⚠️ افزونه محبوب W3 Total Cache در وردپرس (نسخههای پیش از ۲.۸.۱۳) دارای یک نقص امنیتی جدی است که به مهاجم احرازهویت نشده اجازه میدهد با ارسال دیدگاه (comment) حاوی پیلود مخرب، دستور های PHP روی سرور اجرا کند.
📊 این افزونه روی بیش از ۱ میلیون سایت وردپرسی نصب شده که شمار زیادی از آنها هنوز به نسخهی امن بهروز نشدهاند.
🛠 آسیبپذیری در تابع _parse_dynamic_mfunc قرار دارد، و بررسیها نشان میدهد مهاجم میتواند کنترل کامل سایت را بهدست گیرد.
✳️ توصیههای امنیتی و راههای مقابله:
– فوراً افزونه W3 Total Cache را به نسخه ۲.۸.۱۳ یا جدیدتر ارتقا دهید.
– اگر نمیتوانید بهروزرسانی کنید، افزونه را غیرفعال نمایید یا حداقل امکان ارسال دیدگاه (comment) برای کاربران ناشناس را محدود کنید.
– از فایروال وباپلیکیشن (WAF) برای شناسایی و مسدودسازی تلاشهای تزریق دستور استفاده نمایید.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
