تقرير موجز عن نقاط الضعف في WordPress: أكتوبر 2019 ، الجزء الثاني

نشرت: 2019-10-30

تم الكشف عن العديد من مكونات WordPress الجديدة والثغرات الأمنية خلال النصف الثاني من شهر أكتوبر ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي ونقاط الضعف وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

نقسم تقرير ثغرات WordPress إلى أربع فئات مختلفة:

1. نواة ووردبريس
2. ملحقات WordPress
3. موضوعات WordPress
4. الخروقات من جميع أنحاء الويب

* نقوم بتضمين الانتهاكات من جميع أنحاء الويب لأنه من الضروري أيضًا أن تكون على دراية بنقاط الضعف خارج نظام WordPress البيئي. يمكن أن تؤدي عمليات استغلال برامج الخادم إلى كشف البيانات الحساسة. يمكن أن تؤدي خروقات قاعدة البيانات إلى كشف بيانات الاعتماد للمستخدمين على موقعك ، مما يفتح الباب للمهاجمين للوصول إلى موقعك.

ملاحظة: يمكنك التخطي للأمام إلى مخطط ملخص الثغرات الأمنية للجزء الثاني من أكتوبر 2019 المدرج أدناه.

نقاط الضعف الأساسية في ووردبريس

لم يتم الكشف عن أي ثغرات أمنية في WordPress في النصف الثاني من أكتوبر 2019.

نقاط الضعف في البرنامج المساعد WordPress

تم اكتشاف العديد من ثغرات البرنامج المساعد الجديد في WordPress في أكتوبر. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.

1. حزمة الكل في واحد SEO

الكل في واحد SEO Logo

يعد إصدار حزمة All In One SEO Pack 3.2.6 وما يليه عرضة لهجوم Stored Cross-Site Scripting. سيحتاج المهاجم إلى استخدام مستخدم مصدق عليه لاستغلال الثغرة الأمنية. إذا تمكن المهاجم من الوصول إلى مستخدم إداري ، فيمكنه تنفيذ كود PHP وتعريض الخادم للخطر.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.2.7.

2. مدقق الارتباط المكسور

شعار مدقق الارتباط المكسور

يعد Broken Link Checker الإصدار 1.11.8 والإصدارات الأقل عرضة لهجوم Authenticated Cross-Site Scripting.

ماذا يجب ان تفعل

قم بإلغاء تثبيت البرنامج المساعد وحذفه. لا تقوم إدارة WP بصيانة المكون الإضافي بشكل نشط ولن تصدر تصحيحًا.

3. مدير الفعاليات

شعار مدير الأحداث

إن إصدار "مدير الأحداث" 5.9.5 والإصدارات الأقدم عرضة لهجوم "برمجة نصية عبر المواقع" مخزنة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 5.9.6.

4. قانون ملفات تعريف الارتباط في الاتحاد الأوروبي

شعار قانون ملفات تعريف الارتباط للاتحاد الأوروبي

يعتبر الإصدار 3.0.6 من قانون ملفات تعريف الارتباط في الاتحاد الأوروبي وما يليه عرضة لهجوم البرمجة النصية عبر المواقع. ستسمح الثغرة الأمنية للمهاجم بإدراج HTML وجافا سكريبت عشوائيًا لتعديل إعدادات نص "لون الخط" و "لون الخلفية" و "تعطيل ملف تعريف الارتباط" في المكون الإضافي.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.1.

5. سرعة تصغير

شعار تصغير السرعة السريعة

يحتوي الإصدار 2.7.6 من Fast Velocity Minify وما بعده على ثغرة أمنية تسمح للمهاجم المصادق عليه باكتشاف مسار الجذر الكامل لتثبيت WordPress. إن ثغرة المسار الكامل في حد ذاتها ليست حرجة. ومع ذلك ، فإن معرفة مسار الجذر من شأنه أن يمنح المهاجم المعلومات اللازمة للاستفادة من نقاط الضعف الأخرى الأكثر خطورة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.7.7.

6. SyntaxHighlighter متطورة

شعار متطور لأداة التمييز

SyntaxHighlighter الإصدار 3.5.0 وما بعده عرضة لهجوم البرمجة النصية عبر المواقع.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.5.1.

7. WP HTML Mail

WP HTML Mail Logo

يعد إصدار WP HTML Mail 2.9.0.3 وما يليه عرضة لهجوم حقن HTML.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.9.1.

8. شرائح الفواتير

فواتير مقطعة

يحتوي إصدار Sliced Invoices الإصدار 3.8.2 وما بعده على العديد من الثغرات الأمنية. تتضمن الثغرات الأمنية حقن SQL مصدق عليه ، وبرمجة المواقع المنعكسة المصادق عليها ، والكشف عن المعلومات غير المصادق الذي يسمح بالوصول إلى الفواتير ، ونقص عمليات التحقق من تزوير الطلبات عبر الموقع والمصادقة.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.8.4.

9. Zoho CRM Lead Magnet Plugin

شعار ZOHO CRM

يعد Zoho CRM Lead Magnet Plugin الإصدار 1.6.9 عرضة لهجوم برمجة المواقع عبر المواقع المصادق عليها. ستسمح الثغرة الأمنية للمهاجم بتنفيذ تعليمات برمجية ضارة في متصفح المستخدم.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.6.9.1.

10. حول المؤلف

حول شعار المؤلف

حول إصدار المؤلف 1.3.9 وما يليه عرضة لهجوم البرمجة النصية عبر المواقع المصادق عليها.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.4.0.

11. قوالب البريد الإلكتروني

شعار قوالب البريد الإلكتروني

يعد الإصدار 1.3 والإصدارات الأقدم من قوالب البريد الإلكتروني عرضة لهجوم حقن HTML.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 1.3.1.

12. جرذيهوغ

شعار جراوندهوج

يعد الإصدار 1.3.11.3 من Groundhogg والإصدارات الأقل عرضة لهجمات البرمجة النصية عبر المواقع المصادق عليها وهجوم SQL Injection.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.0.9.11.

13. قالب البريد الإلكتروني WP

WP شعار قالب البريد الإلكتروني

WP Email Template ، الإصدار 2.2.10 وما يليه عرضة لهجوم حقن HTML.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.2.11.

ثيمات WordPress

14. InJob

شعار موضوع InJob

يعد الإصدار 3.3.7 من InJob وما يليه عرضة لهجوم البرمجة النصية عبر المواقع.

ماذا يجب ان تفعل

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.3.8.

كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد

يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

يمكن أن تساعد التحديثات التلقائية

تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.

خيارات تحديث إدارة الإصدار

تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).

التقوية والتنبيه للقضايا الحرجة

تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.

الخروقات من جميع أنحاء الويب

1. ثغرة أمنية في تنفيذ كود PHP عن بعد على خوادم NGINX

شعارات PHP و NGINX

إذا كان أحد مواقعك موجودًا على خادم NGINX الذي تم تمكين PHP-FPM به ، فقد تكون عرضة لهجوم تنفيذ التعليمات البرمجية عن بُعد.

يجب عليك التواصل مع مضيفك على الفور للتأكد من أن خادمك يعمل بأحد هذه الإصدارات المصححة من PHP 7.3.11 أو 7.2.24 أو 7.1.33.

ملخص نقاط الضعف في WordPress لملفات
أكتوبر 2019 ، الجزء الثاني

جوهر

لم يتم الكشف عن أي ثغرات أمنية في WordPress Core في النصف الثاني من أكتوبر 2019.

الإضافات

يعد إصدار حزمة All In One SEO Pack 3.2.6 وما يليه عرضة لهجوم Stored Cross-Site Scripting.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.2.7.

يعد Broken Link Checker الإصدار 1.11.8 والإصدارات الأقل عرضة لهجوم Authenticated Cross-Site Scripting.

قم بإزالة المكون الإضافي. لا تقوم إدارة WP بصيانة المكون الإضافي بشكل نشط ولن تصدر تصحيحًا.

يُعد الإصدار 5.9.5 من "مدير الأحداث" والإصدارات الأقدم عرضة لهجمات "البرمجة النصية عبر المواقع" المخزنة.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 5.9.6.

يعتبر الإصدار 3.0.6 من قانون ملفات تعريف الارتباط في الاتحاد الأوروبي وما يليه عرضة لهجوم البرمجة النصية عبر المواقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.1.

يحتوي الإصدار 2.7.6 من Fast Velocity Minify وما بعده على ثغرة أمنية تسمح للمهاجم المصادق عليه باكتشاف مسار الجذر الكامل لتثبيت WordPress.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.7.7.

SyntaxHighlighter الإصدار 3.5.0 وما بعده عرضة لهجوم البرمجة النصية عبر المواقع.

تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.5.1.

يعد إصدار WP HTML Mail 2.9.0.3 وما يليه عرضة لهجوم حقن HTML.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 2.9.1.

يحتوي إصدار Sliced Invoices الإصدار 3.8.2 وما بعده على العديد من الثغرات الأمنية. تتضمن الثغرات الأمنية حقن SQL مصادق عليه ، وبرمجة المواقع المنعكسة المصادق عليها ، والكشف عن المعلومات غير المصادق الذي يسمح بالوصول إلى الفواتير ، ونقص عمليات التحقق من تزوير الطلبات عبر الموقع والمصادقة.

تم تصحيح الثغرة الأمنية ، ويجب عليك تحديثها إلى الإصدار 3.8.4.

يعد Zoho CRM Lead Magnet Plugin الإصدار 1.6.9 عرضة لهجوم برمجة المواقع عبر المواقع المصادق عليها.