تقرير ثغرات WordPress: يونيو 2021 ، الجزء الثاني
نشرت: 2021-06-09المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
اعتبارًا من اليوم ، الإصدار الحالي من WordPress هو 5.7.2. تأكد من التأكد من تحديث جميع مواقع الويب الخاصة بك!
نقاط الضعف في البرنامج المساعد WordPress
1. إضافات Plus لـ Elementor
البرنامج المساعد: إضافات Plus لـ Elementor
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 4.1.12
درجة الخطورة : متوسطة
البرنامج المساعد: إضافات Plus لـ Elementor
الثغرة الأمنية : فتح إعادة التوجيه
مصححة في الإصدار : 4.1.10
درجة الخطورة : متوسطة
البرنامج المساعد: إضافات Plus لـ Elementor
الثغرة الأمنية : إعادة تعيين تعسفي لإرسال بريد إلكتروني Pwd
مصححة في الإصدار : 4.1.11
درجة الخطورة : عالية
2. نعم / لا مخطط
البرنامج المساعد: نعم / لا مخطط
الثغرة الأمنية : حقن SQL أعمى مصدق عليه
مصححة في الإصدار : 1.0.12
شدة نقاط: ارتفاع
3. FooGallery
البرنامج المساعد: FooGallery
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 2.0.35
شدة نقاط: متوسط
4. تقويم الأحداث WD
البرنامج المساعد: تقويم الأحداث WD
الضعف : البرمجة النصية عبر المواقع
مصححة في الإصدار : 1.1.45
شدة نقاط: متوسط
5. MC4WP: Mailchimp لـ WordPress
البرنامج المساعد: MC4WP: Mailchimp for WordPress
الثغرة الأمنية : إعادة توجيه تعسفي مصدق عليه
مصححة في الإصدار : 4.8.5
شدة نقاط: متوسط
البرنامج المساعد: MC4WP: Mailchimp for WordPress
الضعف : الإجراءات غير المصرح بها عبر CSRF
مصححة في الإصدار : 4.8.5
شدة نقاط: متوسط
6. إعادة توجيه 404 إلى الصفحة الرئيسية
البرنامج المساعد: كل 404 إعادة التوجيه إلى الصفحة الرئيسية
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط
7. مصمم منتج فاخر
البرنامج المساعد: مصمم منتج فاخر
الضعف : تحميل ملف تعسفي غير مصدق و RCE
مصححة في الإصدار : 4.6.9
شدة نقاط: الحرجة
8. GetPaid
البرنامج المساعد: GetPaid
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 2.3.4
شدة نقاط: ارتفاع
9. اختبار ومسح ماجستير
البرنامج المساعد: Quiz And Survey Master
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 7.1.19.1
شدة نقاط: ارتفاع
البرنامج المساعد: Quiz And Survey Master
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 7.1.18
شدة نقاط: ارتفاع
10. Jetpack
البرنامج المساعد: Jetpack
الضعف : تسريب التعليقات على الصفحة غير المنشورة / مرفقات المشاركة
مصححة في الإصدار : 9.8
شدة نقاط: متوسط
ثغرات ثغرات سمة WordPress
ملاحظة حول الإفصاح المسؤول
قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.
مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.
قد يوفر الباحث الأمني موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.
قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.
إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.
احصل على تنبيه عبر البريد الإلكتروني عندما يكتشف iThemes Security Pro ثغرة أمنية معروفة على موقعك
يعد ماسح الموقع الخاص بالمكون الإضافي iThemes Security Pro طريقة أخرى لتأمين وحماية موقع WordPress الخاص بك من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.
يمكن أن يرسل لك المكون الإضافي iThemes Security Pro نتائج فحص الموقع بالبريد الإلكتروني إذا وجد مكونات إضافية أو سمات أو إصدار WordPress الأساسي على موقعك. سيتم عرض نتائج Site Scan في الأداة.
إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.
بمجرد تمكين جدولة فحص الموقع ، توجه إلى إعدادات مركز الإشعارات للمكون الإضافي. في هذه الشاشة ، قم بالتمرير إلى قسم Site Scan Results .
انقر فوق المربع لتمكين رسالة الإعلام بالبريد الإلكتروني ثم انقر فوق الزر "حفظ الإعدادات" .
الآن ، أثناء أي عمليات مسح مجدولة للموقع ، ستتلقى رسالة بريد إلكتروني إذا اكتشف iThemes Security Pro أي ثغرات أمنية معروفة. سيبدو البريد الإلكتروني مثل هذا.
احصل على iThemes Security Pro لتأمين موقعك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
هل فاتك الجزء الأول من شهر يونيو من تقارير ثغرات WordPress؟
اللحاق أدناه:
يونيو 2021 ، الجزء الأول
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
