تقرير موجز عن نقاط الضعف في WordPress: يونيو 2020 ، الجزء الأول

نشرت: 2020-08-18

تم الكشف عن مكون WordPress الإضافي الجديد وثغرات الثغرات الأمنية خلال النصف الأول من شهر يونيو ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي الأخير والموضوع ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة:

ووردبريس الأساسية
إضافات ووردبريس
موضوعات WordPress

سيكون لكل ثغرة تصنيف تهديد منخفض أو متوسط أو مرتفع أو حرج .

نقاط الضعف الأساسية في ووردبريس

1. تحديث ووردبريس 5.4.2 - الحرجة

إصدارات WordPress 5.4.2 متاحة الآن. هذا إصدار مهم للأمان والصيانة. تتأثر الإصدارات السابقة بالعديد من الأخطاء الأمنية ، والتي تم إصلاحها في الإصدار 5.4.2. إذا لم تكن قد قمت بالتحديث إلى الإصدار 5.4 ، فهناك أيضًا إصدارات محدثة من الإصدار 5.3 والإصدارات الأقدم تعمل على إصلاح مشكلات الأمان.

يمكنك تنزيل WordPress 5.4.2 من WordPress.org ، أو قم بزيارة لوحة تحكم WP Admin> التحديثات وانقر فوق التحديث الآن . إذا كانت لديك مواقع تدعم التحديثات التلقائية في الخلفية ، فمن المفترض أن تكون قد تم تحديثها بالفعل.

تم تصحيح الثغرات الأمنية ، ويجب عليك التحديث إلى WordPress 5.4.2

نقاط الضعف في البرنامج المساعد WordPress

تم اكتشاف العديد من ثغرات البرنامج الإضافي الجديد في WordPress هذا الشهر حتى الآن. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.

1. قم بسحب وإفلات تحميل ملفات متعددة لنموذج الاتصال 7 - مهم

قم بسحب وإفلات تحميل ملفات متعددة لإصدارات 7 من نموذج الاتصال أدناه 1.3.3.3 بها ثغرة أمنية في تجاوز تحميل ملف لم تتم مصادقته.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.3.3.3.

2. مُنشئ الصفحة: PageLayer - أداة سحب وإسقاط موقع الويب - عالية

Page Builder: PageLayer - سحب وإسقاط إصدارات منشئ مواقع الويب أدناه 1.1.2 تحتوي على AJAX غير محمي يؤدي إلى XSS و CSRF مما يؤدي إلى ثغرات XSS.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.1.2.

3. خرائط MapPress - الحرجة

تحتوي إصدارات MapPress Maps الأقل من 2.54.6 على عمليات فحص للقدرة غير الصحيحة في ثغرة AJAX Calls.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.54.6.

4. صورة معرض الصور شبكة البلاط النهائي - الحرجة

معرض الصور معرض الصور النهائية للإصدارات أقل من 3.4.19 شبكة مصادق عليها مخزنة عبر المواقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.4.19.

5. bbPress - حرجة

تحتوي إصدارات bbPress الأقل من 2.6.5 على ثغرة أمنية غير مصادق عليها في تصعيد الامتيازات عند تمكين تسجيل مستخدم جديد.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.6.5.

6. متعدد المجدول - عالية

تحتوي جميع إصدارات Multi Scheduler على حذف سجل تعسفي عبر ثغرة CSRF.

قم بإزالة المكون الإضافي حتى يتم تحرير إصلاح أمني.

7. وظيفة البحث - عالية

تحتوي إصدارات JobSearch أدناه 1.5.1 على ثغرة أمنية في البرمجة النصية عبر المواقع المنعكسة غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.5.1.

8. AdRotate - متوسط

تحتوي إصدارات AdRotate الأقل من 5.8.4 على ثغرة أمنية مصادقة لإدخال SQL.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 5.8.4.

9. Elementor Page Builder - مرتفع

تحتوي إصدارات Elementor Page Builder أدناه 2.9.10 على ثغرة أمنية مصادق عليها مخزنة XSS.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.9.10.

10. SportsPress - عالية

تحتوي إصدارات SportsPress أدناه 2.7.2 على ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.7.2.

ثيمات WordPress

1. Careerfy - عالية

إصدارات Careerfy الأقل من 3.9.0 بها ثغرة أمنية غير مصادق عليها في البرمجة النصية عبر المواقع المنعكسة.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.9.0.

2. جريدة - عالية

تحتوي إصدارات الصحف الأقل من 10.3.4 على ثغرة أمنية في البرمجة النصية عبر المواقع المنعكسة المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 10.3.4.

جديد! قم بحماية موقع WordPress الخاص بك باستخدام فحص موقع أمان iThemes.

هل تعلم أن 60٪ من خروقات مواقع الويب تتضمن ثغرات أمنية يتوفر لها تصحيح ولكن لم يتم تطبيقه؟ هذا يعني أن تثبيت برنامج به ثغرات أمنية معروفة على موقعك يمنح المتسللين المخططات التي يحتاجونها للسيطرة على موقعك.

كل يوم ، يصبح من الصعب جدًا تتبع كل ثغرة أمنية يتم الكشف عنها في WordPress . يجب عليك مقارنة هذه القائمة بإصدارات المكونات الإضافية والسمات التي قمت بتثبيتها على موقعك ... وتأكد من أنك تقوم بالتحديث باستمرار.

لحل هذه المشكلة ، يسعدنا اليوم أن نعلن أن المكون الإضافي iThemes Security Pro يطرح طريقة أفضل لحماية مواقعك من نقاط ضعف البرامج ، الجاني الأول لمواقع WordPress التي تم اختراقها واختراقها.

يقوم برنامج WordPress Security Site Scan الجديد والمحسّن والمدعوم من iThemes بإجراء فحوصات تلقائية بحثًا عن نقاط الضعف المعروفة في مواقع الويب ، وإذا كان التصحيح متاحًا ، فسيقوم iThemes Security Pro الآن تلقائيًا بتطبيق الإصلاح نيابة عنك ... حتى لا تضطر إلى ذلك. يا للعجب. هذا هو نوع من راحة البال.

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

تعرف على المزيد حول أمان WordPress من خلال 10 نصائح رئيسية. قم بتنزيل الكتاب الإلكتروني الآن: دليل لأمن WordPress

التحميل الان

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.