تقرير ثغرات WordPress: مايو 2021 ، الجزء الثاني

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تتضمن كل ثغرة أمنية تصنيف درجة الخطورة " منخفض" أو " متوسط" أو " عالي" أو " حرج" . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع!

نقاط الضعف الأساسية في ووردبريس

نقاط الضعف في البرنامج المساعد WordPress

1. تغيير لغة المسؤول البسيط

البرنامج المساعد: تغيير لغة المسؤول البسيط
الثغرة الأمنية : تغيير تعسفي في لغة المستخدم
مصححة في الإصدار : 2.0.2
شدة التقييم: 4.3 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.0.2+.

2. شحن إلى Ecourier

البرنامج المساعد: اشحن إلى eCourier
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : 1.0.2
شدة التقييم: 5.4 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.2+.

3. الطرود المقتفي eCourier

البرنامج المساعد: Parcel Tracker eCourier
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : 1.0.2
شدة التقييم: 5.4 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.2+.

4. منتج PickPlugins المنزلق لـ WooCommerce

البرنامج المساعد: PickPlugins Product Slider for WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.13.22
شدة التقييم: 7.1 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.13.22+.

5. هناء فلف بلاير

البرنامج المساعد: Hana Flv Player
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة التقييم: 3.8 منخفضة

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

6. Hotjar Connecticator

البرنامج المساعد: Hotjar Connecticator
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
شدة التقييم: 3.8 منخفضة

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

7. GA Google Analytics

البرنامج المساعد: GA Google Analytics
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة التقييم: 5.9 المتوسطة

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

8. الهدف البرنامج المساعد الأول

البرنامج المساعد: الهدف البرنامج المساعد الأول
الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة غير مصادق عليها عبر مفتاح الترخيص
مصححة في الإصدار : 1.0
شدة التقييم: 7.2 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0+.

9. Leads-5050 Visitor Insights

البرنامج المساعد: Leads-5050 Visitor Insights
الضعف : تغيير الترخيص غير المصرح به
مصححة في الإصدار : 1.1.0
شدة التقييم: 7.1 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.1.0+.

10. DSGVO الكل في واحد ل WP

البرنامج المساعد: DSGVO الكل في واحد لـ WP
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 4.0.1
شدة التقييم: 8.3 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.0+.

11. UltimateWoo

البرنامج المساعد: UltimateWoo
الضعف : حقن كائن PHP
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
شدة التقييم: 5.6 المتوسطة

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

12. العضو النهائي

البرنامج المساعد: Ultimate Member
الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
مصححة في الإصدار : 2.1.20
شدة التقييم: 4.4 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.1.20+.

13. التحسين التلقائي

البرنامج المساعد: التحسين التلقائي
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 2.8.4
شدة التقييم: 6.6 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.8.4+.

14. Zlick Paywall

البرنامج المساعد: Zlick Paywall
الضعف : تجاوزات CSRF
مصححة في الإصدار : 2.2.2
شدة التقييم: 3.1 منخفضة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.2.2+.

15. ThemeHigh WooCommerce قائمة الرغبات والمقارنة

البرنامج المساعد: ThemeHigh WooCommerce قائمة الرغبات والمقارنة
الثغرة الأمنية : مكالمة AJAX غير مصرح بها
مصححة في الإصدار : 1.0.5
شدة التقييم: 7.2 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.5+.

16. هدايا بسيطة

البرنامج المساعد: هدايا بسيطة
الضعف : برمجة نصية عاكسة عبر المواقع غير مصادق عليها
مصححة في الإصدار : 2.36.2
شدة التقييم: 7.1 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.36.2+.

17. حجوزات مطعم ReDi

البرنامج المساعد: ReDi Restaurant Reservations
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 21.0426
شدة التقييم: 7.1 السامي

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 21.0426+.

18. الكل في واحد SEO Pack

البرنامج المساعد: All in One SEO Pack
الضعف : تنفيذ التعليمات البرمجية عن بعد
مصححة في الإصدار : 4.1.0.2
شدة التقييم: 6.6 المتوسطة

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.1.0.2+.

19. LifterLMS

البرنامج المساعد: LifterLMS
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها في تحرير ملف التعريف
مصححة في الإصدار : 4.21.1
شدة التقييم: 7.4 السامي

الثغرة الأمنية : البرمجة النصية عبر المواقع المنعكسة عبر رمز القسيمة في الخروج
مصححة في الإصدار : 4.21.1
درجة الخطورة : 6.1 متوسط

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.21.1+.

ثغرات ثغرات سمة WordPress

ملاحظة حول الإفصاح المسؤول

قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا للباحث الأمني ​​أن يكتشف الثغرة الأمنية ويبلغ عنها بشكل خاص لمطور البرامج قبل طرحها للعامة.

مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر

هناك ثلاث طرق رائعة لحماية مواقع الويب الخاصة بك تلقائيًا من السمات والمكونات الإضافية الضعيفة:

1. تمكين التحديثات التلقائية للمكونات الإضافية والسمات
2. ماسح الموقع لبرنامج iThemes Security Pro
3. إدارة الإصدار في أمان iThemes

1. قم بتمكين التحديثات التلقائية للمكونات الإضافية والسمات

بدءًا من الإصدار 5.5 من WordPress ، يمكنك تمكين التحديثات التلقائية للمكونات الإضافية والسمات. لماذا يتم إدخال التحديثات التلقائية في نواة WordPress؟ لا تزال المكونات الإضافية والقوالب القديمة هي السبب الأول وراء اختراق مواقع WordPress. غالبًا ما تتضمن إصدارات الإصدار تصحيحات أمان مهمة لإغلاق الثغرات الأمنية (ما عليك سوى التحقق من عدد مشكلات الأمان المتعلقة بالسمات والمكونات الإضافية التي يتم الكشف عنها من شهر لآخر في تقرير الثغرات الأمنية في WordPress). هذا هو السبب في أن تشغيل أحدث إصدار من أي مكون إضافي أو موضوع قمت بتثبيته على موقعك هو أفضل ممارسة للأمان.

الآن سيتيح لك WordPress الأساسي تعيين المكونات الإضافية والسمات للتحديث تلقائيًا من مسؤول WordPress الخاص بك> المكونات الإضافية> الإضافات المثبتة والمظهر> صفحات السمات. بهذه الطريقة ، يمكنك دائمًا معرفة أن موقعك يعمل بأحدث رمز متاح.

2. قم بتنشيط فاحص موقع iThemes Security Pro Plugin

يعد ماسح الموقع الخاص بالمكون الإضافي iThemes Security Pro طريقة أخرى لتأمين وحماية موقع WordPress الخاص بك من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

الأنواع الثلاثة من ثغرات WordPress التي تم التحقق منها بواسطة ماسح موقع iThemes Security Pro:

1. نقاط الضعف الأساسية في ووردبريس
2. ثغرات البرنامج المساعد
3. ثغرات الموضوع

لتمكين Site Scan على موقعك ، انتقل إلى إعدادات iThemes Security Pro وانقر فوق الزر Enable في وحدة إعدادات Site Scan .

لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على Site Scan Widget الموجود على الشريط الجانبي الأيمن لإعدادات الأمان.

سيتم عرض نتائج Site Scan في الأداة.

إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.

في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.

يمكن أن يكون هناك تأخير بين وقت توفر التصحيح وتحديث قاعدة بيانات ثغرات أمان iThemes لتعكس الإصلاح. في هذه الحالة ، يمكنك كتم صوت الإشعار لعدم تلقي المزيد من التنبيهات المتعلقة بالثغرة الأمنية.

3. قم بتمكين إدارة الإصدار في iThemes Security Pro

تتيح لك ميزة إدارة الإصدار في iThemes Security Pro مزيدًا من التحكم في التحديثات التلقائية لـ WordPress والمكونات الإضافية والسمات.

فيما يلي الطرق الثلاث التي توفر بها إدارة إصدارات iThemes Security Pro مرونة أكبر مقارنةً بالتحديثات التلقائية لـ WordPress.

1. إدارة المكونات الإضافية والقوالب المبسطة - قم بإدارة جميع تحديثات المكون الإضافي والسمات من إعدادات إدارة الإصدار.
2. أضف فترات تأخير مخصصة لتحديثات المكونات الإضافية والقوالب - توفر التحديثات التلقائية لـ WordPress فقط خيار تطبيق التحديثات على الفور. يسمح لك برنامج جدولة التحديث بإنشاء تأخير مخصص. يمكن أن يكون التأخير خيارًا جيدًا للمكونات الإضافية أو السمات التي تميل إلى الحاجة إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد الإصدار الرئيسي.
3. قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة - قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة. يعد هذا الخيار مثاليًا إذا كنت ترغب في تشغيل جميع التحديثات يدويًا ولكنك ترغب في تلقي تصحيحات الأمان على الفور.

علاوة على ذلك ، فإن إدارة الإصدارات لديها أيضًا خيارات لتقوية موقع الويب الخاص بك عند تشغيل برامج قديمة والبحث عن مواقع الويب القديمة.

لبدء استخدام إدارة الإصدار ، قم بتمكين الوحدة النمطية في الصفحة الرئيسية لإعدادات الأمان.

انقر الآن على زر تكوين الإعدادات لإلقاء نظرة فاحصة على الإعدادات.

• تحديثات WordPress - قم تلقائيًا بتثبيت أحدث إصدار من WordPress.
• تحديثات البرنامج المساعد - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة المكونات الإضافية للتحديث التلقائي لـ WordPress لمنع التعارضات.
• تحديثات السمة - قم بتثبيت آخر تحديثات السمة تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة سمة التحديث التلقائي لـ WordPress لمنع التعارضات.
• تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر.
  • إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى.
  • قم بتعطيل WP File Editor (الذي يمنع الأشخاص من تحرير المكوّن الإضافي أو رمز السمة).
  • تعطيل XML-RPC pingbacks ، وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).

• المسح بحثًا عن مواقع WordPress القديمة - قم بإجراء فحص يومي لحساب الاستضافة لمواقع WordPress القديمة التي قد تسمح للمهاجمين بخرق الخادم. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
• التحديث التلقائي إذا كان يعمل على إصلاح الثغرة الأمنية - يعمل هذا الخيار جنبًا إلى جنب مع iThemes Security Pro Site Scan للتحقق من موقع الويب الخاص بك بحثًا عن ثغرات أمنية معروفة في WordPress والمكوِّن الإضافي والسمات وتطبيق التصحيح عند توفرها.

الآن دعنا نلقي نظرة فاحصة على تكوين تحديثات المكون الإضافي والسمات. قبل أن نبدأ ، أردت أن أعطي تذكيرًا سريعًا بأن تمكين إعدادات المكون الإضافي وتحديث السمة سيعطل ميزة التحديث التلقائي لـ WordPress لمنع التعارضات.

تحتوي كل من إعدادات تحديث المكون الإضافي والمكون الإضافي على ثلاثة خيارات.

1. فارغ / لا شيء - سيسمح ترك الإعداد فارغًا لـ WordPress بإدارة تحديثات المكون الإضافي والقالب.
2. مخصص - يسمح لك الخيار المخصص بتخصيص التحديثات بدقة حسب رغبتك. سوف نغطي هذا أكثر في وقت قصير.
3. الكل - ستعمل الكل على تحديث جميع المكونات الإضافية أو السمات بمجرد توفر تحديث.

الآن دعنا نلقي نظرة فاحصة على الخيار المخصص .

يوفر تحديد الخيار المخصص ثلاثة خيارات مختلفة لتحديثات المكون الإضافي والسمات الخاصة بك.

1. تمكين - اختر المكونات الإضافية التي تريد تحديثها فورًا بعد إصدار جديد.
2. تعطيل - استخدم هذا الخيار للمكونات الإضافية التي تريد تحديثها يدويًا.
3. التأخير - يتيح لك خيار التأخير تعيين عدد الأيام التي تريد تأخير تحديث الإصدار فيها. يمكن أن يكون هذا خيارًا جيدًا للمطورين الذين يحتاجون إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد إصدار رئيسي.

احصل على iThemes Security Pro اليوم

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.