سرمایه‌گذاری سلزفورس در شرکت صاحب وردپرس

شرکت Automattic که شرکت صاحب وردپرس WordPress.com و شرکت‌های دیگری چون WooCommerce و به‌زودی Tumblr است اخیرا ۳۰۰ میلیون دلار سرمایه‌گذاری جذب کرده است. این شرکت با این سرمایه‌گذاری جدید ارزش خود را به ۳ میلیارد دلار رسانده است. سری D از سرمایه‌گذاری در Automattic تنها یک سرمایه‌گذار داشته و آن سلزفورس ونچرز (بازوی سرمایه‌گذاری شرکت مشهور سلزفورس) است. شرکت Automattic به‌طور تاریخی سرمایه‌گذاری زیادی در ۱۵ سال اخیر نداشته است. در سال ۲۰۱۴ این شرکت در راند C سرمایه‌گذاری ۱۶۰ میلیون دلار سرمایه جذب کرد.
شرکت Automattic و وردپرس تاریخچه مشترکی دارند. بسیاری از افراد وردپرس را به خوبی می‌شناسند؛ محبوب‌ترین سیستم مدیریت محتوا در جهان. Automattic در پروژه وردپرس فعالیت زیادی داشته و در راه‌اندازی سرویس‌های مختلفی چون WordPress.com و پلاگین Jetpack، وردپرس دات کام VIP (که بسیاری از سایت‌ها از جمله تکرانچ از آن استفاده می‌کند) و همچنین Woocommerce شرکت Automattic در سال ۲۰۱۴ بین ۲۰۰ تا ۳۰۰ نیرو داشت اما زمانی که می‌خواست سایت Tumblr را بخرد نزدیک به ۱۲۰۰ نیرو داشت. در سال ۲۰۱۴ نزدیک به ۲۲ درصد از ۱۰ میلیون وب‌سایت برتر جهان از وردپرس استفاده می‌کردند. درحال‌حاضر این میزان به ۳۴ درصد رسیده است. مدیرعامل Automattic در گفت‌وگو با تکرانچ می‌گوید این پتانسیل وجود دارد که وردپرس مانند اندروید شود که هم اکنون ۸۵ درصد از سهم گوشی‌ها را در جهان در اختیار دارد. وردپرس امروزه به‌عنوان یک پلت‌فرم اوپن سورس بلاگ‌نویسی قابلیت‌های انطباق بسیار بالایی به‌عنوان سیستم مدیریت محتوا دارد و با آن می‌توان از وب‌سایت رستوران گرفته تا یک سایت تجارت الکترونیک را راه‌اندازی کرد. Matt Mullenweg می‌گوید: ما می‌خواهیم سیستم عامل وب آزاد open web باشیم. به گفته وی سرمایه‌گذاری سلزفورس در Automattic راه را برای همکاری‌های بعدی باز می‌کند و به‌خصوص برای آنکه وردپرس بتواند محصول کامل‌تری در آینده باشد.

راه نفوذ هکرها باز است!

بسیاری از کارشناسان امنیتی با تحقیق و بررسی‌های جدید خود دریافته و اعلام کرده‌اند که نرم افزار وردپرس به عنوان یکی از محبوب‌ترین سیستم‌های مدیریت محتوا آسیب‌پذیری‌های امنیتی متعددی دارد که به راه نفوذ هکرها و مجرمان سایبری را باز می‌گذارد.
 
وردپرس که یکی از مهم‌ترین و محبوب‌ترین نرم افزارهای تولید و مدیریت محتوا در جهان به شمار می‌رود، آسیب پذیری و ضعف‌های امنیتی متعددی در بخش افزونه‌های پلتفرم خود دارد که به هکرها و مجرمان سایبری اجازه می‌دهد تا با استفاده از این آسیب‌پذیری‌ها به اطلاعات موردنظر خود نفوذ و دسترسی پیدا کنند و بدین ترتیب به اهداف خود دست یابند.
 
گروه امنیتی Wordfence به‌تازگی دریافته و اعلام کرده است که هکرها می‌توانند با استفاده از آسیب‌پذیری‌های مذکور، حساب‌های کاربری مدیر سیستم (admin) را بسازند و از اطلاعات تحت نظر و قابل دسترسی ادمین سواستفاده کنند. آنها همچنین در ادامه این گزارش اعلام کرده‌اند که در افزونه‌های وردپرس، کدهای مخرب جاوا اسکریپت در وب سایت‌های قربانی وارد می‌کنند و سپس کاربران را به سمت و سوی محتوای مخرب هدایت می‌کنند.
 
بر اساس گزارش وب سایت Search Engine Journal، محققان و پژوهشگران فعال در حوزه امنتی سایبری با بررسی و تحقیقات جدید خود دریافته و اعلام کرده‌اند که که هکرها و مجرمان سایبری با استفاده از آدرس IP‌های مختلفی وب سایت‌های وردپرس را مورد حمله و هجوم قرار می‌دهند که البته برخی از آنها به ارائه‌کنندگان خدمات و سرویس‌های هاستینگ مربوط می‌شود.
 
در سال‌های اخیر آمار حملات سایبری، هک و نفوذ به حساب‌های کاربری، سیستم و نرم‌افزارهای مختلفی در سراسر جهان رو به رشد و افزایش بوده است؛ به گونه‌ای که بسیاری از کارشناسان و تحلیلگران فعال در حوزه فناوری و امنیت سایبری به شرکت های مختلف، دولت‌ها و استارتاپ‌های فعال در نقاط مختلف جهان هشدار داده‌اند که با به روزرسانی مداوم سیستم‌های مورد استفاده خود و سایر اقدامات امنیتی لازم، از نفوذ و دسترسی هکرها و مجرمان سایبری به اطلاعات محرمانه خود جلوگیری کنند.

حمله هکری گسترده به سایت های وردپرس

 
سایت هایی که برای مدیریت محتوای خود از امکانات وردپرس استفاده می کنند، توسط یک گروه هکری مورد حملات گسترده ای قرار گرفته اند.
 
 به نقل از زددی نت، یک گروه هکری با سواستفاده از آسیب پذیری های امنیتی بیش از ده پلاگین وردپرس، از آنها برای ایجاد حساب های کاربری تقلبی در سایت های طراحی شده با وردپرس در اینترنت و حمله به مالکان وب سایت های مذکور بهره گرفته است.
 
ماه قبل نیز حملات مشابهی به برخی سایت های اینترنتی صورت گرفته بود. در جریان حملات مذکور، هکرها از آسیب پذیری های مشابهی در کدنویسی پلاگین های وردپرس سواستفاده کردند و سایت هایی را هک کردند. نتیجه این کار نمایش پنجره های آگهی متعدد یا تغییر مسیر بازدید کاربران به وب سایت های دیگر بوده است
 
بررسی موسسه امنیتی Defiant نشان می دهد هکرهای عامل این حملات این بار به این دو کار اکتفا نکرده و حساب های کاربری متعددی نیز در سایت های هک شده برای سواستفاده های بیشتر ایجاد کرده اند. اسامی حساب های یادشده عموما wpservices بوده و این حساب ها با استفاده از آدرس روسی [email protected] ایجاد شده و کلمه عبور آنها w۰rdpr۳ss بوده است.
 
کاربران برای حفظ امنیت خود باید از نسخه های به روزشده پلاگین های مختلف در وردپرس استفاده کرده و حساب های کاربری سایت های خود را نیز کنترل کنند.

‫ آسیب پذیری جدید PHP در کمین WORDPRESS

محقق امنیت سایبری مرکز Secarma ، به تازگی یک #‫آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین  بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.

آینده وب در گفت‌وگو با بنیان‌گذار «وردپرس»

دنیای اقتصاد : امروزه «وردپرس» یکی از موفق‌ترین پلت‌فرم‌های انتشار محتوا در وب به حساب می‌آید. Matt Mullenweg یکی از بنیان‌گذاران وردپرس در گفت‌وگو با کارا سوییشر مجری رویداد Recode درباره این پلت‌فرم بلاگ‌نویسی ۱۳ سال بعد از نخستین عرضه آن صحبت می‌کند. او همچنین از خرید استارت‌آپ روزنامه‌نگاری Atavist توسط وردپرس می‌گوید. وردپرس امروز ۷۵۰کارمند بدون دفتر دارد!

کارا سوییشر: امروز در صندلی قرمز کنار من Matt Mullenweg یکی از بنیان‌گذاران وردپرس نشسته است. حدود یک سوم سایت‌های جهان از این پلت‌فرم استفاده می‌کنند. اصلا از کجا شروع کنیم؟

وردپرس یک سیستم اوپن‌سورس برای وبلاگ نویسی بود و من و برخی از همکارانم هم با آن مشارکت می‌کردیم. این سیستم واقعا بر اساس این شروع شد که برخی افراد معتقد بودند که وب نیاز به استاندارد دارد و آن زمان یادم هست شعار ما این بود «کد شعر است» این همان زمانی بود که سایت خود شما AllthingsD هم سراغ وردپرس آمد.

سال ۲۰۰۷ بود، اگر اشتباه نکنم حدود ده یازده سال قبل؟

بله آن زمان وردپرس چهارساله بود. به‌تدریج و با گذشت زمان وردپرس به یک پلت‌فرم شبیه یک سیستم‌عامل تبدیل شده است.زمانی که به این عرصه – پلت‌فرم‌های انتشار محتوا – وارد شدیم رقبای زیادی وجود داشتند و سهم ما خیلی کوچک بود. در حال‌حاضر حدود ۳۱ درصد از بهترین وب‌سایت‌های جهان روی وردپرس قرار دارند. الان در قدرتمندترین زمان ممکن هستیم و همچنان در حال رشد.

همان‌طور که گفتید تعداد زیادی سرویس شبیه شما وجود داشت، الان اسم دقیق پلت‌فرم‌هایی که آن زمان وجود داشتند را به خاطر ندارم. شما چیزی یادتان هست؟

Six Apart، مویبل تایپ، TypePad و همین طور Blogger.

و بسیاری از آنها امروزه از بین رفته‌اند و شما احتمالا می‌دانید چرا.

یکسری تکنولوژی‌های پایه‌ای و معماری درست داشتیم که ما را پیروز کرد. به‌طور پایه‌ای ما قانون مور را محور قرار دادیم. در آن زمان بزرگ‌ترین رقیب ما که حدود ۹۰ درصد بازار را در اختیار داشت Movable Type بود. آن پلت‌فرم در ابتدای به‌کارگیری خیلی سریع بود اما با افزایش تعداد پست‌ها کند می‌شد. ما روی غنی کردن MySQL و سرعت دادن به صفحات تمرکز کردیم و بعد داینامیک شدن صفحات.

وقتی می‌گویید ۳۱ درصد از بهترین سایت‌ها را میزبانی می‌کنید توضیح بدهید منظورتان چیست و چرا مردم وردپرس را انتخاب می‌کنند؟ به‌خاطر سرویس‌های مختلفی که حالا روی وردپرس اجرا می‌شود اما قبل از آن بگویید وردپرس دات‌کام با وردپرس چه تفاوتی دارد؟

بهترین مدل برای معرفی وردپرس دات‌کام مثال اندروید است. گوگل گوشی پیکسل خود را دارد و ما هم Wordpress.com را داریم، شما می‌توانید وردپرس را از ما بگیرید و ما برای شما آن را به شکل بسیار خوبی اجرا می‌کنیم. (خود وردپرس به شکل مستقل هم قابلیت نصب روی سرور را دارد)

پس احتمالا از چه عدد بزرگی باید الان پشتیبانی کنید.

حدود ۲۰ تا ۳۰ میلیارد صفحه در ماه. ما در سطح وسیع و گسترده‌ای داریم از وردپرس استفاده می‌کنیم و تقریبا این سیستم در برابرمشکلات فنی رویین تن شده است به همین دلیل ما آن را خیلی سریع و با سرعت ارائه می‌دهیم، البته شما همچنین می‌توانید وردپرس را از Godaddy، آمازون، Bluehost و تقریبا هر نوع میزبان وب هم دریافت کنید.

و آنها وردپرس را به‌عنوان سرویس ارائه می‌دهند؟

بله، البته آنها بهترین مشارکت‌کنندگان برای بهبود وردپرس هم هستند. در حال‌حاضر حدود دو هزار نفر که بسیار علاقه‌مندند روی وردپرس کار می‌کنند، نه به خاطر اینکه این شغل آنهاست بلکه به این دلیل که عاشق آن هستند.

شما سرورهای VIP دارید برای سایت‌های خاص؟

در واقع VIP نوعی وردپرس برای استفاده شرکت‌های بزرگ و خاص از این پلت‌فرم است. البته هنوز بخش کوچکی از فعالیت ما را به خود اختصاص داده اما مشتریان جدیدی دارد و یکی از بزرگ‌ترین مشتریان جدید ما فیس‌بوک است، در واقع همه وب‌سایت‌هایی که جزو facebook.com قرار نمی‌گیرد روی سرورهای VIP ما پشتیبانی می‌شوند.

چرا فیس‌بوک این‌کار را (حضور روی سرورهای شما به‌عنوان VIP) انجام می‌دهد؟ مگر خودش نمی‌تواند این‌کار را انجام دهد؟

قطعا می‌توانند. آنها بهترین شرکت تکنولوژی نسل ما هستند. سرورهای VIP ما بسیار امن هستند و بسیار ساده راه‌اندازی می‌شوند، بنابراین اگر مثلا فیس‌بوک تصمیم می‌گیرد internet.org را راه بیندازد یا مثلا انستیتوی چان – زاکربرگ، یا سایت خبرنامه (newsroom.fb.com) از این خدمات ما استفاده می‌کنند.

وردپرس چقدر از آن زمان که به راه افتاد تاکنون تغییر کرده است؟

خب، همه‌چیز عوض شده است. آنچه عوض نشده اشتیاق مردم به انتشار و داشتن لحن اورجینال و خاص است. این چیزی است که همیشه وجود دارد.

از نظر انتشار شما اوضاع امروز را چگونه می‌بینید؟

از چه جهت؟

از جهت استفاده مردم به‌طور مشخص از موبایل. این موضوع بسیار مهمی است مثلا مردم چگونه از موبایلشان استفاده می‌‌کنند و مثلا چگونه باید برای موبایل مطالب را پست کرد؟

از نظر مصرف. مردم بیش از همیشه می‌خوانند. زمانی که نخستین موبایل‌ها به بازار آمدند و صفحه نمایش‌شان بسیار کوچک بود و رزولوشن پایینی داشت ما تصور می‌کردیم هیچ کس مطالب بلند را روی این دستگاه‌ها نخواهد خواند و اکنون اینگونه نیست. ما الان سایت‌های (تولید محتوا) Atavist و Longreads را داریم که برخی از مطالبشان به ۱۵ هزار تا ۲۰ هزار کلمه هم می‌رسد و به‌طور عمومی خواننده هم دارد و خوانندگانشان روی موبایل آنها را می‌خوانند. پس ترافیک بسیار بالا رفته است. زمانی تصور می‌شد که شبکه‌های اجتماعی بلاگ‌ها را نابود خواهند کرد حالا باعث افزایش ترافیک سایت‌های مستقل شده است. این ترافیک بسیار زیادی است و من واقعا برای این اتفاق هیجان زده‌ام. حدود یک سال و نیم روی این موضوع کار کرده‌ام.

در مورد پروژه گوتنبرگ توضیح می‌دهید؟

برای مدت زیادی مردم اول یک جا می‌نوشتند و بعد آن را روی وب کپی می‌کردند. همین الان مردم اول در نرم افزار word می‌نویسند و بعد آن را ایمیل می‌کنند تا یک نفر دیگر آن را روی وب‌پست کند. اما واقعیت این است وب می‌تواند از این چیزی که هست غنی‌تر باشد و این چیزی است که حداقل بخشی از زیرمجموعه‌های شرکت VOX مثل سایت The Verge و سایت‌های مشابه به خوبی آن را نشان داده‌اند. آنها به چیزی تبدیل شده‌اند که شما واقعا می‌خواهید ببینید یا بشنوید. ما در پروژه گوتنبرگ به دنبال چنین چیزی هستیم به چیزی که از نظر فیچر غنی باشد مثلا عکس‌ها را بتوان به شکل زیبایی به‌صورت وایداسکرین دید یا همین طور ویدئوها و اقلام تعاملی دیگر را. یا همین طور فرم‌های تماس، منو، نقشه و... را با آن تولید کرد. گوتنبرگ از سوی وردپرس و ۵۰ هزار پلاگین و انبوهی از ویجت‌های آن پشتیبانی می‌شود. نکته مهم اینکه کار با این پلت‌فرم بسیار ساده است.

پس افراد عادی هم می‌توانند از آن استفاده کنند.

بله الان برای چنین کاری شما یا باید کد‌نویس باشید یا مهندس یا زبان HTML بدانید اما گوتنبرگ بسیار ساده طراحی شده شما با درگ‌اند دراپ به راحتی با آن کار کنید و نکته اینکه با موبایل به خوبی کار می‌کند. می‌توانم بگویم این بزرگ‌ترین تغییر ورد پرس طی ۱۰سال اخیر بوده است.

گوتنبرگ در دیدن وب (‌ویدئو، گرافیک و متن) سرعت بیشتری ایجاد می‌کند؟

بله از طریق گوگل AMP. این تکنولوژی است که به دیدن وب به خصوص روی موبایل سرعت می‌دهد و الان از سوی همه شبکه‌های اجتماعی پشتیبانی می‌شود. یکی از بهترین ویژگی‌های آن دستورالعمل سخت‌گیرانه نمایش آگهی است. سرعت در وب امروزه برای کسب وکارها بسیار حیاتی است. یک مطالعه در مورد آمازون نشان داده که کند شدن ۱۰۰ میلی ثانیه سایت این شرکت باعث افت ۱۰ درصدی فروش این شرکت شده است.

مسیر آینده وردپرس چیست فکر می‌کنید چه زمانی شرکت‌های بزرگ – و نه فقط دوستان شما – به سمت وردپرس می‌آیند؟

ما می‌خواهیم بهترین پلت‌فرم را ایجاد کنیم و من ۱۵ سال از عمرم را روی آن گذاشته‌ام و می‌خواهم بقیه عمرم را هم صرف آن کنم. من می‌توانم این سمت میز بنشینم و بگویم شما سایت‌تان را روی وردپرس بیاورید و اگر شما قبول نکنید من می‌توانم ۱۰ سال صبر کنم. اما ۱۰۰ هزار دلار شرط می‌بندم که طی ۱۰ سال آینده شما به وردپرس سوئیچ خواهید کرد. به عبارت بهتر به جای اختراع چرخ بهترین پلت‌فرم موجود را انتخاب خواهید کرد.

۱۰ هزار سایت مبتنی بر WordPress مورد حمله هکرها قرار گرفت

هکرها طی چند روز گذشته یکی از نقاط آسیب‌پذیر وصله نشده مربوط به افزونه WP Mobile Detector در سیستم WordPress را که روی بیش از ۱۰ هزار سایت اینترنتی نصب شده بود، مورد هدف قرار دادند.
 
شرکت تولیدکننده این افزونه نرم‌افزاری با عرضه نسخه ۳.۶ آن روز گذشته سعی کرد مشکل پیش آمده را برطرف کند. ولی مدیران IT برای آنکه به‌روزرسانی مذکور را به سرعت در اختیار بگیرند باید بررسی کنند که سایت اینترنتی آنها هنوز هک نشده باشد.
 
این آسیب‌پذیری در یک اسکریپت ویژه با نام resize.php قرار گرفته است و به هکرها امکان می‌دهد از راه دور فایل‌های مورد نظر خود را روی سرورهای وب نصب کنند. این فایل‌ها می‌توانند در قالب اسکریپت‌های مربوط به درهای مخفی که با نام پوسته وب شناخته می‌شوند مورد استفاده قرار گیرند و به هکرها امکان دهد تا وارد سرورها شوند و کدهای مورد نظر خود را در صفحه‌های قانونی و درست اینترنتی تزریق کنند.
 
این آسیب‌پذیری در سیستم مدیریت سایت‌های اینترنتی WordPress را مرکز PluginVulnerabilities.com شناسایی کرد. در این بررسی مشخص شد یک هکر بیرونی موفق شده است با استفاده از سیستم اسکن خودکار در سرور فایل‌ها مورد نظر خود را در اختیار بگیرد.
 
کارشناسان مرکز امنیتی Sucuri اعلام کردند که فایروال آنها از تاریخ ۲۷ مه ۲۰۱۶ یعنی چهار روز پیش از آنکه وصله امنیتی عرضه شود، این آسیب‌پذیری را شناسایی کرده است.