تقرير موجز عن نقاط الضعف في WordPress: ديسمبر 2020 ، الجزء الثاني

نشرت: 2020-12-23

تم الكشف عن مكون WordPress الإضافي الجديد والثغرات الأمنية خلال النصف الثاني من شهر ديسمبر. يغطي هذا المنشور المكون الإضافي الأخير والموضوع ونقاط الضعف الأساسية في WordPress وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.

في ديسمبر ، الجزء 2 تقرير

نقاط الضعف الأساسية في ووردبريس

لم يتم الكشف عن ثغرات أمنية جديدة في WordPress هذا الشهر.

أحدث إصدار من WordPress core حاليًا هو 5.6. كأفضل ممارسات أمان في WordPress ، تأكد من تشغيل أحدث إصدار من WordPress core.

نقاط الضعف في البرنامج المساعد WordPress

1. DiveBook

إصدارات DiveBook الأقل من 1.1.4 تحتوي على فحص تفويض غير صحيح ، وحقن SQL غير مصدق ، وثغرات أمنية XSS غير مصادق عليها.

قم بإزالة المكون الإضافي حتى يتم تحرير إصلاح أمني.

2. Pagelayer

تحتوي إصدارات Pagelayer الأقل من 1.3.5 على نقاط ضعف متعددة في البرمجة النصية عبر المواقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.3.5.

3. استبعاد الفئة النهائي

تحتوي إصدارات Ultimate Category Excluder أدناه 1.2 على ثغرة أمنية عبر موقع Cross-Request Forgery.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.2.

4. الدلائل برو

تحتوي إصدارات الدلائل الاحترافية الأقل من 1.3.46 على ثغرة أمنية في البرمجة النصية عبر المواقع المنعكسة المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.3.46.

5. إجمالي الصيانة

تحتوي إصدارات الصيانة الإجمالية الأقل من 1.14.10 على ثغرات أمنية في الكشف عن البيانات الحساسة وتنزيل النسخ الاحتياطي غير المصادق.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.14.10.

6. إطار الإحياء

إصدارات إطار عمل Redux أدناه 4.1.21 تحتوي على ثغرة أمنية في CSRF Nonce Validation Bypass.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 4.1.21.

7. نموذج الاتصال 7

تحتوي إصدارات نموذج الاتصال 7 أدناه 5.3.2 على ثغرة أمنية في تحميل ملف غير مقيد.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 5.3.2.

8. أزرار مشاركة الوسائط الاجتماعية البسيطة

تحتوي إصدارات أزرار مشاركة الوسائط الاجتماعية البسيطة أدناه 3.2.1 على ثغرة أمنية في البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.2.1.

9. معرض إنفيرا لايت

تحتوي إصدارات Envira Gallery Lite الأقل من 1.8.3.3 على ثغرة أمنية في البرمجة النصية عبر المواقع المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.8.3.3.

10. الحد من إعادة تحميل محاولات تسجيل الدخول

الحد من محاولات تسجيل الدخول للإصدارات التي تم إعادة تحميلها أدناه 2.16.0 تحتوي على ثغرات أمنية في تجاوز البرامج النصية المنعكسة عبر المواقع وتجاوز معدل تسجيل الدخول.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.16.0.

ثغرات ثغرات سمة WordPress

1. قائمة PRO

تحتوي إصدارات ListPro أدناه 2.6.1 على برنامج إضافي تعسفي غير مصدق التثبيت / التنشيط / إلغاء التنشيط وثغرات أمنية في الكشف عن البيانات الحساسة غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.6.1.

نصيحة الأمان لشهر ديسمبر: لماذا تحتاج إلى مستخدم عالمي للدعم

في أي وقت تنشئ فيه مستخدمًا جديدًا على موقع الويب الخاص بك ، فإنك تضيف نقطة دخول أخرى يمكن للمتسلل استغلالها. ولكن من المحتمل أن تكون هناك أوقات قد تحتاج فيها إلى بعض المساعدة الخارجية لموقعك على الويب ، مثل عندما تبحث عن دعم أو بعد التعاقد مع مقاول مستقل. أنت بحاجة إلى طريقة آمنة وآمنة لإضافة وصول إداري مؤقت إلى موقع الويب الخاص بك.

منح الوصول الخارجي إلى موقع الويب الخاص بك: خياراتك السيئة النموذجية

عادة ، لديك خياران لتوفير الوصول الخارجي إلى موقع الويب الخاص بك…. ولا شيء رائع .

1. مشاركة بيانات اعتماد المستخدم المسؤول

خيارك الأول والأسوأ هو مشاركة اسم المستخدم وكلمة المرور لمستخدم مسؤول WordPress الخاص بك.

لماذا تعد مشاركة بيانات اعتماد المسؤول فكرة رهيبة

أمان منخفض - إذا قمت بمشاركة بيانات اعتماد المستخدم الخاصة بك ، فسيتعين عليك تعطيل المصادقة الثنائية للسماح للشخص الذي يستخدم بيانات اعتمادك بتسجيل الدخول. شاركت Google على مدونتها أن استخدام المصادقة ذات العاملين ، أو التحقق بخطوتين ، يمكن أن يوقف 100٪ من هجمات الروبوت الآلية. يؤدي تعطيل المصادقة ذات العاملين ، حتى لفترة قصيرة من الوقت ، إلى تقليل أمان موقع الويب بشكل كبير.
غير مريح - تتطلب مشاركة بيانات الاعتماد الخاصة بك تغيير كلمة المرور الخاصة بك. إذا نسيت تغيير كلمة المرور الخاصة بك ، فهناك شخص واحد أو أكثر لديهم حق وصول المسؤول إلى موقع الويب الخاص بك متى أرادوا ذلك.

2. قم بإنشاء مستخدم منفصل لتقنية الدعم

في حين أن إنشاء مستخدم إداري جديد لأخصائي الدعم أفضل من مشاركة بيانات اعتماد المسؤول ، إلا أنه لا يزال غير رائع.

لماذا يعد إنشاء مستخدم لتقنية الدعم أمرًا فظيعًا

زيادة الضعف - يؤدي إنشاء مستخدم مسؤول جديد إلى إضافة نقطة دخول أخرى يمكن استغلالها. إذا لم يكن لديك سياسة كلمة مرور مطبقة ، فقد تختار تقنية الدعم كلمة مرور ضعيفة ، مما يجعل تسجيل الدخول إلى WordPress الخاص بك أكثر عرضة للهجوم.
غير مريح - إجراء عملية إعداد مستخدم جديد في أي وقت تحتاج فيه إلى مساعدة خارجية يستغرق وقتًا طويلاً. يجب عليك إنشاء المستخدم الجديد ثم تذكر حذف المستخدم عندما لا يكون بحاجة إلى الوصول إلى موقع الويب الخاص بك. إنها أفضل ممارسات أمان WordPress لإزالة أي مستخدمين غير مستخدمين من موقع الويب الخاص بك.

منح الوصول الخارجي إلى موقع الويب الخاص بك: الطريق الأفضل

تتيح لك ميزة iThemes Security Pro Privilege Escalation منح المستخدم إمكانيات إضافية بشكل مؤقت.

تسهّل ميزة تصعيد الامتياز إنشاء مستخدم عالمي يمكنك منحه لأي مطورين خارجيين أو دعم فني يحتاج إلى وصول مؤقت إلى موقع الويب الخاص بك بطريقة سهلة وآمنة.

مع تصعيد الامتياز ، يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، يمكنك نقل مستخدم الدعم من مشترك إلى مسؤول. سوف نتعرف على كيفية القيام بذلك لاحقًا في المنشور ، ولكن أولاً ، دعنا نتحدث عن سبب كون تصعيد الامتياز طريقة أفضل لمنح الوصول إلى موقع الويب الخاص بك.

لماذا يعتبر تصعيد الامتيازات أفضل

سهل - ليس عليك إنشاء مستخدم جديد في كل مرة تحتاج فيها إلى منح حق الوصول إلى موقع الويب الخاص بك.
تلقائي - يستمر تصعيد الامتياز لمدة 24 ساعة فقط. بعد مرور 24 ساعة ، يفقد المستخدم تلقائيًا جميع الامتيازات الإضافية. لا يتعين عليك تذكر إزالة المستخدمين أو تغيير أي كلمات مرور.
لا تضحية في الأمان - لا يزال بإمكانك مطالبة مستخدم الدعم العام هذا باستخدام طريقة البريد الإلكتروني ذات العاملين لتسجيل الدخول ، مما يعني أن لديك نفس مستوى الأمان كما تفعل مع المستخدمين المسؤولين الآخرين. نظرًا لأن دور المستخدم الفعلي هو مشترك ، فأنت لا تخاطر بتركه على موقع الويب الخاص بك.

كيفية استخدام تصعيد الامتياز في iThemes Security Pro

للبدء ، قم بتمكين تصعيد الامتياز في الصفحة الرئيسية لإعدادات الأمان.

يمكنك إنشاء مستخدم جديد وتسميته بالدعم ومنحه دور المستخدم المشترك. في المرة التالية التي تحتاج فيها إلى توفير وصول مؤقت إلى موقع الويب الخاص بك ، انتقل إلى صفحة ملف تعريف مستخدم الدعم.

قم بتحديث عنوان البريد الإلكتروني للسماح لشخص الدعم الخارجي بطلب كلمة مرور جديدة. ثم قم بالتمرير لأسفل حتى ترى إعدادات تصعيد الامتياز المؤقت. انقر فوق تبديل تعيين الدور المؤقت ، وحدد المسؤول. سيكون لدى المستخدم الآن حق وصول المسؤول لمدة 24 ساعة القادمة.

إذا لم يكونوا بحاجة إلى 24 ساعة كاملة ، فيمكنك إبطال تصعيد الامتياز من صفحة ملف تعريف المستخدم. إذا كنت بحاجة إلى أكثر من 24 ساعة ، فيمكنك تعيين عدد الأيام التي تحتاجها بالضبط في حقل الأيام .

انظر كيف يعمل

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.