تقرير ثغرات WordPress: يوليو 2021 ، الجزء 4

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.

كواحد من أكبر تقارير ثغرات WordPress حتى الآن ، يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الكلمة وجعل WordPress أكثر أمانًا للجميع.

نقاط الضعف الأساسية في ووردبريس

نقاط الضعف في البرنامج المساعد WordPress

1. VDZ التحقق

البرنامج المساعد: VDZ Verification
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : 1.4.1
شدة نقاط: متوسط

2. اتصال VDZ

البرنامج المساعد: VDZ CallBack
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : 1.1.4.6
شدة نقاط: متوسط

3. يتساءل PDF تضمين

البرنامج المساعد: Wonder PDF Embed
الضعف : مساهم + XSS مخزّن
مصححة في الإصدار : 1.7.1
شدة نقاط: متوسط

4. عجب الفيديو تضمين

البرنامج المساعد: Wonder Video Embed
الضعف : مساهم + XSS مخزّن
مصححة في الإصدار : 1.8.1
شدة نقاط: متوسط

5. منشئ الملف الشخصي

البرنامج المساعد: Profile Builder
الثغرة الأمنية : وصول المسؤول عبر خطأ إعادة تعيين كلمة المرور
مصححة في الإصدار : 3.4.9
شدة نقاط: الحرجة

6. نظام إدارة تأجير السيارات VikRentCar

البرنامج المساعد: نظام إدارة تأجير السيارات VikRentCar
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : 1.1.10
شدة نقاط: متوسط

7. يوتيوب تضمين

البرنامج المساعد: يوتيوب تضمين
الضعف : مساهم + XSS مخزن
مصححة في الإصدار : 5.2.2
شدة نقاط: متوسط

8. مراجعة الموقع الخاص بي

البرنامج المساعد: My Site Audit
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

9. الشريط الاجتماعي

البرنامج المساعد: الشريط الاجتماعي
الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

10. التيلجو آية الكتاب المقدس اليومية

البرنامج المساعد: Telugu Bible Verse Daily
الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

11. الآية- O- ماتيتش

البرنامج المساعد: Verse-O-Matic
الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

12. إعادة توجيه تسجيل الدخول المخصص

البرنامج المساعد: إعادة توجيه تسجيل الدخول المخصص
الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

13. الرسائل الخفيفة

البرنامج المساعد: الرسائل الخفيفة
الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

14. Shantz WordPress QOTD

البرنامج المساعد: Shantz WordPress QOTD
الثغرة الأمنية : تحديث الإعداد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

15. مدير موقع PhoneTrack Meu

البرنامج المساعد: PhoneTrack Meu Site Manager
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

16. RestroPress

البرنامج المساعد: RestroPress
الضعف : مكالمات AJAX غير المصرح بها
مصححة في الإصدار : 2.8.3.1
شدة نقاط: ارتفاع

البرنامج المساعد: RestroPress
الضعف : التلاعب بالعربة عبر CSRF
مصححة في الإصدار : 2.8.3
شدة نقاط: متوسط

17. معرض الصور

البرنامج المساعد: معرض الصور
الثغرة الأمنية : XSS مخزنة عبر SVG المحملة في Zip
مصححة في الإصدار : 1.5.79
شدة نقاط: متوسط

البرنامج المساعد: معرض الصور
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة عبر تحميل SVG
مصححة في الإصدار : 1.5.75
شدة نقاط: متوسط

البرنامج المساعد: معرض الصور
الثغرة الأمنية : اجتياز مسار تحميل الملف
مصححة في الإصدار : 1.5.75
شدة نقاط: منخفضة

18. كتب تقليد

البرنامج المساعد: كتب تقليد
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

19. عنصر الملحق العناصر

البرنامج المساعد: عنصر الملحق العناصر
الضعف : تجاوز CSRF
مصححة في الإصدار : 1.11.8
شدة نقاط: منخفضة

20. المطبوخة برو

البرنامج المساعد: Cooked Pro
الضعف : البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها (XSS)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

21. نماذج NEX

البرنامج المساعد: نماذج NEX
الثغرة الأمنية : تجاوز المصادقة لتقارير Excel
مصححة في الإصدار : 7.8.8
شدة نقاط: متوسط

البرنامج المساعد: نماذج NEX
الثغرة الأمنية : تجاوز المصادقة لتقارير PDF
مصححة في الإصدار : 7.8.8
شدة نقاط: متوسط

22. KN أصلح لقبك

البرنامج المساعد: KN Fix Your Title
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: منخفضة

23. الهبة

البرنامج المساعد: الهبة
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

24. HM أدوار متعددة

البرنامج المساعد: HM أدوار متعددة
الضعف : تغيير الدور التعسفي
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: الحرجة

25. 10Web Map Builder لخرائط جوجل

البرنامج المساعد: 10Web Map Builder لخرائط جوجل
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : 1.0.70
شدة نقاط: متوسط

26. الصيانة

البرنامج المساعد: الصيانة
الثغرة الأمنية : XSS المخزنة المصدق عليها
مصححة في الإصدار : 4.03.1
شدة نقاط: متوسط

27. معرض الشبكة

البرنامج المساعد: معرض الشبكة
الضعف : معرض شبكة الصور الفوتوغرافية
مصححة في الإصدار : 1.2.5
شدة نقاط: منخفضة

28. البحث في الحقول المخصصة لـ WP

البرنامج المساعد: WP Custom Fields Search
الضعف : البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها (XSS)
مصححة في الإصدار : 1.0
شدة نقاط: متوسط

29. مترجم لغة جوجل

البرنامج المساعد: Google Language Translator
الثغرة الأمنية : مصادق عليه (مؤلف +) البرمجة النصية عبر المواقع (XSS)
مصححة في الإصدار : 6.0.10
شدة نقاط: متوسط

البرنامج المساعد: Google Language Translator
الثغرة الأمنية : البرمجة النصية عبر المواقع المصادق عليها (XSS)
مصححة في الإصدار : 6.0.10
شدة نقاط: متوسط

30. SendGrid

البرنامج المساعد: SendGrid
الثغرة الأمنية : تجاوز التفويض المصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

31. NewsPlugin

البرنامج المساعد: NewsPlugin
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

32. الخيرية - التبرع البرنامج المساعد

البرنامج المساعد: Charitable - Donation Plugin
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : 1.6.51
شدة نقاط: منخفضة

البرنامج المساعد: Charitable - Donation Plugin
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 1.6.51
شدة نقاط: منخفضة

33

البرنامج المساعد: LifterLMS
الضعف : الوصول إلى درجات / إجابات الطلاب الأخرى عبر IDOR
مصححة في الإصدار : 4.21.2
شدة نقاط: متوسط

34. WooCommerce Currency Switcher

البرنامج المساعد: WooCommerce Currency Switcher
الثغرة الأمنية : مصادقة (امتياز منخفض) تضمين ملف محلي
مصححة في الإصدار : 1.3.7
شدة نقاط: الحرجة

35. مشاركة بسيطة

البرنامج المساعد: مشاركة بسيطة
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: منخفضة

36. WPGraphQL

البرنامج المساعد: WPGraphQL
الضعف : رفض الخدمة
مصححة في الإصدار : 1.3.6
شدة نقاط: ارتفاع

37. GTranslate

البرنامج المساعد: GTranslate
الثغرات الأمنية : البرمجة النصية عبر المواقع المنعكسة (XSS)
مصححة في الإصدار : 2.8.65
شدة نقاط: متوسط

38. يوميات وتوافر التقويم

البرنامج المساعد: اليوميات والتقويم المتاح
الثغرة الأمنية : مصادقة (المشترك +) حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

39. البريد الإلكتروني المشترك

البرنامج المساعد: البريد الإلكتروني المشترك
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة غير المصادق عليها (XSS)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

40. M-vSlider

البرنامج المساعد: M-vSlider
الثغرة الأمنية : حقن SQL مصدق عليه (مشرف +)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

41- حالة المشروع

البرنامج المساعد: حالة المشروع
الثغرة الأمنية : حقن SQL مصدق عليه (مشرف +)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

42. AceIDE

البرنامج المساعد: AceIDE
الثغرة الأمنية : مصادقة (مشرف +) وصول تعسفي للملف
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

43. مدير الارتباط المكسور

البرنامج المساعد: Broken Link Manager
الثغرة الأمنية : حقن SQL مصدق عليه (مشرف +)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

44. تحرير التعليقات

البرنامج المساعد: تحرير التعليقات
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

البرنامج المساعد: تحرير التعليقات
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

45. تقويم أحداث بسيطة

البرنامج المساعد: تقويم أحداث بسيطة
الثغرة الأمنية : حقن SQL مصدق عليه (مشرف +)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

46. ​​الجدول الزمني التقويم

البرنامج المساعد: الجدول الزمني التقويم
الثغرة الأمنية : حقن SQL مصدق عليه (مشرف +)
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

47. Paytm - Donation Plugin

البرنامج المساعد: Paytm - Donation Plugin
الثغرة الأمنية : 1.3.2 - مصادقة (مشرف +) حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

ثغرات ثغرات سمة WordPress

1. جريدة

الموضوع: جريدة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 11
شدة نقاط: ارتفاع

ملاحظة حول الإفصاح المسؤول

قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني ​​باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.

مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر

كما ترى من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة معروفة.

1. قم بتشغيل ماسح موقع iThemes Security Pro

يقوم فاحص الموقع الخاص بالمكون الإضافي iThemes Security Pro بفحص السبب الأول الذي يجعل مواقع WordPress تتعرض للاختراق: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

لتمكين Site Scan في عمليات التثبيت الجديدة ، انتقل إلى علامة التبويب Site Check في قائمة الميزات داخل المكون الإضافي وانقر فوق زر التبديل لتمكين Site Scan .

لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على بطاقة Site Scan Security Dashboard.

إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.

في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.

2. قم بتشغيل "إدارة الإصدار"

تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك عندما لا يتم تحديث البرامج القديمة بالسرعة الكافية. حتى أقوى تدابير الأمان ستفشل إذا كنت تقوم بتشغيل برنامج ضعيف على موقع الويب الخاص بك. تساعد هذه الإعدادات في حماية موقعك بخيارات التحديث إلى الإصدارات الجديدة تلقائيًا في حالة وجود ثغرة أمنية معروفة وكان التصحيح متوفرًا.

من صفحة الإعدادات في iThemes Security Pro ، انتقل إلى شاشة الميزات. انقر فوق علامة التبويب Site Check (فحص الموقع). من هنا ، استخدم مفتاح التبديل لتمكين إدارة الإصدار. باستخدام ترس الإعدادات ، يمكنك تكوين المزيد من الإعدادات ، بما في ذلك الطريقة التي تريد أن يتعامل بها iThemes Security Pro مع تحديثات WordPress والمكونات الإضافية والسمات والحماية الإضافية.

تأكد من تحديد التحديث التلقائي إذا كان يعمل على إصلاح مربع الثغرة الأمنية بحيث يقوم iThemes Security Pro تلقائيًا بتحديث مكون إضافي أو سمة إذا كان يعمل على إصلاح ثغرة أمنية تم العثور عليها بواسطة Site Scanner.

3. احصل على تنبيه عبر البريد الإلكتروني عندما يكتشف iThemes Security Pro ثغرة أمنية معروفة على موقعك

بمجرد تمكين جدولة فحص الموقع ، توجه إلى إعدادات مركز الإشعارات للمكون الإضافي. في هذه الشاشة ، قم بالتمرير إلى قسم Site Scan Results .

انقر فوق المربع لتمكين رسالة الإعلام بالبريد الإلكتروني ثم انقر فوق الزر "حفظ الإعدادات" .

الآن ، أثناء أي عمليات مسح مجدولة للموقع ، ستتلقى رسالة بريد إلكتروني إذا اكتشف iThemes Security Pro أي ثغرات أمنية معروفة. سيبدو البريد الإلكتروني مثل هذا.

احصل على iThemes Security Pro واسترح قليلاً الليلة

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.