تقرير ثغرات WordPress: مايو 2021 ، الجزء الثاني

نشرت: 2021-05-14

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تتضمن كل ثغرة أمنية تصنيف درجة الخطورة " منخفض" أو " متوسط" أو " عالي" أو " حرج" . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع!

في تقرير الجزء الثاني لشهر مايو

    نقاط الضعف الأساسية في ووردبريس

    لم يتم الكشف عن ثغرات أمنية جديدة في WordPress هذا الشهر.

    نقاط الضعف في البرنامج المساعد WordPress

    1. تغيير لغة المسؤول البسيط

    البرنامج المساعد: تغيير لغة المسؤول البسيط
    الثغرة الأمنية : تغيير تعسفي في لغة المستخدم
    مصححة في الإصدار : 2.0.2
    شدة التقييم: 4.3 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.0.2+.

    2. شحن إلى Ecourier

    البرنامج المساعد: اشحن إلى eCourier
    الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
    مصححة في الإصدار : 1.0.2
    شدة التقييم: 5.4 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.2+.

    3. الطرود المقتفي eCourier

    البرنامج المساعد: Parcel Tracker eCourier
    الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
    مصححة في الإصدار : 1.0.2
    شدة التقييم: 5.4 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.2+.

    4. منتج PickPlugins المنزلق لـ WooCommerce

    البرنامج المساعد: PickPlugins Product Slider for WooCommerce
    الضعف : انعكاس البرمجة عبر المواقع
    مصححة في الإصدار : 1.13.22
    شدة التقييم: 7.1 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.13.22+.

    5. هناء فلف بلاير

    البرنامج المساعد: Hana Flv Player
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : لا يوجد إصلاح معروف
    شدة التقييم: 3.8 منخفضة

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    6. Hotjar Connecticator

    البرنامج المساعد: Hotjar Connecticator
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
    شدة التقييم: 3.8 منخفضة

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    7. GA Google Analytics

    البرنامج المساعد: GA Google Analytics
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : لا يوجد إصلاح معروف
    شدة التقييم: 5.9 المتوسطة

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    8. الهدف البرنامج المساعد الأول

    البرنامج المساعد: الهدف البرنامج المساعد الأول
    الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة غير مصادق عليها عبر مفتاح الترخيص
    مصححة في الإصدار : 1.0
    شدة التقييم: 7.2 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0+.

    9. Leads-5050 Visitor Insights

    البرنامج المساعد: Leads-5050 Visitor Insights
    الضعف : تغيير الترخيص غير المصرح به
    مصححة في الإصدار : 1.1.0
    شدة التقييم: 7.1 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.1.0+.

    10. DSGVO الكل في واحد ل WP

    البرنامج المساعد: DSGVO الكل في واحد لـ WP
    الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
    مصححة في الإصدار : 4.0.1
    شدة التقييم: 8.3 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.0+.

    11. UltimateWoo

    البرنامج المساعد: UltimateWoo
    الضعف : حقن كائن PHP
    مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
    شدة التقييم: 5.6 المتوسطة

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    12. العضو النهائي

    البرنامج المساعد: Ultimate Member
    الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
    مصححة في الإصدار : 2.1.20
    شدة التقييم: 4.4 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.1.20+.

    13. التحسين التلقائي

    البرنامج المساعد: التحسين التلقائي
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 2.8.4
    شدة التقييم: 6.6 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.8.4+.

    14. Zlick Paywall

    البرنامج المساعد: Zlick Paywall
    الضعف : تجاوزات CSRF
    مصححة في الإصدار : 2.2.2
    شدة التقييم: 3.1 منخفضة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.2.2+.

    15. ThemeHigh WooCommerce قائمة الرغبات والمقارنة

    البرنامج المساعد: ThemeHigh WooCommerce قائمة الرغبات والمقارنة
    الثغرة الأمنية : مكالمة AJAX غير مصرح بها
    مصححة في الإصدار : 1.0.5
    شدة التقييم: 7.2 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.0.5+.

    16. هدايا بسيطة

    البرنامج المساعد: هدايا بسيطة
    الضعف : برمجة نصية عاكسة عبر المواقع غير مصادق عليها
    مصححة في الإصدار : 2.36.2
    شدة التقييم: 7.1 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.36.2+.

    17. حجوزات مطعم ReDi

    البرنامج المساعد: ReDi Restaurant Reservations
    الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
    مصححة في الإصدار : 21.0426
    شدة التقييم: 7.1 السامي

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 21.0426+.

    18. الكل في واحد SEO Pack

    البرنامج المساعد: All in One SEO Pack
    الضعف : تنفيذ التعليمات البرمجية عن بعد
    مصححة في الإصدار : 4.1.0.2
    شدة التقييم: 6.6 المتوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.1.0.2+.

    19. LifterLMS

    البرنامج المساعد: LifterLMS
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها في تحرير ملف التعريف
    مصححة في الإصدار : 4.21.1
    شدة التقييم: 7.4 السامي

    الثغرة الأمنية : البرمجة النصية عبر المواقع المنعكسة عبر رمز القسيمة في الخروج
    مصححة في الإصدار : 4.21.1
    درجة الخطورة : 6.1 متوسط

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.21.1+.

    ثغرات ثغرات سمة WordPress

    لم يتم الكشف عن أي ثغرات أمنية جديدة هذا الشهر.

    ملاحظة حول الإفصاح المسؤول

    قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا للباحث الأمني ​​أن يكتشف الثغرة الأمنية ويبلغ عنها بشكل خاص لمطور البرامج قبل طرحها للعامة.

    مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

    قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

    قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

    إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

    كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر

    هناك ثلاث طرق رائعة لحماية مواقع الويب الخاصة بك تلقائيًا من السمات والمكونات الإضافية الضعيفة:

    1. تمكين التحديثات التلقائية للمكونات الإضافية والسمات
    2. ماسح الموقع لبرنامج iThemes Security Pro
    3. إدارة الإصدار في أمان iThemes

    1. قم بتمكين التحديثات التلقائية للمكونات الإضافية والسمات

    بدءًا من الإصدار 5.5 من WordPress ، يمكنك تمكين التحديثات التلقائية للمكونات الإضافية والسمات. لماذا يتم إدخال التحديثات التلقائية في نواة WordPress؟ لا تزال المكونات الإضافية والقوالب القديمة هي السبب الأول وراء اختراق مواقع WordPress. غالبًا ما تتضمن إصدارات الإصدار تصحيحات أمان مهمة لإغلاق الثغرات الأمنية (ما عليك سوى التحقق من عدد مشكلات الأمان المتعلقة بالسمات والمكونات الإضافية التي يتم الكشف عنها من شهر لآخر في تقرير الثغرات الأمنية في WordPress). هذا هو السبب في أن تشغيل أحدث إصدار من أي مكون إضافي أو موضوع قمت بتثبيته على موقعك هو أفضل ممارسة للأمان.

    الآن سيتيح لك WordPress الأساسي تعيين المكونات الإضافية والسمات للتحديث تلقائيًا من مسؤول WordPress الخاص بك> المكونات الإضافية> الإضافات المثبتة والمظهر> صفحات السمات. بهذه الطريقة ، يمكنك دائمًا معرفة أن موقعك يعمل بأحدث رمز متاح.

    2. قم بتنشيط فاحص موقع iThemes Security Pro Plugin

    يعد ماسح الموقع الخاص بالمكون الإضافي iThemes Security Pro طريقة أخرى لتأمين وحماية موقع WordPress الخاص بك من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

    الأنواع الثلاثة من ثغرات WordPress التي تم التحقق منها بواسطة ماسح موقع iThemes Security Pro:

    1. نقاط الضعف الأساسية في ووردبريس
    2. ثغرات البرنامج المساعد
    3. ثغرات الموضوع

    لتمكين Site Scan على موقعك ، انتقل إلى إعدادات iThemes Security Pro وانقر فوق الزر Enable في وحدة إعدادات Site Scan .

    لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على Site Scan Widget الموجود على الشريط الجانبي الأيمن لإعدادات الأمان.

    سيتم عرض نتائج Site Scan في الأداة.

    إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.

    في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.

    يمكن أن يكون هناك تأخير بين وقت توفر التصحيح وتحديث قاعدة بيانات ثغرات أمان iThemes لتعكس الإصلاح. في هذه الحالة ، يمكنك كتم صوت الإشعار لعدم تلقي المزيد من التنبيهات المتعلقة بالثغرة الأمنية.

    هام: لا يجب كتم صوت إشعار الثغرة الأمنية حتى تؤكد أن إصدارك الحالي يتضمن إصلاحًا أمنيًا ، أو لا تؤثر الثغرة الأمنية على موقعك.

    3. قم بتمكين إدارة الإصدار في iThemes Security Pro

    تتيح لك ميزة إدارة الإصدار في iThemes Security Pro مزيدًا من التحكم في التحديثات التلقائية لـ WordPress والمكونات الإضافية والسمات.

    فيما يلي الطرق الثلاث التي توفر بها إدارة إصدارات iThemes Security Pro مرونة أكبر مقارنةً بالتحديثات التلقائية لـ WordPress.

    1. إدارة المكونات الإضافية والقوالب المبسطة - قم بإدارة جميع تحديثات المكون الإضافي والسمات من إعدادات إدارة الإصدار.
    2. أضف فترات تأخير مخصصة لتحديثات المكونات الإضافية والقوالب - توفر التحديثات التلقائية لـ WordPress فقط خيار تطبيق التحديثات على الفور. يسمح لك برنامج جدولة التحديث بإنشاء تأخير مخصص. يمكن أن يكون التأخير خيارًا جيدًا للمكونات الإضافية أو السمات التي تميل إلى الحاجة إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد الإصدار الرئيسي.
    3. قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة - قم فقط بتطبيق التحديثات التي تعمل على إصلاح الثغرات الأمنية المعروفة. يعد هذا الخيار مثاليًا إذا كنت ترغب في تشغيل جميع التحديثات يدويًا ولكنك ترغب في تلقي تصحيحات الأمان على الفور.

    علاوة على ذلك ، فإن إدارة الإصدارات لديها أيضًا خيارات لتقوية موقع الويب الخاص بك عند تشغيل برامج قديمة والبحث عن مواقع الويب القديمة.

    لبدء استخدام إدارة الإصدار ، قم بتمكين الوحدة النمطية في الصفحة الرئيسية لإعدادات الأمان.

    انقر الآن على زر تكوين الإعدادات لإلقاء نظرة فاحصة على الإعدادات.

    • تحديثات WordPress - قم تلقائيًا بتثبيت أحدث إصدار من WordPress.
    • تحديثات البرنامج المساعد - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة المكونات الإضافية للتحديث التلقائي لـ WordPress لمنع التعارضات.
    • تحديثات السمة - قم بتثبيت آخر تحديثات السمة تلقائيًا. سيؤدي تمكين هذا الإعداد إلى تعطيل ميزة سمة التحديث التلقائي لـ WordPress لمنع التعارضات.
    • تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر.
      • إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى.
      • قم بتعطيل WP File Editor (الذي يمنع الأشخاص من تحرير المكوّن الإضافي أو رمز السمة).
      • تعطيل XML-RPC pingbacks ، وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
    • المسح بحثًا عن مواقع WordPress القديمة - قم بإجراء فحص يومي لحساب الاستضافة لمواقع WordPress القديمة التي قد تسمح للمهاجمين بخرق الخادم. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
    • التحديث التلقائي إذا كان يعمل على إصلاح الثغرة الأمنية - يعمل هذا الخيار جنبًا إلى جنب مع iThemes Security Pro Site Scan للتحقق من موقع الويب الخاص بك بحثًا عن ثغرات أمنية معروفة في WordPress والمكوِّن الإضافي والسمات وتطبيق التصحيح عند توفرها.

    الآن دعنا نلقي نظرة فاحصة على تكوين تحديثات المكون الإضافي والسمات. قبل أن نبدأ ، أردت أن أعطي تذكيرًا سريعًا بأن تمكين إعدادات المكون الإضافي وتحديث السمة سيعطل ميزة التحديث التلقائي لـ WordPress لمنع التعارضات.

    تحتوي كل من إعدادات تحديث المكون الإضافي والمكون الإضافي على ثلاثة خيارات.

    1. فارغ / لا شيء - سيسمح ترك الإعداد فارغًا لـ WordPress بإدارة تحديثات المكون الإضافي والقالب.
    2. مخصص - يسمح لك الخيار المخصص بتخصيص التحديثات بدقة حسب رغبتك. سوف نغطي هذا أكثر في وقت قصير.
    3. الكل - ستعمل الكل على تحديث جميع المكونات الإضافية أو السمات بمجرد توفر تحديث.

    الآن دعنا نلقي نظرة فاحصة على الخيار المخصص .

    يوفر تحديد الخيار المخصص ثلاثة خيارات مختلفة لتحديثات المكون الإضافي والسمات الخاصة بك.

    1. تمكين - اختر المكونات الإضافية التي تريد تحديثها فورًا بعد إصدار جديد.
    2. تعطيل - استخدم هذا الخيار للمكونات الإضافية التي تريد تحديثها يدويًا.
    3. التأخير - يتيح لك خيار التأخير تعيين عدد الأيام التي تريد تأخير تحديث الإصدار فيها. يمكن أن يكون هذا خيارًا جيدًا للمطورين الذين يحتاجون إلى بعض إصدارات المتابعة لإصلاح المشكلات بعد إصدار رئيسي.

    احصل على iThemes Security Pro اليوم

    يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

    احصل على iThemes Security Pro