تقرير ثغرات WordPress: يناير 2022 ، الجزء الأول
نشرت: 2022-01-06المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. الجديد في هذا التقرير: يتم الآن إدراج الثغرات الأمنية بالترتيب حسب عدد عمليات التثبيت النشطة ، بدلاً من تاريخ الكشف عنها.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع !
ملخص تقرير 2021 WordPress للثغرات الأمنية: تم الكشف عن 1،263 نقطة ضعف ؛ 98٪ الإضافات
- في عام 2021 ، تم الكشف عن إجمالي 1،263 مكون إضافي وثغرات أمنية. شكلت ثغرات البرنامج المساعد WordPress 98٪ من جميع الثغرات التي تم الإبلاغ عنها.
- شهد سبتمبر 2021 أكثر نقاط الضعف التي تم الإبلاغ عنها ، حيث تم الكشف عن 323 نقطة ضعف في ذلك الشهر وحده.
- أكثر أنواع الثغرات الأمنية للمكونات الإضافية شيوعًا التي تم الكشف عنها في عام 2021 كانت البرمجة النصية عبر المواقع (XSS) وإدخالات SQL. أصدر معظم مؤلفي المكونات الإضافية تصحيحات ، بينما لا تزال بعض المكونات الإضافية مغلقة.
- نظرًا للزيادة في عمليات الكشف عن الثغرات الأمنية ، قمنا بتغيير معدل تكرار تقرير الثغرات الأمنية إلى مرة واحدة في الأسبوع ، بدلاً من مرتين في الشهر.
- بفضل ملاحظاتك ، بدأنا أيضًا في سرد عمليات الكشف عن المكونات الإضافية بالترتيب أو عمليات التثبيت النشطة. لقد بدأنا أيضًا في تجميع المكونات الإضافية حسب الإصدار المجاني والمحترف ، مع قسم منفصل للمكونات الإضافية والمكونات الإضافية بدون إصلاح معروف.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ، والتثبيتات النشطة ، ورقم الإصدار إذا تم تصحيحه ، وتقييم الخطورة.
1. UpdraftPlus
البرنامج المساعد: UpdraftPlus
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 3+ مليون
مصححة في الإصدار : 1.16.569
درجة الخطورة : مرتفع
البرنامج المساعد: UpdraftPlus
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 3+ مليون
مصححة في الإصدار : 1.6.59
درجة الخطورة : منخفضة
البرنامج المساعد: UpdraftPlus
الثغرة الأمنية : المسؤول + تضمين ملف محلي
التثبيت النشط : 3+ مليون
مصححة في الإصدار : 1.16.59
درجة الخطورة : متوسطة
2. محول WebP لوسائل الإعلام
البرنامج المساعد: WebP Converter for Media
الثغرة الأمنية : إعادة توجيه فتح غير مصدق
التثبيت النشط : 100،000+
مصححة في الإصدار : 4.0.3
درجة الخطورة : متوسطة
3. WOOF - مرشح المنتجات لـ WooCommerce
البرنامج المساعد: WOOF - مرشح المنتجات لـ WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 100،000+
مصححة في الإصدار : 1.2.6.3
درجة الخطورة : مرتفع
4. LearnPress
البرنامج المساعد: LearnPress
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 100،000+
مصححة في الإصدار : 4.1.3.2
درجة الخطورة : متوسطة
5. WP Post Page Clone
البرنامج المساعد: WP Post Page Clone
الضعف : الوصول غير المصرح به إلى البريد
التثبيت النشط : 80000+
مصححة في الإصدار : 1.2
درجة الخطورة : متوسطة
6. أنواع ملفات WP الإضافية
البرنامج المساعد: WP Extra File Types
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 50000+
مصححة في الإصدار : 0.5.1
درجة الخطورة : مرتفع
7. مدرس LMS
البرنامج المساعد: Tutor LMS
الثغرة الأمنية : المشترك + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 40000+
مصححة في الإصدار : 1.9.12
درجة الخطورة : مرتفع
البرنامج المساعد: Tutor LMS
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 40000+
مصححة في الإصدار : 1.9.12
درجة الخطورة : مرتفع
8. لوحة تحكم مخصصة وصفحة تسجيل الدخول
البرنامج المساعد: لوحة تحكم مخصصة وصفحة تسجيل الدخول
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 40000+
مصححة في الإصدار : 7.0
درجة الخطورة : متوسطة
9. الأسئلة الشائعة في نهاية المطاف
البرنامج المساعد: Ultimate FAQ
الضعف : المشترك + إنشاء الأسئلة الشائعة التعسفية
التثبيت النشط : 30000+
مصححة في الإصدار : 2.1.2
درجة الخطورة : متوسطة
10. WP User Frontend
البرنامج المساعد: WP User Frontend
الثغرة الأمنية : إدخال SQL إلى البرمجة النصية عبر المواقع المنعكسة
التثبيت النشط : 30000+
مصححة في الإصدار : 3.5.26
درجة الخطورة : مرتفع
11. myCred
البرنامج المساعد: myCred
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 20000+
مصححة في الإصدار : 2.4.2
درجة الخطورة : مرتفع
12. صورة تحوم آثار في نهاية المطاف
البرنامج المساعد: Image Hover Effects Ultimate
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 20000+
مصححة في الإصدار : 9.7.1
درجة الخطورة : مرتفع
13. قبلي
البرنامج المساعد: Qubely
الضعف : المشترك + إنشاء الأسئلة الشائعة التعسفية
التثبيت النشط : 10000+
مصححة في الإصدار : 1.7.8
درجة الخطورة : متوسطة
14. تسجيل السحر
البرنامج المساعد: ماجيك التسجيل
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 10000+
مصححة في الإصدار : 5.0.1.9
درجة الخطورة : مرتفع
15. تتبع الطلبات لـ WooCommerce
البرنامج المساعد: تتبع الطلبات لـ WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 10000+
مصححة في الإصدار : 1.1.10
درجة الخطورة : مرتفع
16. ربط المكتبة
البرنامج المساعد: مكتبة الارتباط
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 10000+
مصححة في الإصدار : 7.2.8
درجة الخطورة : متوسطة
البرنامج المساعد: مكتبة الارتباط
الثغرة الأمنية : إعادة تعيين إعدادات المكتبة عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 7.2.8
درجة الخطورة : متوسطة
البرنامج المساعد: مكتبة الارتباط
الضعف : حذف الروابط التعسفية غير المصدق
التثبيت النشط : 10000+
مصححة في الإصدار : 7.2.8
درجة الخطورة : متوسطة
17. رفيق AF
البرنامج المساعد: رفيق AF
الضعف : التثبيت التعسفي للمكوِّن الإضافي وتنشيطه عبر CSRF
التثبيت النشط : 9000+
مصححة في الإصدار : 1.2.0
درجة الخطورة : مرتفع
18. القطعة قائمة المؤلفين KNR
البرنامج المساعد: KNR مؤلف قائمة القطعة
الثغرة الأمنية : حقن SQL غير مصدق
التثبيت النشط : 200+
مصححة في الإصدار : 3.0.0
درجة الخطورة : حرجة
19. معلومات مستخدم ملف تعريف الارتباط WP
البرنامج المساعد: WP Cookie User Info
الثغرة الأمنية : المسؤول + حقن SQL
التثبيت النشط : 200+
مصححة في الإصدار : 1.0.9
درجة الخطورة : متوسطة
نقاط الضعف في البرنامج المساعد WordPress: تم إغلاق البرنامج المساعد
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress في المكونات الإضافية المغلقة. تتضمن كل قائمة مكون إضافي نوع الثغرة الأمنية وتقييم الخطورة وتاريخ الإغلاق.
20. LabTools
البرنامج المساعد: LabTools
الضعف : المشترك + حذف النشر التعسفي
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
21. فحص المجال
البرنامج المساعد: فحص المجال
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
22. عارض سجل الخطأ
البرنامج المساعد: عارض سجل الخطأ
الثغرة الأمنية : حذف ملف نصي تعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
23. WP التي تمت زيارتها البلدان المعاد تحميلها
البرنامج المساعد: WP التي تمت زيارتها الدول المعاد تحميلها
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.1.1- تم إغلاق البرنامج المساعد
درجة الخطورة : مرتفع
24. دورات التعلم
البرنامج المساعد: دورات التعلم
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 5.0 - تم إغلاق البرنامج المساعد
درجة الخطورة : منخفضة
25. مسح كامل
البرنامج المساعد: مسح مثالي
الثغرة الأمنية : مكالمة AJAX غير مصرح بها لتحديث إعدادات XSS / الاستبيان المخزنة
مصححة في الإصدار : 1.5.2 - تم إغلاق المكون الإضافي
درجة الخطورة : مرتفع
البرنامج المساعد: مسح مثالي
الثغرة الأمنية : مكالمة AJAX غير مصرح بها لتحديث إعدادات XSS / الاستبيان المخزنة
مصححة في الإصدار : 1.5.2 - تم إغلاق المكون الإضافي
درجة الخطورة : مرتفع
البرنامج المساعد: مسح مثالي
الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : 1.5.2 - تم إغلاق المكون الإضافي
درجة الخطورة : مرتفع
البرنامج المساعد: مسح مثالي
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.5.2 - تم إغلاق المكون الإضافي
درجة الخطورة : مرتفع
البرنامج المساعد: مسح مثالي
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
نقاط الضعف في البرنامج المساعد WordPress: لا يوجد إصلاح معروف
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress في المكونات الإضافية المغلقة. تتضمن كل قائمة مكون إضافي نوع الثغرة الأمنية وتقييم الخطورة وتاريخ الإغلاق.
26. ميدياماتيك
البرنامج المساعد: Mediamatic
الضعف : المشترك + حقن SQL
التثبيت النشط : 3000+
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. قم بتنشيط كشف تغيير الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.
