה כפי הנראה כדי לספק להאקרים גישה למספר רב של אתרים ככל הניתן, ולהשתמש בהם להפצת תוכנות זדוניות. פריצה שכבר התרחשה לפי הערכות באלפי אתרים שונים המשתמשים בתוסף המדובר.

לפי התחקיר הגרסה הקודמת של התוסף לא עודכנה במשך 10 חודשים ובאופן חשוד קיבלה עדכון לפני כשבועיים, כפי הנראה לא על ידי בעליו המקוריים של התוסף. לא ברור עוד כיצד הדבר נעשה או האם נפרץ גם החשבון של הבעלים המקוריים, אולם כעת ולאחר שהתוסף הורד מהאוויר, הוא חזר בגרסה חדשה (0.9.8.9) שלפי לוג השינויים נכתב כי הנוזקה הוסרה מהקבצים.

אם בבעלותכם אתר וורדפרס ואתם משתמשים בתוסף, יש לכבותו דרך עמוד התוספים, להתקין מחדש את ליבת המערכת ולהסיר את קבצי התוסף דרך FTP.

התמונה באדיבות Shutterstock

שתף:
-פרסומת-
העורך הראשי ומנהל האתר. איש חומרה שנולד עם מברג ביד ומקום לכרטיס הרחבה. בעל תואר ראשון במדעי הטכנולוגיה ומעריץ מושבע של גאדג'טים מאז שהמציאו את המסך (גם לא מגע). מעביר את זמנו עם מוצר שזה עתה יצא לבין זה שייצא, חי את הרשת ואף פעם לא שוכח שטכנולוגיה טובה היא פרי מחשבתם של אנשים טובים.
  • מה התוסף הכי מומלץ להוספת Custom Post types? ראיתי שיש הרבה
    אשמח לתשובה 🙂

    • איתי מקמל

      בכלל בתוספים האיכותיים הם אלו שיש להם הרחבות בתשלום, שכן כך התוסף מתעדכן על בסיס קבוע. שווה לבדוק אם לתוסף יש פורום פעיל, מספר הורדות גבוה ושבעליו עונה בעמוד התמיכה בוורדפרס (לדוגמה: Custom Post Type UI).