تقرير موجز عن نقاط الضعف في WordPress: سبتمبر 2019 ، الجزء الثاني
نشرت: 2019-11-13* تم التحديث في 13 نوفمبر 2019 ليعكس اعتماد وتصحيح التقييمات الغنية بواسطة Starfish Reviews. شكراً جزيلاً لـ Starfish Reviews لإنقاذ المكوّن الإضافي Rich Reviews!
تم الكشف عن العديد من مكونات WordPress الجديدة والثغرات الأمنية خلال النصف الأخير من شهر سبتمبر ، لذلك نريد أن نبقيك على علم بذلك. في هذا المنشور ، نغطي مكون WordPress الإضافي ونقاط الضعف وماذا تفعل إذا كنت تقوم بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
نقسم تقرير ثغرات WordPress إلى أربع فئات مختلفة:
- 1. نواة ووردبريس
- 2. ملحقات WordPress
- 3. ثيمات WordPress
- 4. الخروقات من جميع أنحاء الويب
* نقوم بتضمين الانتهاكات من جميع أنحاء الويب لأنه من الضروري أيضًا أن تكون على دراية بنقاط الضعف خارج نظام WordPress البيئي. يمكن أن تؤدي عمليات استغلال برامج الخادم إلى كشف البيانات الحساسة. يمكن أن تؤدي خروقات قاعدة البيانات إلى كشف بيانات الاعتماد للمستخدمين على موقعك ، مما يفتح الباب للمهاجمين للوصول إلى موقعك.
نقاط الضعف الأساسية في ووردبريس
نقاط الضعف في البرنامج المساعد WordPress
تم اكتشاف العديد من ثغرات البرنامج الإضافي WordPress الجديد في أغسطس. تأكد من اتباع الإجراء المقترح أدناه لتحديث المكون الإضافي أو إلغاء تثبيته تمامًا.
1. وودي مقتطفات
Woody Ad Snippets ، الإصدار 2.2.8 وما يليه عرضة لهجوم البرمجة النصية عبر المواقع.
ماذا يجب ان تفعل
2. من السهل FancyBox
إصدار Easy FancyBox 1.8.17 وما بعده عرضة لهجوم البرمجة النصية عبر المواقع.
ماذا يجب ان تفعل
3. مرشحات منتجات AJAX المتقدمة
تعد فلاتر منتج AJAX المتقدمة ، الإصدار 1.3.6 وما بعده عرضة لتحديث إعدادات غير مصادق. ستسمح الثغرة الأمنية للمهاجم بإعادة توجيه حركة المرور إلى موقع ضار.
ماذا يجب ان تفعل
4. أعط
إعطاء الإصدار 2.5.4 والإصدارات الأقل عرضة لهجوم تجاوز المصادقة.
ماذا يجب ان تفعل
5. تجار السيارات والإعلانات المبوبة للسيارات
يحتوي الإصدار 1.4.0 من شركة Motors Car Dealer والإعلانات المبوبة على العديد من نقاط الضعف بما في ذلك استيراد وتصدير إعدادات غير مصادقة مما يؤدي إلى هجوم Scripted Cross-Site Scripting. ستسمح الثغرة الأمنية للمهاجم بإعادة توجيه حركة المرور إلى موقع ضار.
ماذا يجب ان تفعل
6. الأسئلة الشائعة في نهاية المطاف
Ultimate FAQ الإصدار 1.8.24 والإصدارات الأقدم عرضة لهجوم استيراد وتصدير إعدادات غير مصادقة.
ماذا يجب ان تفعل
7. DELUCKS SEO
يحتوي الإصدار 2.1.7 من DELUCKS SEO والإصدارات الأقل على ثغرة أمنية في تحديث الخيار غير المصادق.
ماذا يجب ان تفعل
8. المراجعات الغنية
يحتوي إصدار Rich Reviews 1.7.4 وما يليه على ثغرة أمنية في تحديث خيارات البرنامج المساعد غير المصادق.
ماذا يجب ان تفعل
ثيمات WordPress
9. سيليو - دليل العقارات
يحتوي Selio - Real Estate Directory الإصدار 1.1 وما يليه على ثغرة أمنية في حقن SQL ووجود ثغرة أمنية في البرمجة النصية المستمرة عبر المواقع.
ماذا يجب ان تفعل
10. نيكسوس - عقارات
يحتوي Nexos - Real Estate الإصدار 1.1 وما يليه على ثغرة أمنية في حقن SQL ووجود ثغرة أمنية في البرمجة النصية المستمرة عبر المواقع.
ماذا يجب ان تفعل
كيف تكون استباقيًا فيما يتعلق بموضوع WordPress وثغرات البرنامج المساعد
يعد تشغيل البرامج القديمة السبب الأول وراء اختراق مواقع WordPress. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.
يمكن أن تساعد التحديثات التلقائية
تعد التحديثات التلقائية خيارًا رائعًا لمواقع WordPress التي لا تتغير كثيرًا. غالبًا ما يؤدي عدم الانتباه إلى إهمال هذه المواقع وعرضها للهجمات. حتى مع إعدادات الأمان الموصى بها ، فإن تشغيل برنامج ضعيف على موقعك يمكن أن يمنح المهاجم نقطة دخول إلى موقعك.
باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. تساعد هذه الإعدادات في حماية موقعك بخيارات للتحديث تلقائيًا إلى الإصدارات الجديدة أو لزيادة أمان المستخدم عندما تكون برامج الموقع قديمة.
خيارات تحديث إدارة الإصدار
- تحديثات WordPress - قم بتثبيت أحدث إصدار من WordPress تلقائيًا.
- التحديثات التلقائية للمكونات الإضافية - قم بتثبيت آخر تحديثات البرنامج المساعد تلقائيًا. يجب تمكين هذا ما لم تقم بصيانة هذا الموقع بنشاط بشكل يومي وتثبيت التحديثات يدويًا بعد وقت قصير من إصدارها.
- التحديثات التلقائية للموضوع - قم بتثبيت آخر تحديثات السمة تلقائيًا. يجب تمكين هذا إلا إذا كان المظهر الخاص بك يحتوي على تخصيصات للملف.
- التحكم الدقيق في تحديثات المكونات الإضافية والسمات - قد يكون لديك مكونات إضافية / سمات ترغب في تحديثها يدويًا أو تأخير التحديث حتى يتوفر الوقت للإصدار لإثبات ثباته. يمكنك اختيار Custom لإتاحة الفرصة لتعيين كل مكون إضافي أو سمة إما للتحديث الفوري ( تمكين ) ، أو عدم التحديث تلقائيًا على الإطلاق ( تعطيل ) أو التحديث مع تأخير لمدة محددة من الأيام ( تأخير ).
التقوية والتنبيه للقضايا الحرجة
- تقوية الموقع عند تشغيل برنامج قديم - أضف تلقائيًا وسائل حماية إضافية إلى الموقع عندما لا يتم تثبيت تحديث متوفر لمدة شهر. سيقوم المكون الإضافي iThemes Security تلقائيًا بتمكين أمان أكثر صرامة عند عدم تثبيت التحديث لمدة شهر. أولاً ، سيتم إجبار جميع المستخدمين الذين ليس لديهم عاملين ممكّنين على تقديم رمز تسجيل دخول يتم إرساله إلى عنوان بريدهم الإلكتروني قبل تسجيل الدخول مرة أخرى. ثانيًا ، سيتم تعطيل WP File Editor (لمنع الأشخاص من تحرير المكون الإضافي أو رمز السمة) و XML-RPC pingbacks وحظر محاولات مصادقة متعددة لكل طلب XML-RPC (كلاهما سيجعل XML-RPC أقوى ضد الهجمات دون الحاجة إلى إيقاف تشغيله تمامًا).
- البحث عن مواقع WordPress القديمة الأخرى - سيؤدي هذا إلى التحقق من تثبيتات WordPress القديمة الأخرى على حساب الاستضافة الخاص بك. قد يسمح موقع WordPress واحد قديم به ثغرة أمنية للمهاجمين بخرق جميع المواقع الأخرى على نفس حساب الاستضافة.
- إرسال إعلامات البريد الإلكتروني - بالنسبة للمشكلات التي تتطلب التدخل ، يتم إرسال بريد إلكتروني إلى المستخدمين على مستوى المسؤول.
الخروقات من جميع أنحاء الويب
1. DoorDash
كشفت DoorDash في منشور مدونة أن 4.9 مليون عميل وتاجر وموظف تم اختراق بياناتهم خلال خرق وقع في 4 مايو 2019.
شمل الخرق الأسماء وعناوين البريد الإلكتروني والعناوين الفعلية وأرقام الهواتف وكلمات المرور المجزأة. لحسن الحظ ، لم يخزنوا كلمات المرور في نص عادي ، لذا سيكون من الصعب جدًا على المهاجم فك تشفير كلمات المرور واستخدامها.
تم اختراق الأرقام الأربعة الأخيرة من بعض بطاقات الائتمان ولكن لم يتم الوصول إلى أرقام بطاقات الائتمان الكاملة أو أرقام CVV.
لسوء الحظ ، تم تضمين بعض أرقام رخصة قيادة الموظفين في الخرق.
إذا كنت أحد عملاء DoorDash ، فيمكنك الاتصال بهم في مركز الاتصال المخصص للإعداد للدعم على الرقم 855-646–4683
2. LastPass
اكتشف Chrome Project Zero ثغرة أمنية في امتداد LastPass لمتصفح Chrome و Opera وكشف عنها. ستسمح الثغرة الأمنية لموقع ويب ضار بإنشاء نافذة منبثقة وتجاوز do_popupregister () للحصول على بيانات اعتماد آخر حساب تم تسجيل الدخول إليه باستخدام LastPass.
لا يوجد دليل على أن هذه الثغرة الأمنية قد تم استغلالها في البرية ، وقد أصدر LastPass تصحيحًا لإصدارات Chrome و Opera من امتدادهما.
تسلط الثغرة الأمنية الضوء على أهمية استخدام المصادقة الثنائية وتجعلني أكثر حماسًا بشأن المستقبل بدون كلمة مرور.
يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك
يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 30 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام المصادقة الثنائية لـ WordPress ، وحماية القوة الغاشمة ، وفرض كلمة المرور القوي ، والمزيد ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.
احصل على iThemes Security
كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.
