تقرير ثغرات WordPress: مايو 2021 ، الجزء 3
نشرت: 2021-05-19المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
شهدنا هذا الأسبوع إصدارًا أمنيًا لـ WordPress 5.7.2 مع مشكلة أمنية واحدة تؤثر على إصدارات WordPress بين 3.7 و 5.7. إذا لم تكن قد قمت بالتحديث إلى الإصدار 5.7 ، فقد تم أيضًا تحديث جميع إصدارات WordPress منذ الإصدار 3.7 لإصلاح إدخال كائن في مشكلة أمان PHPMailer.
1. الإصدار الأمني لـ WordPress 5.7.2
الثغرة الأمنية : حقن الكائن في PHPMailer
مصححة في الإصدار : 5.7.2
شدة نقاط: متوسط
نقاط الضعف في البرنامج المساعد WordPress
1. معرض الصور
البرنامج المساعد: معرض الصور
الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة ومصادق عليها عبر عنوان المعرض
مصححة في الإصدار : 1.5.67
درجة الخطورة : متوسطة
2. الجدول الأسبوعي
البرنامج المساعد: الجدول الأسبوعي
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 3.4.3
شدة نقاط: متوسط
3. الوسائط الخارجية
البرنامج المساعد: وسائط خارجية
الثغرة الأمنية : تحميل ملف تعسفي مصدق عليه
مصححة في الإصدار : 1.0.34
شدة نقاط: الحرجة
4. WP Super Cache
البرنامج المساعد: WP Super Cache
الثغرة الأمنية : تنفيذ التعليمات البرمجية المصادق عليه عن بعد
مصححة في الإصدار : 1.7.3
شدة نقاط: ارتفاع
5. نسخ احتياطي لقاعدة البيانات لبرنامج WordPress
البرنامج المساعد: النسخ الاحتياطي لقاعدة البيانات لـ WordPress
الثغرة الأمنية : البرمجة النصية المستمرة عبر المواقع المصادق عليها
مصححة في الإصدار : 2.4.2
شدة نقاط: متوسط
ثغرات ثغرات سمة WordPress
1. متوسط
الموضوع: متوسط
الضعف : برمجة نصية عاكسة عبر المواقع غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: متوسط
2. Listeo
الموضوع: Listeo
الثغرات الأمنية : نقاط ضعف متعددة في XSS و XFS
مصححة في الإصدار : 1.6.11
شدة نقاط: متوسط
الثغرات الأمنية : نقاط ضعف IDOR متعددة مصادق عليها
مصححة في الإصدار : 1.6.11
درجة الخطورة : متوسطة
3. بيلو
الموضوع: Listeo
الثغرة الأمنية : XSS و XFS مصدق عليهما
مصححة في الإصدار : 1.6.0
شدة نقاط: متوسط
الضعف : XSS و XFS المنعكسان غير المصادق عليهما
مصححة في الإصدار : 1.6.0
درجة الخطورة : متوسطة
الثغرة الأمنية : حقن SQL عمياء غير مصدق
مصححة في الإصدار : 1.6.0
درجة الخطورة : حرجة
ملاحظة حول الإفصاح المسؤول
قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.
مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.
قد يوفر الباحث الأمني موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.
قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.
إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
يعد ماسح الموقع الخاص بالمكون الإضافي iThemes Security Pro طريقة أخرى لتأمين وحماية موقع WordPress الخاص بك من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.
تم فحص الأنواع الثلاثة من نقاط الضعف في WordPress
- ثغرات WordPress
- ثغرات البرنامج المساعد
- ثغرات الموضوع
لتمكين Site Scan في عمليات التثبيت الجديدة ، انتقل إلى إعدادات iThemes Security Pro وانقر فوق الزر Enable في وحدة إعدادات Site Scan .
لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على Site Scan Widget الموجود على الشريط الجانبي الأيمن لإعدادات الأمان.
سيتم عرض نتائج Site Scan في الأداة.
إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.
في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.
يمكن أن يكون هناك تأخير بين وقت توفر التصحيح وتحديث قاعدة بيانات ثغرات أمان iThemes لتعكس الإصلاح. في هذه الحالة ، يمكنك كتم صوت الإشعار لعدم تلقي المزيد من التنبيهات المتعلقة بالثغرة الأمنية.
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
