تقرير ثغرات WordPress: يناير 2022 ، الجزء الثاني
نشرت: 2022-01-12المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا. الجديد في هذا التقرير: يتم الآن إدراج الثغرات الأمنية بالترتيب حسب عدد عمليات التثبيت النشطة ، بدلاً من تاريخ الكشف عنها.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع !
نقاط الضعف الأساسية في ووردبريس
تم إصدار أحدث إصدار من WordPress core في 6 يناير 2022 كإصدار أمني قصير الدورة. نظرًا لأن WordPress 5.8.3 إصدار أمني ، نوصيك بتحديث جميع مواقعك على الفور.
يمكنك التحديث إلى WordPress 5.8.3 عن طريق التنزيل من WordPress.org أو زيارة لوحة تحكم مسؤول WordPress> التحديثات والنقر فوق التحديث الآن .
إذا كانت لديك مواقع تم تمكين التحديثات التلقائية في الخلفية ، فمن المفترض أن يتم تحديثها بالفعل بنجاح.
ووردبريس كور
الثغرة الأمنية : حقن SQL عبر WP_Query
مصححة في الإصدار : 5.8.3
شرح: نظرًا لعدم وجود التطهير المناسب في WP_Meta_Query ، هناك احتمالية لوجود حقن SQL عمياء.
الثغرة الأمنية : المؤلف + XSS المخزنة عبر Post Slugs
مصححة في الإصدار : 5.8.3
شرح: يمكن للمستخدمين المصادقين ذوي الامتيازات المنخفضة (مثل المؤلف) في نواة WordPress تنفيذ JavaScript / تنفيذ هجوم XSS المخزن عبر الارتباطات الثابتة ، والتي يمكن أن تؤثر على المستخدمين ذوي الامتيازات العالية.
الضعف : حقن كائن إداري فائق في مواقع متعددة
مصححة في الإصدار : 5.8.3
شرح: في مواقع متعددة ، يمكن للمستخدمين الذين لديهم دور المشرف المتميز تجاوز التقوية الصريحة / الإضافية في ظل ظروف معينة من خلال إدخال العنصر.
الثغرة الأمنية : حقن SQL عبر WP_Meta_Query
مصححة في الإصدار : 5.8.3
شرح: نظرًا لعدم وجود التطهير المناسب في WP_Meta_Query ، هناك احتمالية لوجود حقن SQL عمياء.
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ، والتثبيتات النشطة ، ورقم الإصدار إذا تم تصحيحه ، وتقييم الخطورة.
1. دعم SVG
البرنامج المساعد: SVG Support
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 800000+
مصححة في الإصدار : 2.3.20
درجة الخطورة : منخفضة
2. تنظيف الأصول
البرنامج المساعد: Asset CleanUp
الضعف : انعكاس البرمجة النصية عبر المواقع عبر إجراء AJAX
التثبيت النشط : 100،000+
مصححة في الإصدار : 1.3.8.5
درجة الخطورة : مرتفع
البرنامج المساعد: Asset CleanUp
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 100،000+
مصححة في الإصدار : 1.3.8.5
درجة الخطورة : متوسطة
3. الاشتراكات المدفوعة برو
البرنامج المساعد: الاشتراكات المدفوعة برو
الثغرة الأمنية : حقن SQL عمياء غير مصدق
التثبيت النشط : 100،000+
مصححة في الإصدار : 2.6.7
درجة الخطورة : حرجة
4. NextScripts: ملصق تلقائي للشبكات الاجتماعية
البرنامج المساعد: NextScripts: ملصق تلقائي للشبكات الاجتماعية
الضعف : حذف تعسفي بعد النشر عبر CSRF
التثبيت النشط : 90.000+
مصححة في الإصدار : 4.3.25
درجة الخطورة : متوسطة
البرنامج المساعد: NextScripts: ملصق تلقائي للشبكات الاجتماعية
الضعف : XSS المخزنة غير المصدق
التثبيت النشط : 90.000+
مصححة في الإصدار : 4.3.25
درجة الخطورة : مرتفع
5. البحث عن العاج
البرنامج المساعد: البحث العاجي
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 80000+
مصححة في الإصدار : 5.4.1
درجة الخطورة : مرتفع
6. تغذية اجتماعية سهلة
البرنامج المساعد: Easy Social Feed
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 70000+
مصححة في الإصدار : 6.2.7
درجة الخطورة : مرتفع
7. محرر أسلوب CSS المرئي
البرنامج المساعد: Visual CSS Style Editor
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 50000+
مصححة في الإصدار : 7.5.4
درجة الخطورة : مرتفع
8. إدخالات نموذج الاتصال
البرنامج المساعد: إدخالات نموذج الاتصال
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
التثبيت النشط : 40000+
مصححة في الإصدار : 1.1.7
درجة الخطورة : مرتفع
9. مدير كرون المتقدم
البرنامج المساعد: Advanced Cron Manager
الضعف : المشترك + التعسفي الأحداث / الجداول إنشاء / الحذف
التثبيت النشط : 30000+
مصححة في الإصدار : 2.4.2
درجة الخطورة : متوسطة
10. WPLegalPages
البرنامج المساعد: WPLegalPages
الثغرة الأمنية : المشترك + تحديث الإعدادات التعسفية إلى XSS المخزن
التثبيت النشط : 20000+
مصححة في الإصدار : 2.7.1
درجة الخطورة : متوسطة
11. إحصائيات زوار WP (حركة المرور في الوقت الفعلي)
البرنامج المساعد: WP Visitor Statistics (Real Time Traffic)
الضعف : المشترك + حقن SQL
التثبيت النشط : 20000+
مصححة في الإصدار : 4.8.1
درجة الخطورة : مرتفع
12. المجلدات الشريرة
البرنامج المساعد: مجلدات شريرة
الضعف : المشترك + حقن SQL
التثبيت النشط : 10000+
مصححة في الإصدار : 2.8.10
درجة الخطورة : مرتفع
13. SupportCandy
البرنامج المساعد: SupportCandy
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
التثبيت النشط : 10000+
مصححة في الإصدار : 2.2.7
درجة الخطورة : متوسطة
البرنامج المساعد: SupportCandy
الضعف : CSRF إلى البرمجة النصية عبر المواقع
التثبيت النشط : 10000+
مصححة في الإصدار : 2.2.7
درجة الخطورة : متوسطة
البرنامج المساعد: SupportCandy
الضعف : حذف التذاكر التعسفي عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 2.2.7
درجة الخطورة : مرتفع
البرنامج المساعد: SupportCandy
الضعف : حذف تعسفي للتذكرة غير مصدق
التثبيت النشط : 10000+
مصححة في الإصدار : 2.2.7
درجة الخطورة : مرتفع
البرنامج المساعد: SupportCandy
الضعف : انعكاس البرمجة عبر المواقع
التثبيت النشط : 10000+
مصححة في الإصدار : 2.2.7
درجة الخطورة : متوسطة
14. إعادة ترتيب منتجات Woocommerce
البرنامج المساعد: إعادة ترتيب منتجات Woocommerce
الضعف : المشترك + حقن SQL
التثبيت النشط : 10000+
مصححة في الإصدار : 3.0.8
درجة الخطورة : مرتفع
15. IP2Location Country Blocker
البرنامج المساعد: IP2Location Country Blocker
الضعف : الحظر التعسفي للدولة عبر CSRF
التثبيت النشط : 10000+
مصححة في الإصدار : 2.26.6
درجة الخطورة : متوسطة
البرنامج المساعد: IP2Location Country Blocker
الضعف : المشترك + الحظر التعسفي للدولة
التثبيت النشط : 10000+
مصححة في الإصدار : 2.26.6
درجة الخطورة : متوسطة
البرنامج المساعد: IP2Location Country Blocker
الضعف : حظر تجاوز
التثبيت النشط : 10000+
مصححة في الإصدار : 2.26.6
درجة الخطورة : متوسطة
16. دعم رائع - برنامج المساعدة والدعم لبرنامج WordPress
البرنامج المساعد: دعم رائع - Titan Framework
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 10000+
مصححة في الإصدار : 6.0.11
درجة الخطورة : مرتفع
17. كتالوج المنتج النهائي
البرنامج المساعد: كتالوج المنتج النهائي
الثغرة الأمنية : المشترك + تحديث الإعدادات وإنشاء المنتج التعسفي
التثبيت النشط : 10000
مصححة في الإصدار : 5.0.26
درجة الخطورة : متوسطة
18. وثيقة Embedder
البرنامج المساعد: Document Embedder
الضعف : المشترك + التعسفي الخاص / الإفصاح عن عنوان بريد المسودة
التثبيت النشط : 9000+
مصححة في الإصدار : 1.7.9
درجة الخطورة : متوسطة
البرنامج المساعد: Document Embedder
الضعف : تعسفي خاص غير موثق / الإفصاح عن عنوان مسودة بعد
التثبيت النشط : 9000+
مصححة في الإصدار : 1.7.9
درجة الخطورة : متوسطة
19. RVM - خرائط المتجهات المستجيبة
البرنامج المساعد: RVM - خرائط المتجهات المستجيبة
الثغرة الأمنية : المشترك + قراءة ملف تعسفي
التثبيت النشط : 6000+
مصححة في الإصدار : 6.4.2
درجة الخطورة : مرتفع
20. ميدياماتيك
البرنامج المساعد: Mediamatic
الضعف : المشترك + حقن SQL
التثبيت النشط : 3000+
مصححة في الإصدار : 2.8.1
درجة الخطورة : مرتفع
21. Woopra
البرنامج المساعد: Woopra
الثغرة الأمنية : تحميل ملف تعسفي غير مصدق
التثبيت النشط : 2000+
مصححة في الإصدار : 1.4.3.2
درجة الخطورة : حرجة
22. إدارة الوصول إلى حقوق المستخدم
البرنامج المساعد: مدير الوصول إلى حقوق المستخدم
الضعف : تجاوز قيود الوصول
التثبيت النشط : 900+
مصححة في الإصدار : 1.0.8
درجة الخطورة : متوسطة
23. زر YuMoney
البرنامج المساعد: زر YuMoney - Titan Framework
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 900+
مصححة في الإصدار : 2.4.0
درجة الخطورة : مرتفع
24. تكامل TrustMate.io مع WooCommerce
البرنامج المساعد: تكامل TrustMate.io لـ WooCommerce
الثغرة الأمنية : المشترك + تحديث إعدادات البرنامج المساعد التعسفي
التثبيت النشط : 300+
مصححة في الإصدار : 1.8.12
درجة الخطورة : مرتفع
البرنامج المساعد: تكامل TrustMate.io لـ WooCommerce
الثغرة الأمنية : المشترك + تحديث خيار المدونة التعسفية
التثبيت النشط : 300+
مصححة في الإصدار : 1.7.1
درجة الخطورة : مرتفع
25. صحيح الرتبة
البرنامج المساعد: True Ranker
الثغرة الأمنية : الوصول التعسفي غير المصدق إلى الملف عبر مسار اجتياز
التثبيت النشط : 300+
مصححة في الإصدار : 2.2.4
درجة الخطورة : مرتفع
26. WebHotelier لـ WordPress
البرنامج المساعد: WebHotelier for WordPress - Titan Framework
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 200+
مصححة في الإصدار : 1.6.1
درجة الخطورة : مرتفع
ثغرات البرنامج المساعد المتميز
في هذا القسم ، تم الكشف عن أحدث ثغرات في المكون الإضافي المميز لبرنامج WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
27. أدفانسد كرون مانجر برو
البرنامج المساعد: Advanced Cron Manager Pro
الضعف : المشترك + التعسفي الأحداث / الجداول إنشاء / الحذف
مصححة في الإصدار : 2.5.3
درجة الخطورة : متوسطة
نقاط الضعف في البرنامج المساعد WordPress: لا يوجد إصلاح معروف
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress في المكونات الإضافية المغلقة. تتضمن كل قائمة مكون إضافي نوع الثغرة الأمنية وتقييم الخطورة وتاريخ الإغلاق.
28. نموذج الاتصال 7 جلود
البرنامج المساعد: Contact Form 7 Skins
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
التثبيت النشط : 30000+
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
29. WooRockets نيترو
البرنامج المساعد: WooRockets Nitro
الضعف : تثبيت البرنامج المساعد التعسفي غير المصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة
30. شركة أمازون
البرنامج المساعد: شركة أمازون
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. قم بتنشيط كشف تغيير الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.
