تقرير موجز عن نقاط الضعف في WordPress: يناير 2020 ، الجزء الأول
نشرت: 2020-08-18تم الكشف عن مكون WordPress الإضافي الجديد وثغرات الثغرات الأمنية خلال النصف الأول من شهر كانون الثاني (يناير) ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي الأخير والموضوع ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى أربع فئات مختلفة:
- 1. نواة ووردبريس
- 2. ملحقات WordPress
- 3. موضوعات WordPress
- 4. الخروقات من جميع أنحاء الويب
ملاحظة: يمكنك التخطي للأمام إلى مخطط ملخص الثغرات الأمنية للجزء الأول من يناير 2020 المدرج أدناه.
نقاط الضعف الأساسية في ووردبريس
نقاط الضعف في البرنامج المساعد WordPress
تم اكتشاف العديد من ثغرات البرنامج الإضافي الجديد في WordPress هذا الشهر حتى الآن. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.
1. Donorbox
يعتبر إصدار Donorbox 7.1 و 7.1.1 عرضة لهجمات Stored Cross-Site Request Forgery.
ماذا يجب ان تفعل
2. اختبار ومسح ماجستير
إصدار Quiz and Survey Master 6.3.4 والإصدارات الأقدم عرضة لهجوم Authenticated Reflected XSS.
ماذا يجب ان تفعل
3. عمليات إعادة التوجيه 301
يحتوي الإصدار 301 Redirects على العديد من الثغرات الأمنية ، بما في ذلك Authenticated Arbitrary Redirect Injection and Modification و XSS و CSRF.
ماذا يجب ان تفعل
4. رينكونتر
يتضمن الإصدار 3.2.2 من Rencontre وما يلي نقاط ضعف متعددة في طلب التزوير عبر الموقع.
ماذا يجب ان تفعل
5. صورة مميزة من URL
تفتقد الصورة المميزة من إصدارات URL 2.7.7 وما يليها إلى عناصر التحكم في الوصول على مسارات REST مما يؤدي إلى ثغرة أمنية في المصادقة المعطلة.
ماذا يجب ان تفعل
6. أعضاء bbPress فقط
أعضاء bbPress فقط الإصدار 1.2.1 والإصدارات الأقل عرضة لهجوم التزوير عبر الموقع على صفحة الإعدادات الاختيارية للمكونات الإضافية.
ماذا يجب ان تفعل
7. bbPress تسجيل الدخول تسجيل الروابط في صفحات مواضيع المنتدى
bbPress تسجيل الدخول تسجيل الارتباطات في صفحات مواضيع المنتدى ، الإصدارات 2.7.5 وما يليها تتضمن ثغرة أمنية في طلب التزوير عبر الموقع والتي يمكن أن تؤدي إلى هجوم نصي مخزن عبر المواقع.
ماذا يجب ان تفعل
8. الامتثال لملفات تعريف الارتباط الخاصة باللائحة العامة لحماية البيانات (GDPR)
تفتقر إصدارات GDPR Cookie Compliance 4.0.2 وما بعده إلى فحص للقدرات وعلامة أمان غير متوقعة تسمح للمستخدم المصادق عليه بحذف إعدادات البرنامج المساعد.
ماذا يجب ان تفعل
9. معرض الصور
يُعد الإصدار 2.0.6 من معرض الصور والإصدارات الأقدم ثغرة أمنية لهجوم تعطيل البرنامج المساعد التعسفي. لا يتحقق المكون الإضافي من القدرات وسيسمح للمشتركين بإلغاء تنشيط المكون الإضافي عبر WordPress AJAX API.
ماذا يجب ان تفعل
10. الحد الأدنى قريبًا ووضع الصيانة
Minimal Coming Soon & Maintenance Mode الإصدارات 2.10 وما يليها بها العديد من الثغرات الأمنية ، بما في ذلك عيب الإذن غير الآمن الذي قد يسمح للمستخدمين المصادق عليهم بتمكين البرنامج الإضافي وتعطيله واستيراد / تصدير الإعدادات. يشتمل المكون الإضافي أيضًا على ثغرة أمنية في Cross-Site Forgery to Stored XSS و Settings Changes.
ماذا يجب ان تفعل
11. تتبع تحويل WooCommerce
تعد إصدارات تتبع تحويل WooCommerce 2.04 والإصدارات الأقل عرضة لطلب التزوير عبر المواقع الذي يؤدي إلى هجوم XSS مخزن.
ماذا يجب ان تفعل
12. بوستي
تحتوي إصدارات Postie 1.9.40 وما بعده على ثغرة Post Spoofing و Stored XSS التي يمكن أن تؤدي إلى قيام مستخدم غير مصادق بنشر منشور جديد. هذه ثغرة أمنية في يوم الصفر ويمكن لأي شخص بسهولة العثور على إرشادات حول استغلال المكون الإضافي Postie.
ماذا يجب ان تفعل
13. استيراد المستخدمين من CSV باستخدام Meta
استيراد المستخدمين من CSV بإصدارات Meta 1.15 به ثغرة أمنية في تصدير المستخدمين غير المصرح لهم. سيسمح فحص القدرات المفقودة للمستخدم غير المصرح له بتصدير مستخدمي WordPress.
ماذا يجب ان تفعل
14. في نهاية المطاف التعليمات
تحتوي إصدارات الأسئلة الشائعة المطلقة رقم 1.8.29 وما بعده على ثغرة أمنية في انعكاس XSS لم تتم مصادقته. لا يعمل الرمز المختصر للأسئلة الشائعة على تعقيم معلمة Display_FAQ حيث يمكن أن يؤدي إلى هجوم انعكاس عبر الموقع على الصفحات التي يتم فيها عرض الرمز القصير.
ماذا يجب ان تفعل
15. WP Simple Spreadsheet Fetcher لجوجل
WP Simple Spreadsheet Fetcher For Google الإصدارات 0.3.6 وما يليها لديها ثغرة أمنية عبر الموقع التزوير التي قد تسمح للمهاجم بتعيين مفتاح API وتعسفي.
ماذا يجب ان تفعل
16. النسخ الاحتياطي والتدريج بواسطة WP Time Capsule
النسخ الاحتياطي والتدريج بواسطة إصدارات WP Time Capsule 1.21.15
وفيما يلي ثغرة أمنية في "تجاوز المصادقة" والتي من شأنها أن تسمح للمهاجم بتسجيل الدخول كمستخدم إداري.
ماذا يجب ان تفعل
17. عميل InfiniteWP
تحتوي إصدارات InfiniteWP Client 1.9.4.4 وما يليها على ثغرة أمنية في تجاوز المصادقة والتي من شأنها أن تسمح للمهاجم بتسجيل الدخول كمستخدم مسؤول.
ماذا يجب ان تفعل
18. المزاد النهائي
يحتوي الإصدار 4.0.5 من Ultimate Auction والإصدار الأقل منه على العديد من نقاط الضعف في تزوير الطلبات عبر المواقع والبرمجة عبر المواقع.
ماذا يجب ان تفعل
19. WooCommerce - مصدر المتجر
WooCommerce - Store Exporter الإصدار 2.3.1 وما يليه عرضة لهجوم حقن CSV.
ماذا يجب ان تفعل
20. دعم رائع
إصدار Awesome Support 5.7.1 والإصدارات الأقدم عرضة لهجمات XSS المخزنة.
ماذا يجب ان تفعل
21. مقاطع فيديو على لوحة تحكم المسؤول
تكون مقاطع الفيديو الموجودة على الإصدار 1.1.3 من Admin Dashboard والإصدارات الأقل عرضة لهجمات XSS المخزنة المصادق عليها.
ماذا يجب ان تفعل
22. محل تصليح كمبيوتر
يعد Computer Repair Shop الإصدار 1.0 عرضة لهجوم XSS المخزن المصادق عليه.
ماذا يجب ان تفعل
23. LearnDash
يعد إصدار LearnDash 3.1.1 والإصدارات أدناه عرضة لهجوم Scripted Cross-Site Scripting.
ماذا يجب ان تفعل
ثيمات WordPress
1. قائمة PRO
تعد إصدارات ListPro 2.5.3 والإصدارات الأقل عرضة لهجوم XSS المنعكس غير المصادق.
ماذا يجب ان تفعل
2. حجز السفر
تحتوي إصدارات Travel Booking 2.7.8.5 وأقلها على ثغرة XSS انعكاسية ومستمرة.
ماذا يجب ان تفعل
3. ElegantThemes Divi Builder
ElegantThemes Divi و Divi Builder والإصدارات الإضافية أدناه 4.0.10 معرضة لهجوم حقن رمز مصدق.
ماذا يجب ان تفعل
4. إيزي بوك
تحتوي إصدارات EasyBook 1.2.1 وما بعده على العديد من الثغرات الأمنية بما في ذلك XSS المنعكس غير المصادق ، و XSS الثابت المصادق عليه ، ومرجع كائن مباشر غير آمن.
ماذا يجب ان تفعل
5. TownHub
تحتوي إصدارات TownHub 1.0.5 والإصدارات الأقدم على العديد من الثغرات الأمنية بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت المصادق عليه ، ومرجع كائن مباشر غير آمن.
ماذا يجب ان تفعل
6. سيتي بوك
تحتوي إصدارات CityBook 2.9.4 والإصدارات الأقدم على العديد من الثغرات الأمنية بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت الموثق ، ومرجع كائن مباشر غير آمن.
ماذا يجب ان تفعل
7. العقارات 7
تحتوي إصدارات Real Estate 7 2.3.3 والإصدارات الأقدم على العديد من الثغرات الأمنية بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت الموثق ، ومرجع كائن مباشر غير آمن.
ماذا يجب ان تفعل
كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد
يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.
يمكن أن تساعد التحديثات التلقائية
تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.
باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.
خيارات تحديث إدارة الإصدار
- تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
- التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
- التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
- التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).
التقوية والتنبيه للقضايا الحرجة
- تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
- البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
- إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.
إدارة مواقع WP متعددة؟ قم بتحديث المكونات الإضافية والسمات والأساسية مرة واحدة من لوحة معلومات مزامنة iThemes
iThemes Sync هي لوحة القيادة المركزية الخاصة بنا لمساعدتك في إدارة مواقع WordPress المتعددة. من لوحة معلومات المزامنة ، يمكنك عرض التحديثات المتاحة لجميع مواقعك ثم تحديث المكونات الإضافية والسمات ونواة WordPress بنقرة واحدة . يمكنك أيضًا الحصول على إشعارات البريد الإلكتروني اليومية عند توفر تحديث إصدار جديد.
جرّب المزامنة مجانًا لمدة 30 يومًا
الخروقات من جميع أنحاء الويب
نقوم بتضمين الانتهاكات من جميع أنحاء الويب لأنه من الضروري أيضًا أن تكون على دراية بنقاط الضعف خارج نظام WordPress البيئي. يمكن أن تؤدي عمليات استغلال برامج الخادم إلى كشف البيانات الحساسة. يمكن أن تؤدي خروقات قاعدة البيانات إلى كشف بيانات الاعتماد للمستخدمين على موقعك ، مما يفتح الباب للمهاجمين للوصول إلى موقعك.
1. تكتشف وكالة الأمن القومي ثغرة أمنية في نظام التشغيل Windows 10
وجدت وكالة الأمن القومي عيبًا خطيرًا في برامج Microsoft ، لذا تأكد من أن لديك أحدث تصحيح أمان لـ Windows. ترتبط الثغرة الأمنية بـ Windows crypt32.dll ، الذي يتعامل مع الشهادات ووظائف المراسلة المشفرة. إذا تم استغلاله ، يمكن للمتسلل استخدام الثغرة الأمنية لتزوير توقيعات رقمية.
ملخص نقاط الضعف في WordPress لشهر يناير 2020 ، الجزء الأول
أعضاء bbPress فقط الإصدار 1.2.1 والإصدارات الأقل عرضة لهجوم التزوير عبر الموقع على صفحة الإعدادات الاختيارية للمكونات الإضافية.
bbPress تسجيل الدخول تسجيل الارتباطات في صفحات مواضيع المنتدى ، الإصدارات 2.7.5 وما يليها تتضمن ثغرة أمنية في طلب التزوير عبر الموقع والتي يمكن أن تؤدي إلى هجوم برمجة نصية مخزنة عبر المواقع.
تفتقر إصدارات GDPR Cookie Compliance 4.0.2 وما بعده إلى فحص للقدرات وعلامة أمان غير متوقعة تسمح للمستخدم المصادق عليه بحذف إعدادات البرنامج المساعد.
يُعد الإصدار 2.0.6 من معرض الصور والإصدارات الأقدم ثغرة أمنية لهجوم تعطيل البرنامج المساعد التعسفي
Minimal Coming Soon & Maintenance Mode الإصدارات 2.10 وما يليها بها العديد من الثغرات الأمنية
تعد إصدارات تتبع تحويل WooCommerce 2.04 والإصدارات الأقل عرضة لطلب التزوير عبر المواقع الذي يؤدي إلى هجوم XSS مخزن.
تحتوي إصدارات Postie 1.9.40 وما بعده على ثغرة Post Spoofing و Stored XSS التي يمكن أن تؤدي إلى قيام مستخدم غير مصادق بنشر منشور جديد. هذه ثغرة أمنية في يوم الصفر ويمكن لأي شخص بسهولة العثور على إرشادات حول استغلال المكون الإضافي Postie.
استيراد المستخدمين من CSV بإصدارات Meta 1.15 به ثغرة أمنية في تصدير المستخدمين غير المصرح لهم. سيسمح فحص القدرات المفقودة للمستخدم غير المصرح له بتصدير مستخدمي WordPress.
تحتوي إصدارات الأسئلة الشائعة المطلقة رقم 1.8.29 وما بعده على ثغرة أمنية في انعكاس XSS لم تتم مصادقته. لا يعمل الرمز المختصر للأسئلة الشائعة على تعقيم معلمة Display_FAQ حيث يمكن أن يؤدي إلى هجوم انعكاس عبر الموقع على الصفحات التي يتم فيها عرض الرمز القصير.
WP Simple Spreadsheet Fetcher For Google الإصدارات 0.3.6 وما يليها لديها ثغرة أمنية عبر الموقع التزوير التي قد تسمح للمهاجم بتعيين مفتاح API وتعسفي.
النسخ الاحتياطي والمرحل بواسطة WP Time Capsule الإصدارات 1.21.15 وما يليه بها ثغرة أمنية في تجاوز المصادقة والتي من شأنها أن تسمح للمهاجم بتسجيل الدخول كمستخدم مسؤول.
تحتوي إصدارات InfiniteWP Client 1.9.4.4 وما يليها على ثغرة أمنية في تجاوز المصادقة والتي من شأنها أن تسمح للمهاجم بتسجيل الدخول كمستخدم مسؤول.
يحتوي الإصدار 4.0.5 من Ultimate Auction والإصدار الأقل منه على العديد من نقاط الضعف في تزوير الطلبات عبر المواقع والبرمجة عبر المواقع.
WooCommerce - Store Exporter الإصدار 2.3.1 وما يليه عرضة لهجوم حقن CSV.
إصدار Awesome Support 5.7.1 والإصدارات الأقدم عرضة لهجمات XSS المخزنة.
تكون مقاطع الفيديو الموجودة على الإصدار 1.1.3 من Admin Dashboard والإصدارات الأقل عرضة لهجمات XSS المخزنة المصادق عليها.
يعد Computer Repair Shop الإصدار 1.0 عرضة لهجوم XSS المخزن المصادق عليه.
يعد إصدار LearnDash 3.1.1 والإصدارات أدناه عرضة لهجوم Scripted Cross-Site Scripting.
تحتوي إصدارات EasyBook 1.2.1 وما بعده على العديد من الثغرات الأمنية بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت المصادق عليه ، ومرجع كائن مباشر غير آمن.
تحتوي إصدارات TownHub 1.0.5 والإصدارات الأقدم على العديد من الثغرات الأمنية بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت المصادق عليه ، ومرجع كائن مباشر غير آمن.
تحتوي إصدارات CityBook 2.9.4 والإصدارات الأقدم على العديد من الثغرات الأمنية ، بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت الموثق ، ومرجع كائن مباشر غير آمن.
تحتوي إصدارات Real Estate 7 2.3.3 والإصدارات الأقدم على العديد من نقاط الضعف بما في ذلك ، XSS المنعكس غير المصادق ، و XSS الثابت الموثق ، ومرجع كائن مباشر غير آمن.
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
