تقرير ثغرات WordPress: تشرين الثاني (نوفمبر) 2021 ، الجزء 3
نشرت: 2021-11-20المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
1. WordPress
الثغرة الأمنية : شهادة DST Root CA X3 منتهية الصلاحية
مصححة في الإصدار : 5.8.2
Explanation: يحتوي ملف wp-include / الشهادات / ca-bundle.crt على DST Root CA X3 الذي انتهت صلاحيته في 30 سبتمبر 2021 ، مما رفع تحذير الأمان في بعض الحالات.
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. التسجيلات لتقويم الأحداث
البرنامج المساعد: التسجيلات لتقويم الأحداث
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 2.7.6
درجة الخطورة : مرتفع
2. تسجيل الدخول
البرنامج المساعد: LoginWP
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.0.0.5
درجة الخطورة : مرتفع
3. WooCommerce Currency Switcher
البرنامج المساعد: WooCommerce Currency Switcher
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.7.1
درجة الخطورة : متوسطة
4. تأمين حماية نسخ المحتوى وتأمين المحتوى
البرنامج المساعد: حماية محتوى النسخ الآمن وتأمين المحتوى
الضعف : المشترك + الإفصاح عن عنوان البريد الإلكتروني
مصححة في الإصدار : 2.8.2
درجة الخطورة : مرتفع
5. كتاب
البرنامج المساعد: Bookly
قابلية التأثر : برمجة نصية عبر المواقع مخزنة لدى الموظف
مصححة في الإصدار : 20.3.1
درجة الخطورة : متوسطة
6. سجل البريد الإلكتروني
البرنامج المساعد: سجل البريد الإلكتروني
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.4.8
درجة الخطورة : مرتفع
7. Tawk.to الدردشة الحية
البرنامج المساعد: Tawk.to Live Chat
الضعف : المشترك + مراقبة الزوار وإزالة الدردشة
مصححة في الإصدار : 0.6.0
درجة الخطورة : مرتفع
8. WP الوصول إلى البيانات
البرنامج المساعد: WP Data Access
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 5.0.0
درجة الخطورة : مرتفع
9. عارض PDF.js
البرنامج المساعد: عارض PDF.js
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.0.2
درجة الخطورة : متوسطة
10. النسخ الاحتياطي والاستعادة
البرنامج المساعد: النسخ الاحتياطي والاستعادة
الثغرة الأمنية : المسؤول + حذف الملف التعسفي
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
11. LearnPress
البرنامج المساعد: LearnPress
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 4.1.4
درجة الخطورة : متوسطة
12. الحصول على قيم الحقول المخصصة
البرنامج المساعد: احصل على قيم الحقول المخصصة
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 4.0.1
درجة الخطورة : متوسطة
13. باقة الحجز
البرنامج المساعد: حزمة الحجز
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.5.11
درجة الخطورة : متوسطة
14. مثل زر التصويت
البرنامج المساعد: مثل زر التصويت
الضعف : تصدير تصويت غير مصرح به إلى البريد الإلكتروني وكشف عناوين IP
مصححة في الإصدار : 2.6.38
درجة الخطورة : مرتفع
15. أشكال كالديرا
البرنامج المساعد: نماذج كالديرا
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.9.5
درجة الخطورة : منخفضة
16. قوالب المبتدئين
البرنامج المساعد: قوالب المبتدئين
الثغرة الأمنية : مساهم + حظر الاستيراد إلى XSS المخزن
مصححة في الإصدار : 2.7.1
درجة الخطورة : مرتفع
17. البريد الإلكتروني لنموذج الاتصال
البرنامج المساعد: نموذج الاتصال البريد الإلكتروني
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.3.25
درجة الخطورة : منخفضة
18. معرض الفيديو - Vimeo و YouTube Gallery
البرنامج المساعد: معرض الفيديو - Vimeo و YouTube Gallery
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.1.5
درجة الخطورة : منخفضة
19. ووردبريس الشعبية المشاركات
البرنامج المساعد: WordPress Popular Posts
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 5.3.4
درجة الخطورة : منخفضة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. مراقبة تغييرات الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.