تقرير ثغرات WordPress: مايو 2021 ، الجزء 4

نشرت: 2021-05-27

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.

في تقرير الجزء الرابع من شهر مايو
    اشترك في النشرة الإخبارية الأسبوعية لأخبار وتحديثات أمان WordPress
    إشترك الآن

    نقاط الضعف الأساسية في ووردبريس

    يأتي هذا الشهر بإصدار أمان WordPress 5.7.2 مع مشكلة أمنية واحدة تؤثر على إصدارات WordPress بين 3.7 و 5.7. إذا لم تكن قد قمت بالتحديث إلى الإصدار 5.7 ، فقد تم أيضًا تحديث جميع إصدارات WordPress منذ الإصدار 3.7 لإصلاح إدخال كائن في مشكلة أمان PHPMailer.

    1. الإصدار الأمني ​​لـ WordPress 5.7.2

    الثغرة الأمنية : حقن الكائن في PHPMailer
    مصححة في الإصدار : 5.7.2
    شدة نقاط: متوسط

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك تحديث جميع مواقعك اليوم إلى WordPress 5.7.2.

    نقاط الضعف في البرنامج المساعد WordPress

    1. قمع البناء بواسطة CartFlows

    البرنامج المساعد: Funnel Builder by CartFlows
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 1.6.13
    درجة الخطورة : متوسطة

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.6.13+.

    2. تمرير الصفحة لأعلى / لأسفل بشكل سلس

    البرنامج المساعد: Smooth Scroll Page Up / Down Buttons
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 1.4.1
    شدة نقاط: متوسط

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.4+.

    3. البرنامج المساعد للصور الفورية ووردبريس

    البرنامج المساعد: Instant Images WordPress Plugin
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة والمصادق عليها و XFS
    مصححة في الإصدار : 4.4.0.1
    شدة نقاط: متوسط

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.4.0.1+.

    4. CM Registration Pro

    البرنامج المساعد: CM Registration Pro
    الضعف : حقن كائن PHP
    مصححة في الإصدار : 3.2.1
    شدة نقاط: متوسط

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 3.2.1+.

    5. الفسفور الابيض الصلاة

    البرنامج المساعد: WP Prayer
    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 1.6.2
    شدة نقاط: ارتفاع

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.6.2+.

    6. إحصائيات الفسفور الابيض

    البرنامج المساعد: WP Statistics
    الثغرة الأمنية : حقن SQL غير مصدق
    مصححة في الإصدار : 13.0.8
    شدة نقاط: ارتفاع

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 13.0.8+.

    7. سجل الرحلة

    البرنامج المساعد: FlightLog
    الثغرة الأمنية : حقن SQL مصدق عليه
    مصححة في الإصدار : لا يوجد إصلاح معروف
    شدة نقاط: ارتفاع

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    8. تضمين الفيديو

    البرنامج المساعد: FlightLog
    الثغرة الأمنية : حقن SQL مصدق عليه
    مصححة في الإصدار : لا يوجد إصلاح معروف
    شدة نقاط: ارتفاع

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    ثغرات ثغرات سمة WordPress

    1. خدمات تصليح السيارات

    الموضوع: خدمات تصليح السيارات
    الضعف : البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها و XFS
    مصححة في الإصدار : 4.0.1
    شدة نقاط: ارتفاع

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.0+.

    ملاحظة حول الإفصاح المسؤول

    قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني ​​باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.

    مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.

    قد يوفر الباحث الأمني ​​موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.

    قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.

    إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.

    كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر

    يعد ماسح الموقع الخاص بالمكوِّن الإضافي iThemes Security Pro طريقة رائعة لتأمين موقع WordPress الخاص بك وحمايته من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة.

    يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.

    3 أنواع من ثغرات WordPress تم التحقق منها بواسطة iThemes Security Pro

    1. ثغرات WordPress
    2. ثغرات البرنامج المساعد
    3. ثغرات الموضوع

    لتمكين Site Scan في عمليات التثبيت الجديدة ، انتقل إلى إعدادات iThemes Security Pro وانقر فوق الزر Enable في وحدة إعدادات Site Scan .

    لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على Site Scan Widget الموجود على الشريط الجانبي الأيمن لإعدادات الأمان.

    سيتم عرض نتائج Site Scan في الأداة.

    إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.

    في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.

    يمكن أن يكون هناك تأخير بين وقت توفر التصحيح وتحديث قاعدة بيانات ثغرات أمان iThemes لتعكس الإصلاح. في هذه الحالة ، يمكنك كتم صوت الإشعار لعدم تلقي المزيد من التنبيهات المتعلقة بالثغرة الأمنية.

    هام: لا يجب كتم صوت إشعار الثغرة الأمنية حتى تؤكد أن إصدارك الحالي يتضمن إصلاحًا أمنيًا ، أو لا تؤثر الثغرة الأمنية على موقعك.

    يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

    احصل على iThemes Security Pro

    تابع التقارير السابقة عن ثغرات WordPress لشهر مايو 2021

    هل فاتك تقرير؟ فيما يلي تقارير مايو 2021.

    • مايو 2021 الجزء 3
    • مايو 2021 الجزء الثاني
    • مايو 2021 الجزء الأول
    تقرير نقاط الضعف في ووردبريس