ShapedPlugin Yeniləmələri WordPress Saytlarını Yoluxdurdu – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

ShapedPlugin Yeniləmələri WordPress Saytlarını Yoluxdurdu

Məşhur WordPress plagin tərtibatçısı ShapedPlugin, rəsmi yeniləmə sistemi vasitəsilə müştərilərinə bilmədən zərərli proqram təminatı paylayıb. Təchizat zənciri hücumu minlərlə saytı riskə atır.

Kompüter ekranında WordPress loqosu və plagin yeniləmə bildirişi, arxa planda təhlükə simvolu göstərilir.

Nə Baş Verdi

WordPress ekosistemi, etibar etdiyi bir mənbədən gələn daha bir hücumla sarsıldı. Məşhur plagin tərtibatçısı ShapedPlugin, 18 iyun 2026-cı il tarixində verdiyi açıqlamada, bir neçə premium plagininin təchizat zənciri hücumunun qurbanı olduğunu bildirdi. Təcavüzkarlar şirkətin rəsmi yeniləmə infrastrukturunu ələ keçirərək, ödənişli müştərilərə zərərli plagin yeniləmələri payladılar. Bu vəziyyət, plaginlərini daim yeniləyərək təhlükəsiz qalmağa çalışan minlərlə sayt sahibini, fərqində olmadan öz saytlarına bir arxa qapı (backdoor) qurmağa məcbur etdi.

Bu cür hücumlara "təchizat zənciri hücumu" deyilməsinin bir səbəbi var. Eynilə bir istehsal xəttindəki bir hissənin qüsurlu olmasının bütün məhsula təsir etməsi kimi, proqram təminatı dünyasında da tərtibatçının infrastrukturunun ələ keçirilməsi, həmin tərtibatçının bütün müştərilərini birbaşa hədəfə çevirir. İstifadəçilər, etibar etdikləri bir mənbədən, yəni plaginin öz tərtibatçısından gələn bir yeniləməni sorğusuz-sualsız yükləyirlər. Təcavüzkarlar da məhz bu etibar münasibətindən sui-istifadə edirlər. ShapedPlugin hadisəsində baş verən də tam olaraq budur. Təcavüzkarlar minlərlə veb-saytı bir-bir hackləmək əvəzinə, mənbəyi, yəni plagin paylama sistemini hədəf alaraq daha geniş bir təsir sahəsinə çatdılar.

Hadisə, Patchstack təhlükəsizlik şirkətinin tədqiqatçıları tərəfindən aşkar edildi. Tədqiqatçılar, ShapedPlugin-ə məxsus bəzi məşhur plaginlərin yeniləmələrində şübhəli və gizlədilmiş kod parçaları aşkar etdilər. Bu kodun təhlili, təcavüzkarların veb-saytlar üzərində tam nəzarət əldə etmələrini təmin edəcək bir arxa qapı ehtiva etdiyini göstərdi. Bu arxa qapı, təcavüzkarların istədikləri zaman sayta daxil olaraq yeni administrator hesabları yaratmasına imkan verirdi. Bu, bir saytın açarlarını birbaşa təcavüzkara təslim etməklə bərabərdir. Təhlükəsiz qalmaq üçün edilən bir hərəkət olan "yeniləmə", bu hücumda ən böyük zəifliyə çevrildi.

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →

Ələ Keçirilən Məlumatlar

Mənbə xəbərə görə, hücumun birbaşa bir məlumat sızmasına səbəb olub-olmadığı hələ aydın deyil. Lakin hücumun təbiətinə görə, əldə edilən nəzarətin potensial nəticələri olduqca ciddidir. Təcavüzkarların yerləşdirdiyi arxa qapı, onlara təsirlənmiş WordPress saytlarında ən yüksək səlahiyyət səviyyəsi olan "administrator" hüquqlarına malik yeni istifadəçilər yaratmaq imkanı verir. Bir WordPress saytında administrator səlahiyyətinə sahib olmaq, o saytın bütün idarəetməsini ələ keçirmək deməkdir.

Bu səlahiyyətlə bir təcavüzkar nələr edə bilər? Potensial ssenarilər bunlardır:

  • İstifadəçi Məlumatlarını Oğurlamaq: Saytda qeydiyyatdan keçmiş bütün istifadəçilərin şəxsi məlumatları (e-poçt ünvanları, adlar, bəlkə də ünvan və telefon məlumatları) oğurlana bilər. Əgər sayt bir e-ticarət saytıdırsa, müştəri sifarişləri və həssas məlumatlar da risk altındadır.
  • Məzmun Manipulyasiyası: Sayta saxta məzmunlar əlavə edə, mövcud yazıları dəyişdirə və ya silə bilərlər. Bu, saytın nüfuzuna xələl gətirə və ya SEO (Axtarış Motoru Optimizasiyası) işlərinə qalıcı zərər vura bilər.
  • Zərərli Proqram Təminatının Yayılması: Saytı ziyarət edən məsum istifadəçilərə virus və ya fidyə proqramı yoluxdurmaq üçün istifadə edə bilərlər. Sayt, bir anda təcavüzkarların nəzarətində olan bir paylama mərkəzinə çevrilə bilər.
  • Fişinq Kampaniyaları: Saytın etibarlılığından istifadə edərək, istifadəçilərin giriş məlumatları və ya kredit kartı detalları kimi həssas məlumatlarını oğurlamaq üçün saxta formalar və səhifələr yarada bilərlər.
  • Spam və SEO Zəhərlənməsi: Sayta aidiyyəti olmayan linklər əlavə edərək öz fırıldaqçı saytlarını reklam edə bilərlər. Bu, saytınızın axtarış motorları tərəfindən cəzalandırılmasına və qara siyahıya salınmasına səbəb ola bilər.

Bir sözlə, birbaşa bir məlumat sızması bildirilməsə də, administrator hesabının ələ keçirilməsi "hər şeyin" ələ keçirilməsi potensialını daşıyır. Bu səbəbdən, təsirlənmiş sayt sahiblərinin yalnız arxa qapını təmizləməklə qalmayıb, saytlarında icazəsiz bir fəaliyyətin olub-olmadığını da dərindən araşdırmaları lazımdır.

Hücum Necə Baş Verdi

Hücumun texniki detalları, təchizat zənciri hücumlarının nə qədər məkrli ola biləcəyini göstərir. Təcavüzkarlar, ShapedPlugin-in rəsmi yeniləmə və paylama infrastrukturuna sızmağı bacardılar. Bu sızmanın necə baş verdiyi hələ şirkət tərəfindən açıqlanmayıb, lakin nəticələri olduqca aydındır.

Sistemə giriş əldə etdikdən sonra təcavüzkarlar, hədəf aldıqları premium plaginlərin kodlarına öz zərərli proqramlarını yeritdilər. Bu əməliyyatı həyata keçirərkən olduqca diqqətli davrandılar. Əlavə etdikləri kod, ilk baxışda anlaşılmaması üçün gizlədilmişdi (obfuscated). Adətən `base64_decode` və `gzuncompress` kimi funksiyalardan istifadə edilərək kodun oxunması çətinləşdirilir. Bu, onların avtomatik təhlükəsizlik skanerlərindən və səthi kod yoxlamalarından yayınmalarına kömək edir.

İstifadəçilər, WordPress idarəetmə panelində bir yeniləmə bildirişi gördüklərində, bunun qanuni bir tərtibatçı yeniləməsi olduğunu düşünərək prosesi təsdiqlədilər. Yeniləmə tamamlandıqda, zərərli kod da saytın faylları arasına yerləşmiş oldu. Xüsusilə, təcavüzkarların `w-sam.php` adlı bir fayl yaratdığı müəyyən edildi. Bu fayl, əsl arxa qapını ehtiva edən koddur.

Bu `w-sam.php` faylı, kənardan müəyyən bir əmr gələnə qədər səssizcə gözləyir. Təcavüzkarlar, istədikləri zaman bu faylı işə salaraq saytınızda özləri üçün yeni bir administrator istifadəçisi yarada bilərlər. Bu üsul, təcavüzkarların dərhal fərq edilmədən uzun müddət sistemdə qalmasına imkan verir. İstifadəçi adı və ya parol cəhdləri etmədikləri üçün kaba qüvvət hücumu (brute-force) aşkarlama sistemlərini də keçmiş olurlar. Qısacası, içəri bir casus yerləşdirib qapını onun içəridən açmasını gözləmək kimi bir strategiya izləmişlər.

Kimlər Təsirləndi

Bu hücum, ShapedPlugin-in bütün istifadəçilərini deyil, müəyyən bir hissəsini hədəf alır. Bu fərqi anlamaq, risk altında olub-olmadığınızı müəyyən etmək üçün vacibdir.

Təsirlənənlər:

  • ShapedPlugin-dən premium (ödənişli) plagin almış istifadəçilər.
  • Hücumun baş verdiyi dövrdə bu plaginləri yeniləyənlər.

Təsirlənməyənlər:

  • ShapedPlugin-in rəsmi WordPress.org plagin anbarında yer alan pulsuz versiyalarını istifadə edənlər. Hücum, WordPress.org-un infrastrukturunu deyil, birbaşa ShapedPlugin-in öz xüsusi yeniləmə sistemini hədəf aldığı üçün pulsuz versiya istifadəçiləri təhlükəsizdir.

Patchstack tərəfindən verilən açıqlamaya görə, zərərli yeniləmələrin paylandığı təsdiqlənən plaginlər bunlardır:

  • Real-time Recent Post Slider
  • WP Team
  • WP Team Pro
  • Logo Carousel Pro
  • Easy Testimonial Pro
  • WP Carousel Pro
  • Smart Post Show Pro

Əgər bu plaginlərdən hər hansı birinin Pro (premium) versiyasını istifadə edirsinizsə və bu yaxınlarda bir yeniləmə etmisinizsə, saytınızın risk altında olma ehtimalı yüksəkdir. Dərhal hərəkətə keçməlisiniz.

Nə Edə Bilərsiniz

Əgər saytınızda yuxarıda sadalanan premium plaginlərdən birini istifadə edirsinizsə, təşvişə düşmədən, lakin sürətlə aşağıdakı addımları atmalısınız:

  1. Dərhal Yeniləyin: ShapedPlugin, hücumdan xəbər tutduqdan sonra sürətlə təmizlənmiş versiyaları yayımladı. Etməli olduğunuz ilk şey, WordPress idarəetmə panelinizə daxil olub bu plaginləri ən son, təhlükəsiz versiyalarına yeniləməkdir. Bu, zərərli kodu saytınızdan siləcək.
  2. Manual Fayl Yoxlaması Edin: Yeniləmə etsəniz belə, təcavüzkarların geridə başqa bir iz buraxmadığından əmin olmaq üçün saytınızın fayl sistemini yoxlayın. Hostinq panelinizdəki (cPanel, Plesk və s.) Fayl Menecerindən və ya bir FTP müştərisindən istifadə edərək saytınızın kök qovluğuna və plagin qovluqlarına baxın. Xüsusilə `w-sam.php` adlı bir fayl axtarın. Əgər bu faylı tapsanız, dərhal silin.
  3. İstifadəçi Hesablarını Yoxlayın: WordPress idarəetmə panelinizdə "İstifadəçilər" bölməsinə daxil olun. Bütün istifadəçiləri, xüsusən də "Administrator" roluna sahib olanları diqqətlə yoxlayın. Tanımadığınız, şübhəli görünən (məsələn, qəribə e-poçt ünvanlarına sahib) hər hansı bir administrator hesabı varsa, dərhal silin.
  4. Bütün Parolları Dəyişdirin: Ehtiyat tədbiri olaraq, saytınızdakı bütün administrator və redaktor hesablarının parollarını dəyişdirin. Yalnız WordPress parollarını deyil, eyni zamanda hostinq paneli, FTP və verilənlər bazası parollarınızı da dəyişdirməyiniz şiddətlə tövsiyə olunur.
  5. Təhlükəsizlik Taraması Edin: Saytınıza Wordfence, Sucuri Security kimi nüfuzlu bir təhlükəsizlik plagini quraşdıraraq tam bir tarama aparın. Bu alətlər, `w-sam.php` xaricində gözdən qaçmış ola biləcək digər zərərli faylları və ya kod dəyişikliklərini aşkar etməyə kömək edə bilər.

Şirkət Nə Deyir

Hadisənin ictimaiyyətə açıqlanmasından sonra ShapedPlugin, müştərilərinə bir bəyanat verdi. Şirkət, hücumu təsdiqlədi və təsirlənmiş plaginlər üçün təcili olaraq təmiz yeniləmələr yayımladıqlarını bildirdi. Müştərilərinə, plaginlərini ən son versiyaya yeniləmələri üçün güclü bir çağırış etdilər.

Şirkət həmçinin, bu təhlükəsizlik pozuntusunun əsas səbəbini araşdırmaq üçün bir istintaq başlatdıqlarını və gələcəkdə bənzər hadisələrin qarşısını almaq məqsədilə infrastruktur təhlükəsizliklərini gücləndirmək üçün addımlar atdıqlarını ifadə etdi. Bu cür hadisələr, proqram təminatı tərtibatçıları üçün həm texniki, həm də nüfuz baxımından böyük bir sınaqdır. Şirkətin sürətli bir şəkildə təmiz yeniləmələr yayımlaması müsbət bir addım olsa da, istifadəçilərin etibarını yenidən qazanmaq zaman alacaq. Bu hadisə, rəqəmsal dünyada 100% təhlükəsizliyin olmadığını və ən etibarlı mənbələrin belə bir gün hədəf ola biləcəyini bir daha xatırladır. İnkişafları və yeni Melumat Sizintisi Xeberler'ini izləmək, bu cür risklərə qarşı hazırlıqlı olmağın ən yaxşı yoludur.

Mənbə

https://www.bleepingcomputer.com/news/security/shapedplugin-update-flow-hacked-to-infect-wordpress-sites/

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı Məlumat Sızması Yoxdur Dedilər İnternet İnanmadı Növbəti Yazı → Nintendonun Məlumatları Üçüncü Tərəf Hücumu ilə Oğurlandı

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.