تقرير ثغرات WordPress: تشرين الثاني (نوفمبر) 2021 ، الجزء الثاني
نشرت: 2021-11-10المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.1. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. معرض المسابقة
البرنامج المساعد: معرض المسابقة
الضعف : المشترك + الإفصاح عن عنوان البريد الإلكتروني
مصححة في الإصدار : 13.1.0.7
درجة الخطورة : متوسطة
البرنامج المساعد: معرض المسابقة
الثغرة الأمنية : ضوابط الوصول مفقودة إلى حقن SQL غير المصدق / الكشف عن عنوان البريد الإلكتروني
مصححة في الإصدار : 13.1.0.6
درجة الخطورة : مرتفع
2. تحقق من & تسجيل البريد الإلكتروني
البرنامج المساعد: تحقق من البريد الإلكتروني وسجله
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.0.4
درجة الخطورة : مرتفع
3. إدارة BSK PDF
البرنامج المساعد: BSK PDF Manager
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 3.1.2
درجة الخطورة : متوسطة
4. أنيق التكلفة حاسبة
البرنامج المساعد: حاسبة التكلفة الأنيقة
الضعف : المشترك + مكالمات AJAX غير المصرح بها إلى XSS المخزنة
مصححة في الإصدار : 7.0.4
درجة الخطورة : مرتفع
5. Shop Page WP
البرنامج المساعد: Shop Page WP
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.2.8
درجة الخطورة : متوسطة
6. ابتانة - إضافات منتجات التجارة الإلكترونية
البرنامج المساعد: Ibtana - إضافات منتجات التجارة الإلكترونية
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 0.2.4
درجة الخطورة : مرتفع
7. WP RSS المجمع
البرنامج المساعد: WP RSS Aggregator
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 4.19.2
درجة الخطورة : منخفضة
8. GenerateBlocks
البرنامج المساعد: GenerateBlocks
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.4.0
درجة الخطورة : متوسطة
9. إرسال بريد إلكتروني قبل التنزيل
البرنامج المساعد: إرسال بريد إلكتروني قبل التنزيل
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 6.8
درجة الخطورة : متوسطة
10. myCred
البرنامج المساعد: myCred
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 2.3.1
درجة الخطورة : مرتفع
11. خرائط جوجل سهلة
البرنامج المساعد: خرائط جوجل سهلة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.10.1
درجة الخطورة : منخفضة
12. التقويم الخاص بي
البرنامج المساعد: التقويم الخاص بي
الضعف : المشترك + البرمجة النصية عبر المواقع المنعكسة
مصححة في الإصدار : 3.2.18
درجة الخطورة : متوسطة
13. ARForms منشئ النموذج
البرنامج المساعد: ARForms Form Builder
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.5.1
درجة الخطورة : منخفضة
14. أدوات WP DSGVO
البرنامج المساعد: أدوات WP DSGVO
الضعف : حذف تعسفي لم تتم مصادقته
مصححة في الإصدار : 3.1.24
درجة الخطورة : مرتفع
15. WP All Import
البرنامج المساعد: WP All Import
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 3.6.3
درجة الخطورة : منخفضة
16. WPS إخفاء تسجيل الدخول
البرنامج المساعد: WPS إخفاء تسجيل الدخول
الثغرة الأمنية : تجاوز الحماية مع رأس المرجع
مصححة في الإصدار : 1.9.1
درجة الخطورة : متوسطة
17. خطوط الفسفور الابيض جوجل
البرنامج المساعد: WP Google Fonts
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.1.5
درجة الخطورة : متوسطة
18. مدير الأحداث لـ WooCommerce
البرنامج المساعد: مدير الأحداث لـ WooCommerce
الثغرة الأمنية : استيراد نموذج تعسفي لم تتم مصادقته
مصححة في الإصدار : 3.5.3
درجة الخطورة : متوسطة
البرنامج المساعد: مدير الأحداث لـ WooCommerce
الضعف : إعادة تعيين الخيارات التعسفية غير المصدق
مصححة في الإصدار : 3.5.3
درجة الخطورة : مرتفع
19. AutomatorWP
البرنامج المساعد: AutomatorWP
الضعف : التفويض المفقود وتصعيد الامتيازات
مصححة في الإصدار : 1.7.6
درجة الخطورة : متوسطة
20. شعار المنزلق والعرض
البرنامج المساعد: شعار المنزلق والعرض
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد للمحرر
مصححة في الإصدار : 1.3.37
درجة الخطورة : منخفضة
21. قائمة أسعار أنيقة
البرنامج المساعد: قائمة أسعار أنيقة
الضعف : تحميل صورة تعسفي غير مصدق
مصححة في الإصدار : 6.9.0
درجة الخطورة : متوسطة
البرنامج المساعد: قائمة أسعار أنيقة
الضعف : المشترك + تحميل الصورة التعسفي
مصححة في الإصدار : 6.9.1
درجة الخطورة : متوسطة
22. WP التصحيح
البرنامج المساعد: WP Debugging
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد غير المصدق
مصححة في الإصدار : 2.11.0
درجة الخطورة : متوسطة
23. قائمة الفنادق
البرنامج المساعد: قائمة الفنادق
الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة ومصادق عليها
مصححة في الإصدار : 1.3.3
درجة الخطورة : متوسطة
24. البريد الإلكتروني المقتفي
البرنامج المساعد: تعقب البريد الإلكتروني
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 5.2.6
درجة الخطورة : مرتفع
25. استمارة الاتصال من قبل Supsystic
البرنامج المساعد: نموذج الاتصال من قبل Supsystic
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.7.20
درجة الخطورة : منخفضة
26. قائمة المطعم من MotoPress
البرنامج المساعد: قائمة المطعم بواسطة MotoPress
الثغرة الأمنية : المسؤول + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : 2.4.2
درجة الخطورة : منخفضة
27. إعادة توجيه كبار المسئولين الاقتصاديين
البرنامج المساعد: إعادة توجيه SEO
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 8.2
درجة الخطورة : متوسطة
28. Tutor LMS
البرنامج المساعد: Tutor LMS
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.9.11
درجة الخطورة : متوسطة
29. أشكال النينجا
البرنامج المساعد: نماذج النينجا
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : 3.6.4
درجة الخطورة : متوسطة
30. التسجيلات لتقويم الأحداث
البرنامج المساعد: التسجيلات لتقويم الأحداث
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.7.5
درجة الخطورة : مرتفع
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. مراقبة تغييرات الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة مواقع الويب على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.