تقرير موجز عن نقاط الضعف في WordPress: أكتوبر 2020 ، الجزء الثاني

نشرت: 2021-03-10

تم الكشف عن عدد غير قليل من ثغرات البرنامج المساعد الجديد في WordPress خلال النصف الثاني من شهر أكتوبر. في هذا المنشور ، نغطي مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.

في تقرير أكتوبر الجزء الثاني

    نقاط الضعف الأساسية في ووردبريس

    تم إصدار WordPress 5.5.2 في 29 أكتوبر وشمل 10 إصلاحات أمان أساسية لـ WordPress.

    فيما يلي قائمة بإصلاحات الأمان المذكورة في منشور إصدار WordPress 5.5.2.

    • طلبات إزالة التسلسل المشددة.
    • إصلاح لتعطيل عمليات تضمين البريد العشوائي من المواقع المعطلة على شبكة متعددة المواقع .
    • تم إصلاح مشكلة أمنية قد تؤدي إلى XSS من المتغيرات العامة.
    • تم إصلاح مشكلة تصعيد الامتياز في XML-RPC.
    • تم إصلاح مشكلة تتعلق بتصعيد الامتياز حول التعليق على المنشور عبر XML-RPC.
    • تم إصلاح مشكلة أمنية حيث قد يؤدي هجوم DoS إلى RCE.
    • تمت إزالة طريقة لتخزين XSS في الرخويات اللاحقة.
    • طريقة تمت إزالتها لتجاوز البيانات الوصفية المحمية والتي قد تؤدي إلى حذف ملف تعسفي.
    • تمت إزالة الطريقة التي قد تؤدي إلى CSRF.
    تم تصحيح الثغرات الأمنية ، لذا قم بتحديث WordPress إلى الإصدار 5.5.2.

    نقاط الضعف في البرنامج المساعد WordPress

    1. الدردشة الحية - الدعم المباشر

    الدردشة الحية - إصدارات الدعم المباشر أدناه 3.2.0 بها ثغرة أمنية عبر الموقع طلب التزوير.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.2.0.

    2. محادثة سريعة

    تحتوي جميع إصدارات الدردشة السريعة على ثغرة أمنية في البرمجة النصية عبر المواقع المخزنة غير المصادق عليها.

    قم بإزالة المكون الإضافي حتى يتم تحرير إصلاح أمني.

    3. صانع موضوع الطفل من Orbisius

    لدى إصدارات Child Theme Creator الأقل من 1.5.2 ثغرة أمنية في CSRF لتعديل / إنشاء ملف تعسفي.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.5.2.

    4. Realia

    تحتوي جميع إصدارات Realia على IDOR غير مصادق مما يؤدي إلى ثغرة أمنية بعد الحذف التعسفي.

    قم بإزالة المكون الإضافي حتى يتم تحرير إصلاح أمني.

    5. اضغط على التعليق

    تعليق تحتوي الإصدارات الصحفية أدناه 2.7.2 على ثغرة أمنية في البرمجة النصية عبر الإطارات غير المصادق عليها.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.7.2.

    6. سوبر ستور فايندر لووردبريس

    يحتوي Super Store Finder لإصدارات WordPress الأقل من 6.2 على ثغرة أمنية في تحميل ملف تعسفي لم تتم مصادقته.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 6.2.

    7. خرائط تفاعلية فائقة لبرنامج WordPress

    تحتوي إصدارات Super Interactive Maps for WordPress أقل من 2.0 على ثغرة أمنية في تحميل الملفات التعسفية غير المصادق عليها.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.0.

    8. Super Logos Showcase لبرنامج WordPress

    واجهة عرض الشعارات الفائقة لإصدارات WordPress الأقل من 2.3 بها ثغرة أمنية في تحميل ملف تعسفي لم تتم مصادقته.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.3.

    9. برنامج مراقبة التحميل البسيط

    تحتوي إصدارات Simple Download Monitor أدناه 3.8.9 على برمجة نصية غير مصادقة عبر الموقع وثغرات أمنية لحقن SQL.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 3.8.9.

    10. تسجيل الدخول

    تحتوي إصدارات Loginizer الأقل من 1.6.4 على ثغرة أمنية غير مصادق عليها SQL Injection.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.6.4.

    11. منزلق شعار ماركة هيليوس سوليوشنز

    تحتوي جميع إصدارات شريط تمرير شعار العلامة التجارية لشركة Helios Solutions على ثغرة أمنية مصادق عليها لتحميل الملفات التعسفية.

    قم بإزالة المكون الإضافي حتى يتم تحرير إصلاح أمني.

    12. مدير تحميل CM

    تحتوي إصدارات CM Download Manager الأقل من 2.8.0 على ثغرة أمنية في البرمجة النصية عبر المواقع المصادق عليها.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 2.8.0.

    13. تقويم الحجز المتقدم

    تحتوي إصدارات تقويم الحجز المتقدمة الأقل من 1.6.2 على ثغرة أمنية لم تتم مصادقتها من خلال إدخال SQL.

    تم تصحيح الثغرة الأمنية ، ويجب عليك التحديث إلى الإصدار 1.6.2.

    ثغرات ثغرات سمة WordPress

    لم يتم الإبلاغ عن أي ثغرات أمنية لموضوع WordPress في النصف الثاني من شهر أكتوبر.

    نصيحة الأمان لشهر أكتوبر: لماذا يجب أن تقوم بتسجيل نشاط أمان موقع الويب

    يجب أن يكون تسجيل الأمان جزءًا أساسيًا من استراتيجية أمان WordPress الخاصة بك. لماذا ا؟

    يمكن أن يؤدي عدم كفاية التسجيل والمراقبة إلى تأخير اكتشاف خرق أمني. تظهر معظم دراسات الاختراق أن الوقت اللازم لاكتشاف الاختراق يزيد عن 200 يوم!

    يسمح هذا المقدار من الوقت للمهاجم باختراق أنظمة أخرى أو تعديل أو سرقة أو إتلاف المزيد من البيانات. لهذا السبب ، وصل "التسجيل غير الكافي" إلى أعلى 10 مخاطر لأمان تطبيقات الويب في OWASP.

    تتمتع سجلات أمان WordPress بالعديد من الفوائد في إستراتيجيتك الأمنية الشاملة ، مما يساعدك على:

    1. الهوية ووقف السلوك الخبيث.
    2. حدد نشاطًا يمكن أن ينبهك إلى حدوث خرق.
    3. تقييم مقدار الضرر الذي حدث.
    4. المساعدة في إصلاح موقع تم الاستيلاء عليه.

    إذا تعرض موقعك للاختراق ، فستحتاج إلى الحصول على أفضل المعلومات للمساعدة في إجراء تحقيق سريع واسترداد.

    والخبر السار هو أن iThemes Security Pro يمكن أن يساعدك في تنفيذ تسجيل موقع الويب. تتعقب سجلات أمان WordPress الخاصة بـ iThemes Security Pro جميع أنشطة مواقع الويب هذه من أجلك:

    • هجمات القوة الغاشمة ووردبريس
    • تغييرات الملف
    • عمليات فحص البرامج الضارة
    • نشاط المستخدم

    يتم بعد ذلك عرض الإحصائيات من سجلاتك في لوحة معلومات أمان WordPress في الوقت الفعلي والتي يمكنك عرضها من لوحة تحكم مسؤول WordPress.

    تحقق من منشور تسليط الضوء على هذه الميزة حيث نقوم بفك جميع خطوات إضافة سجلات أمان WordPress إلى موقع الويب الخاص بك باستخدام iThemes Security Pro.

    انظر كيف يعمل

    يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

    يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

    احصل على iThemes Security Pro