تقرير موجز عن نقاط الضعف في WordPress: أبريل 2020 ، الجزء الأول

نشرت: 2020-08-18

تم الكشف عن مكون WordPress الإضافي الجديد وثغرات الثغرات الأمنية خلال النصف الأول من أبريل ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي الأخير والموضوع ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى أربع فئات مختلفة:

  1. ووردبريس الأساسية
  2. إضافات ووردبريس
  3. موضوعات WordPress

نقاط الضعف الأساسية في ووردبريس

لم يتم الكشف عن أي ثغرات أمنية في WordPress في عام 2020.

نقاط الضعف في البرنامج المساعد WordPress

تم اكتشاف العديد من ثغرات البرنامج الإضافي الجديد في WordPress هذا الشهر حتى الآن. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.

1. IMPress لـ IDX Broker

يحتوي IMPress لـ IDX Broker أدناه على الإصدار 2.6.2 على إنشاء منشور مصدق عليه ، وتعديل / حذف ، وبرمجة المواقع عبر المواقع المصادق عليها (XSS) عبر نقاط الضعف "idx_update_recaptcha_key" غير المحمية.

تم تصحيح الثغرات الأمنية ، ويجب عليك التحديث إلى الإصدار 2.6.2.

2. لافتات CM Pop-Up لـ WordPress

لافتات CM Pop-Up لإصدارات WordPress الأقل من 1.4.11 بها ثغرة XSS مخزنة مصدق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.4.11.

3. رتبة الرياضيات

تحتوي إصدارات Rank Math الأقل من 1.0.4.1 على ثغرات أمنية في إعادة التوجيه وإنشاء الامتيازات.

تم تصحيح الثغرات الأمنية ، ويجب عليك التحديث إلى الإصدار 1.4.1.

4. LifterLMS

إصدارات LifterLMS الأقل من 3.37.15 بها ثغرة أمنية لكتابة الملفات التعسفية.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.37.15.

5. Elementor Page Builder

تحتوي إصدارات Elementor Page Builder أدناه 2.9.6 على ثغرة تصعيد امتياز الوضع الآمن المصادق عليه.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.9.6.

6. LearnDash

تحتوي إصدارات LearnDash أدناه 3.1.6 على ثغرة أمنية لم تتم مصادقتها من خلال إدخال SQL.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.1.6.

7. تسجيل الدخول عن طريق Auth0

تسجيل الدخول عن طريق إصدارات Auth0 الأقل من 4.0.0 بها نقاط ضعف متعددة.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 4.0.0.

8. WordPress WP- بحث متقدم

تحتوي إصدارات WordPress WP-Advanced-Search الأقل من 3.3.6 على ثغرة أمنية لم تتم مصادقتها من خلال حقن SQL.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.3.6.

9. نموذج الاتصال 7 منتقي البيانات

تحتوي جميع إصدارات نموذج الاتصال 7 منتقي البيانات على ثغرة أمنية في البرمجة النصية عبر المواقع المصادق عليها المخزنة.

قم بإزالة المكون الإضافي ، فقد تم إغلاقه في مستودع مكونات WordPress.org المعلقة المراجعة.

10. معرض الصور الفنية

تحتوي جميع إصدارات Art-Picture-Gallery على ثغرة أمنية في تحميل ملف تعسفي لم تتم مصادقته.

قم بإزالة المكون الإضافي ، فقد تم إغلاقه في مستودع مكونات WordPress.org المعلقة المراجعة.

11. WP Last Modified Info (معلومات التعديل الأخير)

تحتوي إصدارات WP Last Modified Info الأقل من 1.6.6 على ثغرة أمنية مصادق عليها مخزنة XSS.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.6.6.

12. WP ليد بلس X

تحتوي جميع إصدارات WP Lead Plus X على ثغرة أمنية في طلب التزوير عبر الموقع.

قم بإزالة المكون الإضافي حتى يتم تحرير التصحيح.

13. الإضافات النهائية لجوتنبرج

تحتوي الإضافات النهائية لإصدارات Gutenberg الأقل من 1.14.8 على ثغرة أمنية لتغيير الإعدادات المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.14.8.

14. Klarna Checkout لـ WooCommerce

Klarna Checkout لإصدارات WooCommerce أقل من 2.0.10 بها ثغرة أمنية في إلغاء تنشيط البرنامج المساعد التعسفي وتنشيطه وتثبيته.

15. Tickera - تذاكر حدث ووردبريس

تحتوي إصدارات Tickera - WordPress Event Ticketing أدناه على 3.4.6.9 على ثغرة أمنية غير مصادق عليها بسبب التعرض لبيانات حساسة.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.4.6.9.

16. استطلاع مستجيب

تحتوي جميع إصدارات الاستطلاع المتجاوب على مصادقة معطلة وفقدان عمليات التحقق من القدرة على مكالمات AJAX.

قم بإزالة المكون الإضافي ، فقد تم إغلاقه في مستودع مكونات WordPress.org المعلقة المراجعة.

17. مساعد مكتبة الوسائط

تحتوي إصدارات Media Library Assistant الأقل من 2.82 على ثغرات أمنية في البرمجة النصية عبر المواقع المخزنة المصادق عليها وثغرات أمنية غير مصادقة محدودة لتضمين الملفات المحلية.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.82.

ثيمات WordPress

لم يتم الكشف عن أي ثغرات أمنية تم الكشف عنها في أبريل 2020.

كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد

يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

يمكن أن تساعد التحديثات التلقائية

تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.

خيارات تحديث إدارة الإصدار
  • تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
  • التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
  • التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
  • التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).
التقوية والتنبيه للقضايا الحرجة
  • تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
  • البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
  • إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.

إدارة مواقع WP متعددة؟ قم بتحديث المكونات الإضافية والسمات والأساسية مرة واحدة من لوحة معلومات مزامنة iThemes

iThemes Sync هي لوحة القيادة المركزية الخاصة بنا لمساعدتك في إدارة مواقع WordPress المتعددة. من لوحة معلومات المزامنة ، يمكنك عرض التحديثات المتاحة لجميع مواقعك ثم تحديث المكونات الإضافية والسمات ونواة WordPress بنقرة واحدة . يمكنك أيضًا الحصول على إشعارات البريد الإلكتروني اليومية عند توفر تحديث إصدار جديد.

جرّب المزامنة مجانًا لمدة 30 يومًا

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

تعرف على المزيد حول أمان WordPress من خلال 10 نصائح رئيسية. قم بتنزيل الكتاب الإلكتروني الآن: دليل لأمن WordPress
التحميل الان