تقرير موجز عن نقاط الضعف في WordPress: ديسمبر 2019

نشرت: 2020-01-16

تم الكشف عن عدد قليل من مكونات WordPress الجديدة والثغرات الأمنية خلال النصف الأول من ديسمبر ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي الأخير والموضوع ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى أربع فئات مختلفة:

  • 1. نواة ووردبريس
  • 2. ملحقات WordPress
  • 3. موضوعات WordPress
  • 4. الخروقات من جميع أنحاء الويب

ملاحظة: يمكنك التخطي للأمام إلى مخطط ملخص الثغرات الأمنية للجزء الأول من ديسمبر 2019 المدرج أدناه.

نقاط الضعف الأساسية في ووردبريس

WordPress 5.3.1 إصدار الأمان والصيانة

كشف فريق WordPress مؤخرًا عن ثلاث ثغرات في الإصدار 5.3 من WordPress:

  • يمكن للمستخدمين غير المتميزين جعل المنشور ثابتًا عبر واجهة برمجة تطبيقات REST.
  • يمكن تخزين ثغرة البرمجة عبر المواقع في روابط.
  • ثغرة أمنية في برمجة المواقع المتقاطعة المخزنة باستخدام محتوى محرر الكتلة.

يمكن العثور على مزيد من التفاصيل في منشور إصدار الأمان والصيانة في WordPress 5.3.1.

ماذا يجب ان تفعل

تم تصحيح هذه الثغرات ، ويجب عليك تحديث جميع مواقع الويب الخاصة بك اليوم إلى إصدار WordPress 5.3.1.

نقاط الضعف في البرنامج المساعد WordPress

تم اكتشاف العديد من ثغرات البرنامج الإضافي الجديد في WordPress هذا الشهر حتى الآن. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.

1. WP Spell Check (التدقيق الإملائي)

شعار WP التدقيق الإملائي

يعد إصدار WP Spell Check 7.1.9 والإصدارات الأقل عرضة لهجوم التزوير عبر الموقع.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 7.1.10.

2. CSS Hero

شعار CSS Hero

الإصدار 4.03 من CSS Hero والإصدارات الأقدم عرضة لهجوم Authenticated Reflected XSS.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 4.07.

3. الإضافات النهائية لـ Beaver Builder

Ultimate Addons Logo

Ultimate Addons for Beaver Builder الإصدار 1.24.0 وما بعده عرضة لهجوم تجاوز المصادقة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.24.1.

4. في نهاية المطاف الإضافات للعنصر

Ultimate Addon Elementor Logo

Ultimate Addons for Elementor الإصدار 1.20.0 والإصدارات الأقل عرضة لهجوم تجاوز المصادقة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.20.1.

5. الكشافة كالندر

شعار الكشافة

تعد إصدارات Scoutnet Kalender 1.1.0 وما يليها عرضة لهجوم Stored Cross-Site Scripting.

ماذا يجب ان تفعل

قم بإزالة Scountet Kalendar كما يبدو أنه تم التخلي عن المكون الإضافي.

ثيمات WordPress

1. فتن

يفتن الشعار

تحتوي الإصدارات Mesmerize 1.6.89 وما يليها على ثغرة أمنية في تحديث خيارات مصادقة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.6.90.

2. الماديات

شعار المواد

تحتوي الإصدارات Materialis 1.0.172 وما يليها على ثغرة أمنية لتحديث خيارات مصادقة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.0.173.

3. قائمة برو

قائمة برو الشعار

تحتوي إصدارات ListPro 2.0.14.2 وما يليها على ثغرة أمنية انعكسية ومستمرة في البرمجة النصية عبر المواقع.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.0.14.5.

4. سوبرليست

شعار Superlist

تعتبر إصدارات Superlist 2.9.2 وما بعدها عرضة لهجوم Stored Cross-Site Scripting.

ماذا يجب ان تفعل

لم يتم تصحيح الثغرة الأمنية ، ويجب عليك إزالة السمة. راقب التغيير للحصول على تحديث أمني.

كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد

يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

يمكن أن تساعد التحديثات التلقائية

تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.

خيارات تحديث إدارة الإصدار
  • تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
  • التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
  • التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
  • التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).
التقوية والتنبيه للقضايا الحرجة
  • تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
  • البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
  • إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.

إدارة مواقع WP متعددة؟ قم بتحديث المكونات الإضافية والسمات والأساسية مرة واحدة من لوحة معلومات مزامنة iThemes

iThemes Sync هي لوحة القيادة المركزية الخاصة بنا لمساعدتك في إدارة مواقع WordPress المتعددة. من لوحة معلومات المزامنة ، يمكنك عرض التحديثات المتاحة لجميع مواقعك ثم تحديث المكونات الإضافية والسمات ونواة WordPress بنقرة واحدة . يمكنك أيضًا الحصول على إشعارات البريد الإلكتروني اليومية عند توفر تحديث إصدار جديد.

جرّب المزامنة مجانًا لمدة 30 يومًا

الخروقات من جميع أنحاء الويب

نقوم بتضمين الانتهاكات من جميع أنحاء الويب لأنه من الضروري أيضًا أن تكون على دراية بنقاط الضعف خارج نظام WordPress البيئي. يمكن أن تؤدي عمليات استغلال برامج الخادم إلى كشف البيانات الحساسة. يمكن أن تؤدي خروقات قاعدة البيانات إلى كشف بيانات الاعتماد للمستخدمين على موقعك ، مما يفتح الباب للمهاجمين للوصول إلى موقعك.

1. حلقة المأجورون الكاميرا

حلقة الكاميرا الداخلية

لسوء الحظ ، أبلغت بعض العائلات عن حوادث مضايقة بعد اختراق أجهزتها Ring. إذا كنت تستخدم أي كاميرا أمنية تسمح لك بمشاهدة البث المباشر عن بُعد ، فيجب أن تعرف كيف يقتحم المتسللون كاميرات Ring.

وفقًا لمتحدث باسم Ring ، تم عزل تقارير الاختراق هذه ولم تكن مرتبطة باختراق Ring Security أو خرقها. هذه أخبار ممتازة ، وهذا يعني أن الجاني المحتمل لعمليات الاختراق كان كلمات مرور ضعيفة ولا يستخدم المصادقة الثنائية (2FA). هجوم القوة الغاشمة ، عندما يحاول روبوت ضار مجموعة عشوائية من أسماء المستخدمين وكلمات المرور حتى ينجح أحدهما ، ويمكنه الوصول إلى حسابك.

لحسن الحظ بالنسبة لنا ، من السهل جدًا حماية حساباتك من هجوم القوة الغاشمة. وفقًا لأبحاث الأمان في Google ، فإن استخدام المصادقة ذات العاملين سيوقف 100٪ من هجمات الروبوتات إذا كنت تقوم بتثبيت جهاز إنترنت الأشياء - وخاصة الجهاز الذي يسمح لك برؤية وسماع ما يحدث داخل منزلك - تأكد من حمايتك وحماية منزلك. الأسرة باستخدام كلمة مرور قوية ومصادقة ثنائية.

ملخص نقاط الضعف في WordPress لملفات
ديسمبر 2019 ، الجزء الأول

نوع
عالي التأثر
يصلح
جوهر
كشف فريق WordPress عن 3 ثغرات أمنية في الإصدار 5.3.
تم تصحيح هذه الثغرات ، ويجب عليك تحديثها إلى الإصدار 5.3.1.
الإضافات

يعد إصدار WP Spell Check 7.1.9 والإصدارات الأقل عرضة لهجوم التزوير عبر الموقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 7.1.10.

Ultimate Addons for Beaver Builder الإصدار 1.24.0 وما بعده عرضة لهجوم تجاوز المصادقة.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.24.1.

Ultimate Addons for Elementor الإصدار 1.20.0 والإصدارات الأقل عرضة لهجوم تجاوز المصادقة.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.20.1.

الإصدار 4.03 من CSS Hero والإصدارات الأقدم عرضة لهجوم Authenticated Reflected XSS.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 4.07.

تعد إصدارات Scoutnet Kalender 1.1.0 وما يليها عرضة لهجوم Stored Cross-Site Scripting.

يجب عليك إزالة Scountet Kalendar. يبدو أنه تم التخلي عن المكون الإضافي ولم يعد قيد الصيانة.

تصدير المستخدمين إلى الإصدار 1.3 من CSV وما يليه لديه ثغرة أمنية في الوصول إلى CSV غير مصرح به.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.4.
ثيمات

تحتوي الإصدارات Mesmerize 1.6.89 وما يليها على ثغرة أمنية في تحديث خيارات مصادقة.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.6.90.

تحتوي الإصدارات Materialis 1.0.172 وما يليها على ثغرة أمنية لتحديث خيارات مصادقة.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.0.173.

تعتبر إصدارات Superlist 2.9.2 وما بعدها عرضة لهجوم Stored Cross-Site Scripting.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.0.14.5.

تحتوي إصدارات ListPro 2.0.14.2 وما يليها على ثغرة أمنية انعكسية ومستمرة في البرمجة النصية عبر المواقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.0.173.

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security