
GravityForms plagini orqali WordPress saytlariga zararli kod joylashtirildi
2025-yil 11-iyul kuni WordPress’ning eng mashhur plaginlaridan biri — GravityForms’da xavfli kiberhujum aniqlandi. Bu voqea zamonaviy kiberjinoyatchilikning murakkab va xavfli ko‘rinishlaridan biri sifatida baholanmoqda. Hujumchilar ushbu plaginning 2.9.12-versiyasiga zararli kod joylashtirib, minglab saytlar xavfsizligini tahdid ostiga qo‘ydi.
Asosiy voqealar:
- Hujum supply chain attack — ya’ni dasturiy ta’minotni ishlab chiqish zanjiriga zararli o‘zgartirish kiritish orqali amalga oshirilgan.
- Zararli kod to‘g‘ridan-to‘g‘ri gravityforms.com rasmiy sayti orqali tarqatilgan.
- U orqali xakerlar saytga masofadan kod yozish, ma’lumotlarni o‘g‘irlash va orqa eshik (backdoor) orqali doimiy kirish imkoniyatiga ega bo‘lishgan.
Plaginning common.php fayliga joylashtirilgan update_entry_detail()
funksiyasi orqali hujumchilar quyidagi ma’lumotlarni to‘plashgan:
- WordPress versiyasi
- Foydalanuvchilar soni
- Saytdagi plaginlar ro‘yxati
- Server haqida texnik ma’lumotlar
Ushbu ma’lumotlar xakerlar tomonidan ro‘yxatdan o‘tkazilgan gravityapi.org domeniga yuborilgan. Javob sifatida kelgan zararli kod esa PHP fayl ko‘rinishida saqlanib, saytga orqa eshik o‘rnatilgan.
Shuningdek, list_sections()
nomli boshqa funksiya orqali:
- Yangi admin (boshqaruvchi) akkauntlar yaratish
- Saytga zararli fayllarni yuklash
- Foydalanuvchilarni o‘chirish
- PHP kodni masofadan bajarish
kabi xatarli harakatlar amalga oshirilgan.
Plagin ishlab chiqaruvchisi RocketGenius 2025-yil 7-iyulda muammoni bartaraf etgan 2.9.13-versiyasini chiqardi. Shu bilan birga, Namecheap registratori gravityapi.org domenini blokladi.
Tavsiya:
Agar sizning WordPress saytingizda GravityForms plagini o‘rnatilgan bo‘lsa:
- Uni zudlik bilan 2.9.13 yoki undan yuqori versiyaga yangilang
- Saytingizda noaniq admin akkauntlar yoki shubhali fayllar mavjudligini tekshiring
common.php
vasettings.php
fayllaridaupdate_entry_detail()
yokilist_sections()
funksiyalari mavjud emasligiga ishonch hosil qiling- Quyidagi IP manzillar va fayllarni qidirib chiqing:
- IP: 185.193.89.19, 193.160.101.6
- Fayllar:
bookmark-canonical.php
,block-caching.php
Ushbu hujum zamonaviy kiberjinoyatchilikda supply chain zaifliklaridan foydalanish qanchalik xavfli ekanini ko‘rsatdi. Ishonchli manba orqali yuklangan plagin ham har doim xavfsiz bo‘lavermaydi. Shuning uchun har qanday plagin va yangilanishdan so‘ng xavfsizlik monitoringi va audit muhim ahamiyatga ega.