تقرير ضعف WordPress: ديسمبر 2021 ، الجزء الخامس
نشرت: 2021-12-29المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. الجديد في هذا التقرير: يتم الآن إدراج الثغرات الأمنية بالترتيب حسب عدد عمليات التثبيت النشطة ، بدلاً من تاريخ الكشف عنها.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع !
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ، والتثبيتات النشطة ، ورقم الإصدار إذا تم تصحيحه ، وتقييم الخطورة.
1. نموذج الاتصال 7 الملحق قاعدة البيانات
البرنامج المساعد: نموذج الاتصال 7 الملحق قاعدة البيانات
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 400000+
مصححة في الإصدار : 1.2.6.2
درجة الخطورة : متوسطة
البرنامج المساعد: نموذج الاتصال 7 الملحق قاعدة البيانات
الضعف : حذف النموذج التعسفي عبر CSRF
التثبيت النشط : 400000+
مصححة في الإصدار : 1.2.6.2
درجة الخطورة : متوسطة
2. نماذج سهلة لقرد البريد
البرنامج المساعد: نماذج سهلة لقرد البريد
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 100،000+
مصححة في الإصدار : 6.8.6
درجة الخطورة : متوسطة
3. Relevanssi - بحث أفضل
البرنامج المساعد: Relevanssi - بحث أفضل
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 100،000+
مصححة في الإصدار : 4.14.3
درجة الخطورة : مرتفع
4. رسائل إخبارية ، SMTP ، تسويق عبر البريد الإلكتروني ، ونماذج اشتراك بواسطة Sendinblue
البرنامج المساعد: الرسائل الإخبارية و SMTP ونماذج التسويق عبر البريد الإلكتروني والاشتراك بواسطة Sendinblue
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 90.000+
مصححة في الإصدار : 3.1.25
درجة الخطورة : مرتفع
5. برو Product Feed لـ WooCommerce
البرنامج المساعد: Product Feed PRO لـ WooCommerce
الثغرة الأمنية : تحديث إعدادات المشترك + إلى XSS المخزن
التثبيت النشط : 80000+
مصححة في الإصدار : 11.0.7
درجة الخطورة : مرتفع
6. بعد الشبكة
البرنامج المساعد: Post Grid
الضعف : مساهم + حقن SQL
التثبيت النشط : 60.000+
مصححة في الإصدار : 2.1.13
درجة الخطورة : متوسطة
7. إدخالات نموذج الاتصال
البرنامج المساعد: إدخالات نموذج الاتصال
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 40000+
مصححة في الإصدار : 1.2.4
درجة الخطورة : مرتفع
8. تذاكر الحدث
البرنامج المساعد: تذاكر الأحداث
الثغرة الأمنية : فتح إعادة التوجيه
التثبيت النشط : 40000+
مصححة في الإصدار : 5.2.2
درجة الخطورة : متوسطة
9. الحقول المخصصة المتقدمة: موسعة
البرنامج المساعد: الحقول المخصصة المتقدمة: موسعة
الثغرة الأمنية : المسؤول + حقن SQL
التثبيت النشط : 40000+
مصححة في الإصدار : 0.8.8.7
درجة الخطورة : متوسطة
10. قبول التبرعات مع PayPal
البرنامج المساعد: قبول التبرعات مع PayPal
الضعف : حذف تعسفي بعد النشر عبر CSRF
التثبيت النشط : 30000+
مصححة في الإصدار : 1.3.4
درجة الخطورة : مرتفع
11. حقل معرض صور ACF
البرنامج المساعد: ACF Photo Gallery Field
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 30000+
مصححة في الإصدار : 1.7.5
درجة الخطورة : متوسطة
12. برنامج مراقبة التحميل البسيط
البرنامج المساعد: Simple Download Monitor
الضعف : CSRF متعددة
التثبيت النشط : 30000+
مصححة في الإصدار : 3.9.11
درجة الخطورة : متوسطة
13. حماية WP Admin
البرنامج المساعد: حماية WP Admin
الضعف : إلغاء تنشيط البرنامج المساعد غير المصدق
التثبيت النشط : 30000+
مصححة في الإصدار : 3.6.2
درجة الخطورة : متوسطة
14. النسخ الاحتياطي والتدريج بواسطة WP Time Capsule
البرنامج المساعد: النسخ الاحتياطي والتدريج بواسطة WP Time Capsule
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 20000+
مصححة في الإصدار : 1.22.7
درجة الخطورة : مرتفع
15. تقويم الأحداث
البرنامج المساعد: تقويم الأحداث
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 20000+
مصححة في الإصدار : 1.1.51
درجة الخطورة : مرتفع
البرنامج المساعد: تقويم الأحداث
الضعف : المشترك + إنشاء الحدث
التثبيت النشط : 20000+
مصححة في الإصدار : 1.1.51
درجة الخطورة : متوسطة
16. حجوزات مطاعم الخمس نجوم
البرنامج المساعد: حجوزات مطعم خمس نجوم
الثغرة الأمنية : المشترك + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 20000+
مصححة في الإصدار : 2.4.8
درجة الخطورة : مرتفع
17. منتدى اصغروس
البرنامج المساعد: منتدى Asgaros
الثغرة الأمنية : المسؤول + حقن SQL عبر forum_id
التثبيت النشط : 20000+
مصححة في الإصدار : 1.15.15
درجة الخطورة : متوسطة
18. WP125
البرنامج المساعد: WP125
الضعف : حذف الإعلان التعسفي عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 1.5.5
درجة الخطورة : متوسطة
19. مدير المنتسبين
البرنامج المساعد: مدير المنتسبين
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 10000+
مصححة في الإصدار : 2.9.0
درجة الخطورة : مرتفع
20. أداة SEO الذكية
البرنامج المساعد: أداة SEO الذكية
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 9000+
مصححة في الإصدار : 3.0.6
درجة الخطورة : متوسطة
21. tarteaucitron.js - تشريعات ملفات تعريف الارتباط و GDPR
البرنامج المساعد: tarteaucitron.js - تشريعات ملفات تعريف الارتباط واللائحة العامة لحماية البيانات
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 7000+
مصححة في الإصدار : 1.6
درجة الخطورة : متوسطة
البرنامج المساعد: tarteaucitron.js - تشريعات ملفات تعريف الارتباط واللائحة العامة لحماية البيانات
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 7000+
مصححة في الإصدار : 1.6.1
درجة الخطورة : منخفضة
22. SEO Booster
البرنامج المساعد: SEO Booster
الثغرة الأمنية : المسؤول + حقن SQL
التثبيت النشط : 4000+
مصححة في الإصدار : 3.8.1
درجة الخطورة : متوسطة
23. Booking.com Banner Creator
البرنامج المساعد: Booking.com Banner Creator
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 3000+
مصححة في الإصدار : 1.4.3
درجة الخطورة : منخفضة
24. حقول الملف الشخصي الإضافية
البرنامج المساعد: Profile Extra Fields
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 2000+
مصححة في الإصدار : 1.2.4
درجة الخطورة : مرتفع
25. Booking.com Product Helper
البرنامج المساعد: Booking.com Product Helper
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 2000+
مصححة في الإصدار : 1.0.2
درجة الخطورة : منخفضة
26. SEUR أوفيسيال
البرنامج المساعد: SEUR Oficial
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 1،000+
مصححة في الإصدار : 1.7.0
درجة الخطورة : متوسطة
27. تكامل جدول البيانات
البرنامج المساعد: تكامل جدول البيانات
الضعف : تجاوز CSRF
التثبيت النشط : 1،000+
مصححة في الإصدار : 3.6.0
درجة الخطورة : متوسطة
البرنامج المساعد: تكامل جدول البيانات
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 1،000+
مصححة في الإصدار : 3.6.0
درجة الخطورة : مرتفع
28. إعلانات كليكبانك التابعة
البرنامج المساعد: ClickBank Affiliate Ads
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 700+
مصححة في الإصدار : 1.35.1
درجة الخطورة : منخفضة
البرنامج المساعد: ClickBank Affiliate Ads
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 700+
مصححة في الإصدار : 1.35.1
درجة الخطورة : مرتفع
29. ستتيك
البرنامج المساعد: Stetic
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 300+
مصححة في الإصدار : 1.0.9
درجة الخطورة : مرتفع
30. مدير أحداث الجوال
البرنامج المساعد: مدير أحداث الجوال
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 20+
مصححة في الإصدار : 1.4.4
درجة الخطورة : منخفضة
نقاط الضعف في البرنامج المساعد WordPress: لا يوجد إصلاح معروف
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress في المكونات الإضافية المغلقة. تتضمن كل قائمة مكون إضافي نوع الثغرة الأمنية وتقييم الخطورة وتاريخ الإغلاق.
31. أي تعليق
البرنامج المساعد: AnyComment
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 4000+
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
نقاط الضعف في البرنامج المساعد WordPress: تم إغلاق البرنامج المساعد
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress في المكونات الإضافية المغلقة. تتضمن كل قائمة مكون إضافي نوع الثغرة الأمنية وتقييم الخطورة وتاريخ الإغلاق.
32. علامات التبويب
البرنامج المساعد: علامات التبويب
الثغرة الأمنية : تحديث خيار تعسفي غير مصدق
مصححة في الإصدار : 3.6.0 - تم إغلاق البرنامج المساعد
درجة الخطورة : حرجة
33. ملحقات الرمز القصير
البرنامج المساعد: ملحقات الرمز القصير
الثغرة الأمنية : تحديث خيار تعسفي غير مصدق
مصححة في الإصدار : 3.1.0 - تم إغلاق المكون الإضافي
درجة الخطورة : حرجة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من تقرير ثغرات WordPress الأسبوعي ، يتم الكشف عن العديد من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. قم بتنشيط كشف تغيير الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع فحص الموقع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.
