تقرير ثغرات WordPress: أكتوبر 2021 ، الجزء الأول
نشرت: 2021-10-06المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.1 تم إصداره كإصدار للأمان والصيانة. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. أدوات WP DSGVO
البرنامج المساعد: أدوات WP DSGVO
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد غير المصدق على البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.1.24 - تم إغلاق المكون الإضافي
شدة نقاط: ارتفاع
2. أسعار كبيرة
البرنامج المساعد: اقتباسات رائعة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
شدة نقاط: منخفضة
3. WP التصحيح
البرنامج المساعد: WP Debugging
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد غير المصدق
مصححة في الإصدار : 2.11.0
شدة نقاط: متوسط
4. تحقق من & تسجيل البريد الإلكتروني
البرنامج المساعد: تحقق من البريد الإلكتروني وسجله
الضعف : المسؤول + حقن SQL
مصححة في الإصدار : 1.0.3
شدة نقاط: متوسط
5. مدير الرابط الثابت لايت
البرنامج المساعد: Permalink Manager Lite
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 2.2.13.1
شدة نقاط: متوسط
6. WooCommerce Product Table Lite
البرنامج المساعد: WooCommerce Product Table Lite
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.4.0
شدة نقاط: متوسط
7. WP Table Builder
البرنامج المساعد: WP Table Builder
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.10
شدة نقاط: ارتفاع
8. منشئ النموذج المرئي
البرنامج المساعد: Visual Form Builder
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.0.4
شدة نقاط: منخفضة
9. NinjaForms
البرنامج المساعد: NinjaForms
الثغرة الأمنية: المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.5.8.2
شدة نقاط: منخفضة
10. موعد
البرنامج المساعد: Wappointment
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 2.2.5
شدة نقاط: ارتفاع
11. العد التنازلي والعد التنازلي ، توقيت مبيعات WooCommerce
البرنامج المساعد: Countdown and CountUp ، WooCommerce Sales Timers
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.5.8
شدة نقاط: ارتفاع
11. uListing
البرنامج المساعد: uListing
الثغرة الأمنية : تحديث الإعدادات عبر CSRF
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
البرنامج المساعد: uListing
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 2.0.4
شدة نقاط: ارتفاع
البرنامج المساعد: uListing
الضعف : تصعيد الامتيازات غير المصدق
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
البرنامج المساعد: uListing
الثغرة الأمنية : تعديل أدوار المستخدم عبر CSRF
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
البرنامج المساعد: uListing
الضعف : CSRF متعددة
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
البرنامج المساعد: uListing
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
البرنامج المساعد: uListing
الضعف : IDOR مصدق عليه
مصححة في الإصدار : 2.0.6
شدة نقاط: متوسط
12. YITH وضع الصيانة
البرنامج المساعد: YITH وضع الصيانة
الثغرة الأمنية : إدارة متعددة + برمجة نصية عبر المواقع مخزنة
مصححة في الإصدار : 1.4.0
شدة نقاط: منخفضة
البرنامج المساعد: YITH وضع الصيانة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.3.8
شدة نقاط: منخفضة
13. نماذج اتصال ووردبريس Cimatti
البرنامج المساعد: نماذج اتصال WordPress بواسطة Cimatti
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.4.12
شدة نقاط: منخفضة
14. علامات OG
البرنامج المساعد: علامات OG
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : 2.0.2
شدة نقاط: متوسط
15. دليل اتصالات الأعمال
البرنامج المساعد: دليل اتصالات الأعمال
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 10.4.3
شدة نقاط: منخفضة
16. محمل مسطح
البرنامج المساعد: Flat Preloader
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.5.5
شدة نقاط: متوسط
البرنامج المساعد: Flat Preloader
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.54
شدة نقاط: ارتفاع
17. Cool Tag Cloud
البرنامج المساعد: Cool Tag Cloud
الضعف : مساهم + برمجة نصية عبر المواقع مخزنة
مصححة في الإصدار : 2.26.1
شدة نقاط: متوسط
18. تحت الإنشاء
البرنامج المساعد: underConstruction
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.19.1
شدة نقاط: ارتفاع
19. قائمة المطعم من MotoPress
البرنامج المساعد: قائمة المطعم بواسطة MotoPress
الثغرات الأمنية : برمجة نصية عبر الموقع مخزنة ومصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
شدة نقاط: منخفضة
20. AutomatorWP
البرنامج المساعد: AutomatorWP
الضعف : التفويض المفقود وتصعيد الامتيازات
مصححة في الإصدار : 1.7.6
شدة نقاط: متوسط
21. WP Reactions Lite
البرنامج المساعد: WP Reactions Lite
الثغرات الأمنية : برمجة نصية عبر الموقع مخزنة ومصادق عليها
مصححة في الإصدار : 1.3.6
شدة نقاط: منخفضة
22. قائمة أسعار أنيقة
البرنامج المساعد: قائمة أسعار أنيقة
الضعف : المشترك + تحميل الصورة التعسفي
مصححة في الإصدار : 6.9.1
شدة نقاط: متوسط
البرنامج المساعد: قائمة أسعار أنيقة
الثغرة الأمنية : تحميل صورة تعسفي غير مصدق
مصححة في الإصدار : 6.9.0
شدة نقاط: متوسط
23 أيقونة اجتماعية سهلة
البرنامج المساعد: أيقونات اجتماعية سهلة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.0.9
شدة نقاط: ارتفاع
البرنامج المساعد: أيقونات اجتماعية سهلة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.1.3
شدة نقاط: ارتفاع
24. أداة جلب موجز ويب WPeMatico RSS
البرنامج المساعد: WPeMatico RSS Feed Fetcher
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.6.12
شدة نقاط: منخفضة
25. مدير تحميل وورد
البرنامج المساعد: مدير تنزيل WordPress
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.2.16
شدة نقاط: منخفضة
26. تقويم الأحداث الحديثة لايت
البرنامج المساعد: Modern Events Calendar Lite
الثغرات الأمنية : برمجة نصية عبر الموقع مخزنة ومصادق عليها
مصححة في الإصدار : 5.22.3
شدة نقاط: منخفضة
27. Credova_Financial
البرنامج المساعد: Credova_Financial
الضعف : الإفصاح عن المعلومات الحساسة
مصححة في الإصدار : 1.4.9
شدة نقاط: متوسط
28. JS Job Manager
البرنامج المساعد: JS Job Manager
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي غير المصدق
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
شدة نقاط: الحرجة
29. الأحداث أصبحت سهلة
البرنامج المساعد: الأحداث أصبحت سهلة
الثغرة الأمنية : متعدد CSRF إلى البرمجة النصية عبر المواقع المخزنة وحذف الأحداث
مصححة في الإصدار : 1.5.50
شدة نقاط: ارتفاع
30. شريط لـ WooCommerce
البرنامج المساعد: Stripe For WooCommerce
الضعف : ضوابط التفويض مفقودة لسرقة الحسابات المالية
مصححة في الإصدار : 3.3.10
شدة نقاط: متوسط
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترى من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة معروفة.
1. قم بتشغيل ماسح موقع iThemes Security Pro
يقوم فاحص الموقع الخاص بالمكون الإضافي iThemes Security Pro بفحص السبب الأول الذي يجعل مواقع WordPress تتعرض للاختراق: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة. يقوم Site Scanner بفحص موقعك بحثًا عن نقاط ضعف معروفة ويقوم تلقائيًا بتطبيق تصحيح إذا كان متاحًا.
لتمكين Site Scan في عمليات التثبيت الجديدة ، انتقل إلى علامة التبويب Site Check في قائمة الميزات داخل المكون الإضافي وانقر فوق زر التبديل لتمكين Site Scan .
لتشغيل Site Scan يدويًا ، انقر فوق الزر Scan Now الموجود على بطاقة Site Scan Security Dashboard.
إذا اكتشف Site Scan وجود ثغرة أمنية ، فانقر فوق ارتباط الثغرة الأمنية لعرض صفحة التفاصيل.
في صفحة ثغرة Site Scan ، سترى ما إذا كان هناك إصلاح متاح للثغرة الأمنية. إذا كان هناك تصحيح متاح ، فيمكنك النقر فوق الزر تحديث البرنامج المساعد لتطبيق الإصلاح على موقع الويب الخاص بك.
2. قم بتشغيل إدارة الإصدار للتحديث التلقائي إذا تم إصلاح الثغرة الأمنية
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك عندما لا يتم تحديث البرامج القديمة بالسرعة الكافية. حتى أقوى تدابير الأمان ستفشل إذا كنت تقوم بتشغيل برنامج ضعيف على موقع الويب الخاص بك. تساعد هذه الإعدادات في حماية موقعك بخيارات التحديث إلى الإصدارات الجديدة تلقائيًا في حالة وجود ثغرة أمنية معروفة وكان التصحيح متوفرًا.
من صفحة الإعدادات في iThemes Security Pro ، انتقل إلى شاشة الميزات. انقر فوق علامة التبويب Site Check (فحص الموقع). من هنا ، استخدم مفتاح التبديل لتمكين إدارة الإصدار. باستخدام ترس الإعدادات ، يمكنك تكوين المزيد من الإعدادات ، بما في ذلك الطريقة التي تريد أن يتعامل بها iThemes Security Pro مع تحديثات WordPress والمكونات الإضافية والسمات والحماية الإضافية.
تأكد من تحديد التحديث التلقائي إذا كان يعمل على إصلاح مربع الثغرة الأمنية بحيث يقوم iThemes Security Pro تلقائيًا بتحديث مكون إضافي أو سمة إذا كان يعمل على إصلاح ثغرة أمنية تم العثور عليها بواسطة Site Scanner.
3. احصل على تنبيه عبر البريد الإلكتروني عندما يكتشف iThemes Security Pro ثغرة أمنية معروفة على موقعك
بمجرد تمكين جدولة فحص الموقع ، توجه إلى إعدادات مركز الإشعارات للمكون الإضافي. في هذه الشاشة ، قم بالتمرير إلى قسم Site Scan Results .
انقر فوق المربع لتمكين رسالة الإعلام بالبريد الإلكتروني ثم انقر فوق الزر "حفظ الإعدادات" .
الآن ، أثناء أي عمليات مسح مجدولة للموقع ، ستتلقى رسالة بريد إلكتروني إذا اكتشف iThemes Security Pro أي ثغرات أمنية معروفة. سيبدو البريد الإلكتروني مثل هذا.
احصل على iThemes Security Pro واسترح قليلاً الليلة
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
