تقرير موجز عن نقاط الضعف في WordPress: أكتوبر 2020 ، الجزء الأول
نشرت: 2020-12-08تم الكشف عن مكون WordPress الإضافي الجديد وثغرات الثغرات الأمنية خلال النصف الأول من شهر أكتوبر. في هذا المنشور ، نغطي مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.
نقاط الضعف الأساسية في ووردبريس
لم يتم الكشف عن أي ثغرات أمنية أساسية في WordPress في النصف الثاني من شهر يوليو.
نقاط الضعف في البرنامج المساعد WordPress
1. برنامج XCloner
إصدارات XCloner أدناه 4.2.15 بها ثغرة أمنية عبر الموقع طلب التزوير.
2. نموذج الاتصال بأشكال النينجا
تحتوي إصدارات نموذج جهات اتصال Ninja Forms أدناه على 3.4.27.1 على ثغرة أمنية في طلب التزوير عبر الموقع.
3. المبرمج
تحتوي جميع إصدارات Coditor على ثغرة أمنية في طلب التزوير عبر الموقع.
4. بسيط: اضغط
بسيط: الإصدارات الصحفية أدناه 6.6.1 بها ثغرة أمنية معطلة للتحكم في الوصول ، مما قد يؤدي إلى هجوم تنفيذ التعليمات البرمجية عن بُعد.
5. دورات WP LMS
إصدارات WP Course LMS الأقل من 2.0.29 بها ثغرة أمنية معطلة في التحكم في الوصول.
6. المنزلق بواسطة 10Web
يحتوي Slider by 10Web الإصدارات الأقل من 1.2.36 على ثغرات أمنية متعددة لإدخال SQL المصادق عليه.
7. WordPress + Microsoft Office 365 / Azure AD
تحتوي إصدارات WordPress + Microsoft Office 365 / Azure AD الأقل من 11.7 على ثغرة أمنية في تجاوز المصادقة.
8. عرض الفريق
تحتوي إصدارات Team Showcase الأقل من 1.22.16 على ثغرة أمنية في برمجة المواقع عبر المواقع المخزنة المصادق عليها.
9. بعد الشبكة
تحتوي إصدارات Post Grid الأقل من 2.0.73 على ثغرة أمنية في البرمجة النصية عبر المواقع المصادق عليها.
10. WPBakery Page Builder
تحتوي إصدارات WPBakery Page Builder أدناه 6.4.1 على ثغرة أمنية في البرمجة النصية عبر المواقع المصادق عليها المخزنة.
11. التعليقات المفرطة
جميع إصدارات Hypercomments Unauthenticated Arbitrary File Deletion ثغرة أمنية.
12. المحتوى الديناميكي للعنصر
يحتوي المحتوى الديناميكي لإصدارات Elementor الأقل من 1.9.6 على ثغرة أمنية مصادق عليها عن بُعد لتنفيذ التعليمات البرمجية.
13. بوويربريس بودكاستينغ
تحتوي إصدارات PowerPress Podcasting الأقل من 8.3.8 على مشكلات مصادق عليها من التحميل التعسفي للملف تؤدي إلى ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد.
ثغرات ثغرات سمة WordPress
1. رشيق
الإصدارات الرشيقة أقل من v1.2.9 بها ثغرة غير مصادق عليها "حقن وظيفة".
2. NewsMag
تحتوي إصدارات NewsMag الأقل من 2.4.2 على ثغرة أمنية غير مصادق عليها "حقن وظيفة".
3. أكتيفيلو
إصدارات Activello أقل من 1.4.2 بها ثغرة أمنية غير مصادق عليها وظيفة حقن.
4. إلدي
تحتوي الإصدارات Illdy الأقل من 2.1.7 على ثغرة أمنية في "حقن الوظيفة" غير المصادق.
5. الولاء
تحتوي الإصدارات المألوفة الأقل من 1.2.6 على ثغرة أمنية غير مصادق عليها "حقن الوظيفة".
6. صحيفة X
تحتوي إصدارات X من الصحف الأقل من 1.3.2 على ثغرة أمنية غير مصادق عليها "حقن وظيفة".
7. بيكسوفا لايت
تحتوي إصدارات Pixova Lite الأقل من 2.0.7 على ثغرة أمنية لم تتم مصادقتها وظيفة حقن.
8. تألق
تحتوي إصدارات Brilliance الأقل من 1.3.0 على ثغرة أمنية غير مصادق عليها في حقن الوظيفة.
9. MedZone Lite
تحتوي إصدارات MedZone Lite الأقل من 1.2.6 على ثغرة أمنية غير مصادق عليها "حقن وظيفة".
10. ريجينا لايت
تحتوي إصدارات Regina Lite الأقل من 2.0.6 على ثغرة أمنية غير مصادق عليها وظيفة حقن.
12. تجاوز
الإصدارات المتجاوزة التي تقل عن 1.2.0 تحتوي على ثغرة أمنية غير مصادق عليها "حقن وظيفة".
13. الأغنياء
الإصدارات الأثرياء أقل من 1.1.2 بها ثغرة في حقن الوظيفة غير المصادق عليها.
14. بونكرز
تحتوي إصدارات Bonkers الأقل من 1.0.6 على ثغرة أمنية غير مصادق عليها "حقن وظيفة".
15. أنترياس
تحتوي إصدارات Antreas أدناه 1.0.7 على ثغرة أمنية غير مصادق عليها وظيفة حقن.
16. NatureMag لايت
تحتوي جميع إصدارات NatureMag Lite على ثغرة أمنية غير مصادق عليها في حقن الوظيفة.
نصيحة الأمان لشهر أكتوبر: لماذا يجب عليك استخدام المصادقة الثنائية
يمكن أن يساعد استخدام المصادقة الثنائية لتسجيلات دخول مستخدم موقع WordPress الخاص بك في الحفاظ على موقع الويب الخاص بك آمنًا حتى إذا كنت تستخدم أحد المكونات الإضافية في هذا الإصدار من تقرير الثغرات الأمنية مع مصادقة تجاوز الثغرة الأمنية.
يمكن أن يساعد استخدام المصادقة الثنائية لتسجيلات دخول مستخدم موقع WordPress الخاص بك في الحفاظ على موقع الويب الخاص بك آمنًا حتى إذا كنت تستخدم مكونًا إضافيًا مع مصادقة تتجاوز الثغرات الأمنية.لماذا ا؟ تجعل المصادقة ذات العاملين من المستحيل تقريبًا على مستخدم غير مصادق تسجيل الدخول إلى موقع الويب الخاص بك.
ما هي المصادقة الثنائية ؟ المصادقة الثنائية هي عملية التحقق من هوية الشخص من خلال طلب طريقتين منفصلتين للتحقق. تضيف المصادقة الثنائية طبقة إضافية من أمان WordPress للتحقق من أنك تقوم بتسجيل الدخول بالفعل وليس شخصًا حصل على حق الوصول (أو حتى خمن) كلمة مرورك.
فيما يلي بعض الأسباب الأخرى لاستخدام المصادقة الثنائية لإضافة طبقة أخرى من الحماية لتسجيل الدخول إلى WordPress الخاص بك.
- كلمات المرور المعاد استخدامها هي كلمات مرور ضعيفة. وفقًا لتقرير تحقيقات خرق بيانات Verizon ، يعيد أكثر من 70٪ من الموظفين استخدام كلمات المرور في العمل. لكن الإحصائيات الأكثر أهمية من التقرير هي أن " 81٪ من الانتهاكات المتعلقة بالقرصنة استفادت من كلمات المرور المسروقة أو الضعيفة ".
- على الرغم من أن 91٪ من الأشخاص يعرفون أن إعادة استخدام كلمات المرور هي ممارسة سيئة ، إلا أن 59٪ من الأشخاص لا يزالون يعيدون استخدام كلمات المرور الخاصة بهم في كل مكان!
- لا يزال العديد من الأشخاص يستخدمون كلمات المرور التي ظهرت في ملف تفريغ قاعدة البيانات. يحدث تفريغ قاعدة البيانات عندما يتمكن المتسلل من الوصول بنجاح إلى قاعدة بيانات المستخدم ثم يقوم بتفريغ المحتويات في مكان ما عبر الإنترنت. لسوء حظنا ، تحتوي هذه المخلفات على الكثير من معلومات تسجيل الدخول والحساب الحساسة.
- تضمنت عملية "التجميع رقم 1 ″ لخرق البيانات التي تمت استضافتها على موقع MEGA 1160253228 مجموعة فريدة من عناوين البريد الإلكتروني وكلمات المرور. سيوفر هذا النوع من النقاط روبوتًا ضارًا بأكثر من مليار مجموعة من بيانات الاعتماد لاستخدامها في هجمات القوة الغاشمة. تشير هجمات القوة الغاشمة إلى طريقة التجربة والخطأ المستخدمة لاكتشاف مجموعات اسم المستخدم وكلمة المرور لاختراق موقع ويب.
- حتى إذا كان لديك كلمة مرور قوية، كنت فقط آمنة قدر كل مستخدم المشرف الآخرين على موقعك. حسنًا ، أنت من النوع الذي يستخدم مدير كلمات المرور مثل LastPass لإنشاء كلمات مرور قوية وفريدة من نوعها لكل حساب من حساباتك. ولكن ماذا عن المسؤولين والمحررين الآخرين على موقعك؟ إذا كان المهاجم قادرًا على اختراق أحد حساباته ، فلا يزال بإمكانه إلحاق الكثير من الضرر بموقعك على الويب.
- قالت Google إن المصادقة ذات العاملين فعالة ضد 100٪ من هجمات الروبوت الآلية . هذا وحده سبب وجيه.
كيفية إضافة مصادقة ثنائية لتأمين تسجيل الدخول إلى WordPress الخاص بك باستخدام iThemes Security Pro
يجعل المكون الإضافي iThemes Security Pro من السهل إضافة مصادقة ثنائية إلى مواقع WordPress الخاصة بك. مع المصادقة الثنائية WordPress من iThemes Security Pro ، يُطلب من المستخدمين إدخال كلمة مرور ورمز ثانوي يتم إرساله إلى جهاز محمول مثل الهاتف الذكي أو الكمبيوتر اللوحي. كل من كلمة المرور والرمز مطلوبان لتسجيل الدخول بنجاح إلى حساب مستخدم.
لبدء استخدام المصادقة الثنائية على موقع الويب الخاص بك ، قم بتمكين الميزة في الصفحة الرئيسية لإعدادات iThemes Security Pro.
في هذا المنشور ، قمنا بتفكيك جميع خطوات كيفية إضافة مصادقة ثنائية إلى موقعك باستخدام iThemes Security Pro ، بما في ذلك كيفية استخدام تطبيق جهة خارجية مثل Google Authenticator أو Authy.
انظر كيف يعمل
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security Pro
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
