تقرير ثغرات WordPress: ديسمبر 2021 ، الجزء 3

المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. الجديد في هذا التقرير: يتم الآن إدراج الثغرات الأمنية بالترتيب حسب عدد عمليات التثبيت النشطة ، بدلاً من تاريخ الكشف عنها.

يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.

نظرًا لأن أوقات التسوق عبر الإنترنت الأكثر ازدحامًا في العام تكون على قدم وساق ، فإن مجرمي الإنترنت مشغولون بمحاولات "اختراق الكوكب". أبلغ Wordfence مؤخرًا عن موجة هائلة من الهجمات التي استهدفت 1.6 مليون موقع WordPress على مدار 36 ساعة فقط!

أخيرًا ، أفاد BleepingComputer مؤخرًا أن المتسللين قاموا بتثبيت كود الكاشطة في مكونات إضافية عشوائية. لتشديد الأمان لمواقع التجارة الإلكترونية ، نوصي بطلب مصادقة ثنائية لجميع المستخدمين الإداريين ، وتنشيط الأجهزة الموثوقة ، واكتشاف تغيير الملف ، وقراءة سجلات أمان WordPress ومراجعتها بانتظام.

أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!

في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.

1. العنصر

البرنامج المساعد: العنصر
الضعف : البرمجة النصية عبر المواقع في DOM
التثبيت النشط : 5+ مليون
مصححة في الإصدار : 3.4.8
درجة الخطورة : مرتفع

2. UpdraftPlus

البرنامج المساعد: UpdraftPlus
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 3+ مليون
مصححة في الإصدار : 1.16.66
درجة الخطورة : مرتفع

3. فواتير WooCommerce PDF وقسائم التعبئة

البرنامج المساعد: WooCommerce PDF فواتير وقسائم التعبئة
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 300000+
مصححة في الإصدار : 2.10.5
درجة الخطورة : مرتفع

4. قدرات PublishPress

البرنامج المساعد: PublishPress القدرات
الثغرة الأمنية : تحديث الخيارات التعسفية غير المصدق لتسوية المدونة
التثبيت النشط : 100،000+
مصححة في الإصدار : 2.3.1
درجة الخطورة : حرجة

البرنامج المساعد: PublishPress Capabilities Pro
الثغرة الأمنية : تحديث الخيارات التعسفية غير المصدق لتسوية المدونة
مصححة في الإصدار : 2.3.1
درجة الخطورة : حرجة

5. الدردشة الحرة

البرنامج المساعد: Chaty Free
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 100،000+
مصححة في الإصدار : 2.8.3
درجة الخطورة : مرتفع

البرنامج المساعد: Chaty Pro
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.8.2
درجة الخطورة : مرتفع

6. إضافات PowerPack للعنصر

البرنامج المساعد: إضافات PowerPack للعنصر
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 60.000+
مصححة في الإصدار : 2.6.2
درجة الخطورة : مرتفع

7. تقويم الحجز

البرنامج المساعد: حجز التقويم
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 60.000+
مصححة في الإصدار : 8.9.2
درجة الخطورة : مرتفع

8. 10Web Social Photo Feed

البرنامج المساعد: 10Web Social Photo Feed
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 60.000+
مصححة في الإصدار : 1.4.29
درجة الخطورة : مرتفع

9. مراجعات الموقع

البرنامج المساعد: مراجعات الموقع
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 40000+
مصححة في الإصدار : 5.17.3
درجة الخطورة : مرتفع

10. حزمة سرعة الداعم

البرنامج المساعد: حزمة سرعة الداعم
الثغرة الأمنية : المسؤول + حقن SQL
التثبيت النشط : 30000+
مصححة في الإصدار : 4.3.3.1
درجة الخطورة : متوسطة

11. حل السوق متعدد البائعين لـ WooCommerce

البرنامج المساعد: حل السوق متعدد البائعين لـ WooCommerce
الضعف : مكالمات AJAX غير المصدق عليها
التثبيت النشط : 10000+
مصححة في الإصدار : 3.8.4
درجة الخطورة : مرتفع

12. نافذة مشروطة

البرنامج المساعد: نافذة مشروطة
الضعف : RFI يؤدي إلى RCE عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 5.2.2
درجة الخطورة : مرتفع

13. WP Coder

البرنامج المساعد: WP Coder
الضعف : RFI يؤدي إلى RCE عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 2.5.2
درجة الخطورة : مرتفع

14. تسجيل ماجيك

البرنامج المساعد: RegistrationMagic
الثغرة الأمنية : المسؤول + حقن SQL
التثبيت النشط : 10000+
مصححة في الإصدار : 5.0.1.6
درجة الخطورة : متوسطة

البرنامج المساعد: RegistrationMagic
الضعف : تجاوز المصادقة
التثبيت النشط : 10000+
مصححة في الإصدار : 5.0.1.8
درجة الخطورة : حرجة

15. الأحداث أصبحت سهلة

البرنامج المساعد: الأحداث أصبحت سهلة
الضعف : المشترك + حقن SQL
التثبيت النشط : 6000+
مصححة في الإصدار : 2.2.36
درجة الخطورة : مرتفع

16. مولد زر

البرنامج المساعد: زر مولد
الضعف : RFI يؤدي إلى RCE عبر CSRF
التثبيت النشط : 5000+
مصححة في الإصدار : 2.3.3
درجة الخطورة : مرتفع

17. علامة التبويب - الأكورديون ، أسئلة وأجوبة

البرنامج المساعد: Tab - Accordion، FAQ
الضعف : مكالمات AJAX غير المصدق عليها
التثبيت النشط : 2000+
مصححة في الإصدار : 1.3.2
درجة الخطورة : حرجة

18. تصنيف النجوم

البرنامج المساعد: تصنيف النجوم
الضعف : التعليقات رفض الخدمة
التثبيت النشط : 800+
مصححة في الإصدار : 3.5.1
درجة الخطورة : متوسطة

19. WPcalc

البرنامج المساعد: WPcalc
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة

كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.

احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع

يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro