تقرير موجز عن نقاط الضعف في WordPress: مارس 2020 ، الجزء الأول

نشرت: 2020-11-22

تم الكشف عن مكون WordPress الإضافي الجديد وثغرات الثغرات الأمنية خلال النصف الأول من شهر مارس ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي الأخير والموضوع ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى أربع فئات مختلفة:

  1. ووردبريس الأساسية
  2. إضافات ووردبريس
  3. موضوعات WordPress

نقاط الضعف الأساسية في ووردبريس

أخبار جيدة! لم يتم الكشف عن أي ثغرات أمنية أساسية في WordPress حتى الآن في عام 2020.

نقاط الضعف في البرنامج المساعد WordPress

تم اكتشاف العديد من ثغرات البرنامج الإضافي الجديد في WordPress هذا الشهر حتى الآن. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.

1. جدول التسعير من قبل Supsystic

يحتوي جدول التسعير بإصدارات Supsystic 1.8.1 وأقل على نقاط ضعف متعددة.

تم تصحيح الثغرات الأمنية ، ويجب عليك التحديث إلى الإصدار 1.8.2.

2. حقول الخروج المرنة لـ WooCommerce

تحتوي حقول السحب المرنة لإصدارات WooCommerce 2.3.1 وما يليها على ثغرة أمنية في تحديث الإعدادات غير المصادق عليها. تم استغلال البرنامج المساعد بشكل نشط في wiled ، ويحقن نصوصًا ضارة في صفحات الخروج من WooCommerce.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.3.2.

3. تصدير المستخدمين

تعد إصدارات Export-Users 1.4.2 وما يليها عرضة لهجوم حقن CSV.

تم إغلاق المكون الإضافي في مستودع مكونات WordPress.org ويجب إزالته.

4. خرائط البطل

يحتوي الإصدار 2.2.1 من خرائط البطل وما يليه على ثغرة أمنية في البرمجة النصية المنعكسة عبر المواقع غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.2.3.

5. مدفوعات CardGate لـ WooCommerce

مدفوعات CardGate لإصدارات WooCommerce 3.1.15 وما بعده بها ثغرة أمنية في اختطاف المدفوعات غير المصرح بها وانتحال حالة الطلب.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.1.16.

6. Async JavaScript

تحتوي إصدارات Async JavaScript 2.19.07.14 وما يليها على ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.20.02.27.

7. 10Web Map Builder لخرائط جوجل

10Web Map Builder for Google Maps الإصدارات 1.0.63 وما يليها بها ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.0.64.

8. تقويم الأحداث الحديثة لايت

تحتوي الإصدارات Modern Events Calendar Lite من الإصدار 5.1.6 والإصدارات اللاحقة على ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 5.1.7.

9. تقويم حجز المواعيد

تحتوي إصدارات تقويم حجز المواعيد 1.3.34 وما يليها على ثغرة أمنية في برمجة المواقع عبر المواقع المخزنة المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.3.35.

10. WPForms

تحتوي إصدارات WPForms 1.5.8.2 وما بعده على ثغرة أمنية في برمجة المواقع عبر المواقع المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.5.9.

11. WordPress WP- بحث متقدم

تحتوي إصدارات WordPress WP-Advanced-Search 3.3.3 وما يليها على ثغرة أمنية في الوصول إلى قاعدة بيانات غير مصادق وتنفيذ التعليمات البرمجية عن بُعد.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.3.4.

12. تسجيل السحر

RegisterMagic الإصدارات 4.6.0.1 وما بعده بها العديد من الثغرات الأمنية.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 4.6.0.4.

13. بريزي - باني الصفحة

تحتوي إصدارات Brizy - Page Builder 1.0.113 وما يليها على ثغرة أمنية لتحديث إعدادات الموقع غير المصادق عليها.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.0.114.

14. نظام إدخال بيانات مخصص للبحث

تحتوي إصدارات نظام إدخال البيانات المخصص القابل للبحث 1.7.1 وما بعده على ثغرة أمنية في تعديل البيانات غير المصادق عليها وحذفها. يتم استغلال الضعف بنشاط.

لم يتم إصدار تصحيح الأمان ويجب عليك إزالة المكون الإضافي.

15. سجل تدقيق أمان WP

WP Security Audit Log الإصدارات 4.0.1 وأقل ثغرة أمنية في التحكم في الوصول.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 4.0.2.

ثيمات WordPress

لم يكن هناك أي ثغرات أمنية تم الكشف عنها في مارس 2020.

كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد

يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

يمكن أن تساعد التحديثات التلقائية

تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.

خيارات تحديث إدارة الإصدار
  • تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
  • التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
  • التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
  • التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).
التقوية والتنبيه للقضايا الحرجة
  • تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
  • البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
  • إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.

إدارة مواقع WP متعددة؟ قم بتحديث المكونات الإضافية والسمات والأساسية مرة واحدة من لوحة معلومات مزامنة iThemes

iThemes Sync هي لوحة القيادة المركزية الخاصة بنا لمساعدتك في إدارة مواقع WordPress المتعددة. من لوحة معلومات المزامنة ، يمكنك عرض التحديثات المتاحة لجميع مواقعك ثم تحديث المكونات الإضافية والسمات ونواة WordPress بنقرة واحدة . يمكنك أيضًا الحصول على إشعارات البريد الإلكتروني اليومية عند توفر تحديث إصدار جديد.

جرّب المزامنة مجانًا لمدة 30 يومًا

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

تعرف على المزيد حول أمان WordPress من خلال 10 نصائح رئيسية. قم بتنزيل الكتاب الإلكتروني الآن: دليل لأمن WordPress
التحميل الان