تقرير ضعف WordPress: ديسمبر 2021 ، الجزء الأول
نشرت: 2021-12-02المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
استضافة ووردبريس: GoDaddy Hacked
في كشف أمني نُشر في 21 نوفمبر 2021 ، يقول GoDaddy إنه تم الكشف عن ما يصل إلى 1.2 مليون عميل نشط وغير نشط بعد أن تمكن المتسللون من الوصول إلى منصة استضافة WordPress المُدارة.
لقد كتبنا منشورًا لتفريغ بعض تفاصيل اختراق GoDaddy الأخير ، وكيفية تأثيره على العملاء ، وتوصياتنا بشأن ما يجب فعله إذا كنت أحد عملاء استضافة WordPress في GoDaddy.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. شعار دائري
البرنامج المساعد: Logo Carousel
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.4.2
درجة الخطورة : متوسطة
البرنامج المساعد: Logo Carousel
الضعف : الوصول غير المصرح به إلى البريد الخاص
مصححة في الإصدار : 3.4.2
درجة الخطورة : متوسطة
2. حالة الطلب المخصص لـ Ni WooCommerce
البرنامج المساعد: Ni WooCommerce Custom Order Status
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 1.9.7
درجة الخطورة : مرتفع
3. WCFM
البرنامج المساعد: WCFM
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 3.4.12
درجة الخطورة : مرتفع
4. أشكال ايفرست
البرنامج المساعد: أشكال ايفرست
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.8.0
درجة الخطورة : متوسطة
5. إحصائيات زوار WP (حركة المرور في الوقت الفعلي)
البرنامج المساعد: WP Visitor Statistics (Real Time Traffic)
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 4.8.1
درجة الخطورة : مرتفع
6. تبرعات مجد
البرنامج المساعد: تبرعات مجد
الضعف : حذف العناصر التعسفي عبر CSRF
مصححة في الإصدار : 3.1.2
درجة الخطورة : مرتفع
7. ايسجرام
البرنامج المساعد: Icegram
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.0.5
درجة الخطورة : متوسطة
8. Blog2Social
البرنامج المساعد: Blog2Social
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 6.8.7
درجة الخطورة : مرتفع
9. الاشتراكات المدفوعة برو
البرنامج المساعد: الاشتراكات المدفوعة برو
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.6.6
درجة الخطورة : مرتفع
10. محرر دور مستخدم WPFront
البرنامج المساعد: WPFront User Role Editor
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.2.1.11184
درجة الخطورة : متوسطة
11. تيكيرا
البرنامج المساعد: Tickera
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 3.4.8.3
درجة الخطورة : مرتفع
12. WP Guppy
البرنامج المساعد: WP Guppy
الضعف : الإفصاح عن المعلومات الحساسة
مصححة في الإصدار : 1.3.2
درجة الخطورة : مرتفع
13. تسجيل دخول بسيط إلى JWT
البرنامج المساعد: Simple JWT Login
الضعف : إنشاء كلمة مرور غير آمنة
مصححة في الإصدار : 3.3.0
درجة الخطورة : منخفضة
14. myCRED
البرنامج المساعد: myCRED
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.7.8
درجة الخطورة : مرتفع
15. إخفاء الفسفور الابيض الخاص بي
البرنامج المساعد: Hide My WP
الضعف : إلغاء تنشيط البرنامج المساعد غير المصدق
مصححة في الإصدار : 6.2.4
درجة الخطورة : متوسطة
البرنامج المساعد: Hide My WP
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 6.2.4
درجة الخطورة : مرتفع
16. دعم رائع - برنامج المساعدة والدعم لبرنامج WordPress
البرنامج المساعد: Awesome Support - WordPress HelpDesk & Support Plugin
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 6.0.7
درجة الخطورة : مرتفع
17. عرض البيانات الوصفية اللاحقة
البرنامج المساعد: عرض البيانات الوصفية للنشر
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.5.0
درجة الخطورة : متوسطة
18. أيقونة الوسائط الاجتماعية العائمة
البرنامج المساعد: أيقونة الوسائط الاجتماعية العائمة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
19. Gwolle سجل الزوار
البرنامج المساعد: Gwolle Guestbook
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 4.2.0
درجة الخطورة : متوسطة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. قم بتنشيط كشف تغيير الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.
