تقرير ثغرات WordPress: مايو 2021 ، الجزء 4
نشرت: 2021-05-27المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
يأتي هذا الشهر بإصدار أمان WordPress 5.7.2 مع مشكلة أمنية واحدة تؤثر على إصدارات WordPress بين 3.7 و 5.7. إذا لم تكن قد قمت بالتحديث إلى الإصدار 5.7 ، فقد تم أيضًا تحديث جميع إصدارات WordPress منذ الإصدار 3.7 لإصلاح إدخال كائن في مشكلة أمان PHPMailer.
1. الإصدار الأمني لـ WordPress 5.7.2
الثغرة الأمنية : حقن الكائن في PHPMailer
مصححة في الإصدار : 5.7.2
شدة نقاط: متوسط
نقاط الضعف في البرنامج المساعد WordPress
1. قمع البناء بواسطة CartFlows
البرنامج المساعد: Funnel Builder by CartFlows
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 1.6.13
درجة الخطورة : متوسطة
2. تمرير الصفحة لأعلى / لأسفل بشكل سلس
البرنامج المساعد: Smooth Scroll Page Up / Down Buttons
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 1.4.1
شدة نقاط: متوسط
3. البرنامج المساعد للصور الفورية ووردبريس
البرنامج المساعد: Instant Images WordPress Plugin
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة والمصادق عليها و XFS
مصححة في الإصدار : 4.4.0.1
شدة نقاط: متوسط
4. CM Registration Pro
البرنامج المساعد: CM Registration Pro
الضعف : حقن كائن PHP
مصححة في الإصدار : 3.2.1
شدة نقاط: متوسط
5. الفسفور الابيض الصلاة
البرنامج المساعد: WP Prayer
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 1.6.2
شدة نقاط: ارتفاع
6. إحصائيات الفسفور الابيض
البرنامج المساعد: WP Statistics
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 13.0.8
شدة نقاط: ارتفاع
7. سجل الرحلة
البرنامج المساعد: FlightLog
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع
8. تضمين الفيديو
البرنامج المساعد: FlightLog
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف
شدة نقاط: ارتفاع
ثغرات ثغرات سمة WordPress
1. خدمات تصليح السيارات
الموضوع: خدمات تصليح السيارات
الضعف : البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها و XFS
مصححة في الإصدار : 4.0.1
شدة نقاط: ارتفاع
ملاحظة حول الإفصاح المسؤول
قد تتساءل عن سبب الكشف عن ثغرة أمنية إذا كانت تمنح المتسللين فرصة للهجوم. حسنًا ، من الشائع جدًا أن يقوم الباحث الأمني باكتشاف الثغرة الأمنية والإبلاغ عنها بشكل خاص إلى مطور البرامج.
مع الإفصاح المسؤول ، يتم إعداد التقرير الأولي للباحث بشكل خاص لمطوري الشركة التي تمتلك البرنامج ، ولكن مع الاتفاق على نشر التفاصيل الكاملة بمجرد إتاحة التصحيح. بالنسبة إلى الثغرات الأمنية الكبيرة ، قد يكون هناك تأخير طفيف في الكشف عن الثغرة لمنح المزيد من الأشخاص الوقت للتصحيح.
قد يوفر الباحث الأمني موعدًا نهائيًا لمطور البرامج للرد على التقرير أو تقديم تصحيح. إذا لم يتم الوفاء بهذا الموعد النهائي ، فقد يكشف الباحث علنًا عن الثغرة الأمنية للضغط على المطور لإصدار تصحيح.
قد يبدو الكشف علنًا عن ثغرة أمنية وتقديم ثغرة Zero-Day - وهو نوع من الثغرات التي ليس لها رقعة ويتم استغلالها في البرية - يؤدي إلى نتائج عكسية. لكنها الرافعة الوحيدة التي يجب على الباحث الضغط عليها للضغط على المطور لإصلاح الثغرة الأمنية.
إذا اكتشف المتسلل الثغرة الأمنية ، فيمكنه استخدام برنامج Exploit بهدوء والتسبب في ضرر للمستخدم النهائي (هذا أنت) ، بينما يظل مطور البرامج محتفظًا بترك الثغرة الأمنية دون إصلاح. يحتوي Project Zero من Google على إرشادات مماثلة عندما يتعلق الأمر بالكشف عن نقاط الضعف. ينشرون التفاصيل الكاملة للثغرة الأمنية بعد 90 يومًا سواء تم تصحيحها أم لا.
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
يعد ماسح الموقع الخاص بالمكوِّن الإضافي iThemes Security Pro طريقة رائعة لتأمين موقع WordPress الخاص بك وحمايته من السبب الأول لجميع عمليات اختراق البرامج: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة.
يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.
3 أنواع من ثغرات WordPress تم التحقق منها بواسطة iThemes Security Pro
- ثغرات WordPress
- ثغرات البرنامج المساعد
- ثغرات الموضوع
لتمكين Site Scan في عمليات التثبيت الجديدة ، انتقل إلى إعدادات iThemes Security Pro وانقر فوق الزر Enable في وحدة إعدادات Site Scan .
لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على Site Scan Widget الموجود على الشريط الجانبي الأيمن لإعدادات الأمان.
سيتم عرض نتائج Site Scan في الأداة.
إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.
في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.
يمكن أن يكون هناك تأخير بين وقت توفر التصحيح وتحديث قاعدة بيانات ثغرات أمان iThemes لتعكس الإصلاح. في هذه الحالة ، يمكنك كتم صوت الإشعار لعدم تلقي المزيد من التنبيهات المتعلقة بالثغرة الأمنية.
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
تابع التقارير السابقة عن ثغرات WordPress لشهر مايو 2021
هل فاتك تقرير؟ فيما يلي تقارير مايو 2021.
- مايو 2021 الجزء 3
- مايو 2021 الجزء الثاني
- مايو 2021 الجزء الأول
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
