تقرير ثغرات WordPress: يونيو 2021 ، الجزء 3

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.

نقاط الضعف الأساسية في ووردبريس

اعتبارًا من اليوم ، الإصدار الحالي من WordPress هو 5.7.2. تأكد من التأكد من تحديث جميع مواقع الويب الخاصة بك!

نقاط الضعف في البرنامج المساعد WordPress

1. في الآونة الأخيرة

البرنامج المساعد: مؤخرًا
الثغرة الأمنية : حقن كود مصدق
مصححة في الإصدار : 3.0.5
درجة الخطورة : عالية

البرنامج المساعد: مؤخرًا
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 3.0.5
درجة الخطورة : متوسطة

2. ووردبريس المشاركات الشعبية

البرنامج المساعد: WordPress Popular Posts
الثغرة الأمنية : حقن كود مصدق
مصححة في الإصدار : 5.3.3
شدة نقاط: ارتفاع

البرنامج المساعد: WordPress Popular Posts
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 5.3.3
شدة نقاط: متوسط

3. تصلب الفسفور الابيض

البرنامج المساعد: WP Hardening
الضعف : انعكاس البرمجة النصية عبر المواقع عبر URI
مصححة في الإصدار : 1.2.2
شدة نقاط: متوسط

البرنامج المساعد: WP Hardening
الضعف : انعكاس البرمجة النصية عبر المواقع عبر historyvalue
مصححة في الإصدار : 1.2.2
شدة نقاط: ارتفاع

4. التعليقات أعجبني لم يعجبني

البرنامج المساعد: التعليقات أعجبني لم يعجبني
الثغرة الأمنية : إضافة "إعجاب" / "عدم الإعجاب"
مصححة في الإصدار : 1.1.4
شدة نقاط: متوسط

5. WP Config File Editor

البرنامج المساعد: WP Config File Editor
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

6. أعمدة الإدارة المجانية والمحترفة

البرنامج المساعد: أعمدة الإدارة مجانية
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 4.3
شدة نقاط: متوسط

البرنامج المساعد: Admin Columns Pro
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 5.5.1
شدة نقاط: متوسط

7. خرائط جوجل الفسفور الابيض

البرنامج المساعد: WP Google Maps
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 8.1.12
شدة نقاط: متوسط

8. بوابة الدفع Stripe لـ WooCommerce

البرنامج المساعد: Stripe Payment Gateway for WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.6.0
شدة نقاط: ارتفاع

9. سبيكة Qtranslate

البرنامج المساعد: Qtranslate Slug
الضعف : تجاوز CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

10. مخصص css-js-php

البرنامج المساعد: css-js-php مخصص
الضعف : تجاوز CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

11. أدوار متعددة

البرنامج المساعد: أدوار متعددة
الضعف : تجاوز CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط

12. حل السوق متعدد البائعين لـ WooCommerce

البرنامج المساعد: حل السوق متعدد البائعين لـ WooCommerce
الضعف : تجاوز CSRF
مصححة في الإصدار : 3.74.1
شدة نقاط: متوسط

13. جومسبورت

البرنامج المساعد: JoomSport
الثغرة الأمنية : حقن كائن PHP غير مصدق
مصححة في الإصدار : 5.1.8
شدة نقاط: متوسط

14. سمارت سلايدر 3

البرنامج المساعد: سمارت سلايدر 3
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 3.5.0.9
شدة نقاط: متوسط

15. سياسة ملفات تعريف الارتباط السهلة

البرنامج المساعد: سياسة ملفات تعريف الارتباط السهلة
الثغرة الأمنية : تعطل التحكم في الوصول إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع

16. ويلكارت للتجارة الإلكترونية

البرنامج المساعد: Welcart e-Commerce
الضعف : البرمجة النصية عبر المواقع
مصححة في الإصدار : 2.2.4
شدة نقاط: متوسط

17. الفسفور الابيض الصلاة

البرنامج المساعد: WP Prayer
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 1.6.7
شدة نقاط: متوسط

ثغرات ثغرات سمة WordPress

1. الجنة

الموضوع: الجنة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 5.4.4
شدة نقاط: ارتفاع

2. موضوع المحرك

الموضوع: موضوع المحرك
الثغرة الأمنية : تضمين ملف محلي غير مصدق
مصححة في الإصدار : 3.1.0
شدة نقاط: ارتفاع

3. العقارات 7

الموضوع: العقارات 7
الضعف : 3.1.1
مصححة في الإصدار : برمجة نصية عبر المواقع المنعكسة
شدة نقاط: ارتفاع

ملاحظة حول الإفصاح المسؤول

قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني ​​باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.

مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

احصل على تنبيه عبر البريد الإلكتروني عندما يكتشف iThemes Security Pro ثغرة أمنية معروفة على موقعك

يعد ماسح الموقع الخاص بالمكون الإضافي iThemes Security Pro طريقة أخرى لتأمين وحماية موقع WordPress الخاص بك من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

يمكن أن يرسل لك المكون الإضافي iThemes Security Pro نتائج فحص الموقع بالبريد الإلكتروني إذا وجد مكونات إضافية أو سمات أو إصدار WordPress الأساسي على موقعك. سيتم عرض نتائج Site Scan في الأداة.

إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.

بمجرد تمكين جدولة فحص الموقع ، توجه إلى إعدادات مركز الإشعارات للمكون الإضافي. في هذه الشاشة ، قم بالتمرير إلى قسم Site Scan Results .

انقر فوق المربع لتمكين رسالة الإعلام بالبريد الإلكتروني ثم انقر فوق الزر "حفظ الإعدادات" .

الآن ، أثناء أي عمليات مسح مجدولة للموقع ، ستتلقى رسالة بريد إلكتروني إذا اكتشف iThemes Security Pro أي ثغرات أمنية معروفة. سيبدو البريد الإلكتروني مثل هذا.

احصل على iThemes Security Pro لتأمين موقعك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

هل فاتك أي من تقارير الضعف في ووردبريس لشهر يونيو؟

اللحاق أدناه:

• يونيو 2021 ، الجزء الأول
• يونيو 2021 ، الجزء الثاني

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.