تقرير ثغرات WordPress: تشرين الثاني (نوفمبر) 2021 ، الجزء الأول
نشرت: 2021-11-03المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.1. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. مراجعات Plus
البرنامج المساعد: التعليقات Plus
الضعف : المشترك + مراجعات DoS
مصححة في الإصدار : 1.2.14
درجة الخطورة : منخفضة
2. معرض الشرائح
البرنامج المساعد: معرض الشرائح
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.7.4
درجة الخطورة : منخفضة
3. طفل MainWP
البرنامج المساعد: MainWP Child
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 4.1.8
درجة الخطورة : متوسطة
4. كتالوج منتجات التجارة الإلكترونية لووردبريس
البرنامج المساعد: كتالوج منتجات التجارة الإلكترونية لـ WordPress
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.0.39
درجة الخطورة : مرتفع
5. فالانج متعدد اللغات للوردبريس
البرنامج المساعد: Falang multilanguage for WordPress
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.18
درجة الخطورة : مرتفع
6. مدير دروس الفيديو
البرنامج المساعد: مدير دروس الفيديو
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.7.2
درجة الخطورة : منخفضة
7. WP Spell Check (التدقيق الإملائي)
البرنامج المساعد: WP Spell Check
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 9.3.1
درجة الخطورة : مرتفع
8. التجارة الإلكترونية - المصادقة الثنائية
البرنامج المساعد: التجارة الإلكترونية - المصادقة الثنائية
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.0.5
درجة الخطورة : مرتفع
9. MAZ محمل
البرنامج المساعد: MAZ Loader
الضعف : الحذف التعسفي للودر عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
10. بوابة العمر
البرنامج المساعد: بوابة العمر
الثغرة الأمنية : إعدادات استيراد غير مصادقة
مصححة في الإصدار : 2.17.1
درجة الخطورة : حرجة
11. وظيفة مكررة
البرنامج المساعد: مشاركة مكررة
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : 1.2.0
درجة الخطورة : متوسطة
12. الإخطار
البرنامج المساعد: إعلام
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 8.0.0
درجة الخطورة : منخفضة
13. دليل اتصالات الأعمال
البرنامج المساعد: دليل اتصالات الأعمال
الضعف : المسؤول + حقن CSV
مصححة في الإصدار : 9.7.2
درجة الخطورة : متوسطة
14. الوسائط الوسوم
البرنامج المساعد: علامات الوسائط
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
15. حول صندوق المؤلف
البرنامج المساعد: حول صندوق المؤلف
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.0.2
درجة الخطورة : متوسطة
16. الاشتراكات وعضويات PayPal
البرنامج المساعد: اشتراكات وعضويات PayPal
الضعف : انعكاس البرمجة النصية عبر المواقع عبر معلمة الصفحة
مصححة في الإصدار : 1.1.3
درجة الخطورة : مرتفع
17. قبول التبرعات مع PayPal
البرنامج المساعد: قبول التبرعات مع PayPal
الضعف : انعكاس البرمجة النصية عبر المواقع عبر معلمة الصفحة
مصححة في الإصدار : 1.3.1
درجة الخطورة : مرتفع
18. أحداث Easy PayPal
البرنامج المساعد: Easy PayPal Events
الضعف : انعكاس البرمجة النصية عبر المواقع عبر معلمة الصفحة
مصححة في الإصدار : 1.1.2
درجة الخطورة : مرتفع
19. انبثاق أي شيء
البرنامج المساعد: Popup Anything
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.0.4
درجة الخطورة : مرتفع
20. JS Job Manager
البرنامج المساعد: JS Job Manager
الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي غير المصادق
مصححة في الإصدار : 1.1.9
درجة الخطورة : حرجة
21. تغيير التاريخ والوقت بالجملة
البرنامج المساعد: تغيير التاريخ والوقت بالجملة
الضعف : التفويض مفقود
مصححة في الإصدار : 1.12.1
درجة الخطورة : متوسطة
22. أشكال النينجا
البرنامج المساعد: نماذج النينجا
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 3.6.4
درجة الخطورة : متوسطة
23. WP Attachment Export
البرنامج المساعد: WP Attachment Export
الثغرة الأمنية : تنزيل المشاركات غير المصادق عليها
مصححة في الإصدار : 0.2.4
درجة الخطورة : مرتفع
24. شريط تمرير نص المحتوى على المنشور
البرنامج المساعد: شريط تمرير نص المحتوى على المنشور
الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها (XSS)
مصححة في الإصدار : 6.9.1
درجة الخطورة : متوسطة
25. HashThemes Demo Importer
البرنامج المساعد: HashThemes Demo Importer
الضعف : التحكم في الوصول غير المناسب إلى إعادة تعيين المدونة
مصححة في الإصدار : 1.1.2
درجة الخطورة : حرجة
26. التسجيلات لتقويم الأحداث
البرنامج المساعد: التسجيلات لتقويم الأحداث
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.7.5
درجة الخطورة : مرتفع
27. مانغ بورد WP
البرنامج المساعد: Mang Board WP
الضعف : حقن SQL
مصححة في الإصدار : 1.6.9
درجة الخطورة : مرتفع
28. OptinMonster
البرنامج المساعد: OptinMonster
الثغرة الأمنية : نقاط نهاية REST-API غير المحمية
مصححة في الإصدار : 2.6.5
درجة الخطورة : مرتفع
29. NextScripts: ملصق تلقائي للشبكات الاجتماعية
البرنامج المساعد: NextScripts: ملصق تلقائي للشبكات الاجتماعية
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 4.3.21
درجة الخطورة : مرتفع
30. سماش بالون آخر التغذية الاجتماعية
البرنامج المساعد: Smash Balloon Social Post Feed
الثغرة الأمنية : المشترك + تحديث إعدادات البرنامج المساعد التعسفي إلى XSS المخزن
مصححة في الإصدار : 4.0.1
درجة الخطورة : مرتفع
31. WP-Pro-Quiz
البرنامج المساعد: WP-Pro-Quiz
الضعف : حذف الاختبار التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
32. استمارة الاتصال من قبل Supsystic
البرنامج المساعد: نموذج الاتصال من قبل Supsystic
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : منخفضة
33. WP-Stats
البرنامج المساعد: WP-Stats
الثغرة الأمنية : CSRF إلى البرمجة النصية عبر المواقع المخزنة (XSS)
مصححة في الإصدار : 2.52.1
درجة الخطورة : مرتفع
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. مراقبة تغييرات الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة مواقع الويب على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.