تقرير ثغرات WordPress: تشرين الثاني (نوفمبر) 2021 ، الجزء 4
نشرت: 2021-11-25المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
استضافة ووردبريس: GoDaddy Hacked
في كشف أمني نُشر في 21 نوفمبر 2021 ، يقول GoDaddy إنه تم الكشف عن ما يصل إلى 1.2 مليون عميل نشط وغير نشط بعد أن تمكن المتسللون من الوصول إلى منصة استضافة WordPress المُدارة.
لقد كتبنا منشورًا لتفريغ بعض تفاصيل اختراق GoDaddy الأخير ، وكيفية تأثيره على العملاء ، وتوصياتنا بشأن ما يجب فعله إذا كنت أحد عملاء استضافة WordPress في GoDaddy.
نقاط الضعف الأساسية في ووردبريس
أحدث إصدار من WordPress core هو 5.8.2. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. بكسل كات لايت
البرنامج المساعد: Pixel Cat Lite
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.6.3
درجة الخطورة : منخفضة
البرنامج المساعد: Pixel Cat Lite
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.6.2
درجة الخطورة : مرتفع
2. معرض الكل في واحد
البرنامج المساعد: معرض الكل في واحد
الثغرة الأمنية : المسؤول + تضمين ملف محلي
مصححة في الإصدار : 2.5.0
درجة الخطورة : منخفضة
3. StopBadBots
البرنامج المساعد: StopBadBots
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 6.67
درجة الخطورة : حرجة
4. تسجيل الدخول المؤقت بدون كلمة مرور
البرنامج المساعد: تسجيل دخول مؤقت بدون كلمة مرور
الثغرة الأمنية : المشترك + تحديث إعدادات البرنامج المساعد
مصححة في الإصدار : 1.7.1
درجة الخطورة : متوسطة
5. الملف الشخصي
البرنامج المساعد: ProfilePress
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.2.3
درجة الخطورة : متوسطة
البرنامج المساعد: ProfilePress
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.2.3
درجة الخطورة : مرتفع
6. تقويم الأحداث الحديثة
البرنامج المساعد: تقويم الأحداث الحديثة
الثغرة الأمنية : حقن SQL عمياء غير مصدق
مصححة في الإصدار : 6.1.5
درجة الخطورة : مرتفع
البرنامج المساعد: تقويم الأحداث الحديثة
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 6.1.5
درجة الخطورة : مرتفع
7. صورة مميزة السيارات
البرنامج المساعد: صورة مميزة تلقائية
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.9.3
درجة الخطورة : متوسطة
8. في نهاية المطاف NoFollow
البرنامج المساعد: Ultimate NoFollow
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
9. NEX- النماذج
البرنامج المساعد: NEX-Forms
الثغرة الأمنية : إدارة متعددة + برمجة نصية عبر المواقع مخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
10. SEO Booster
البرنامج المساعد: SEO Booster
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
11. WP System Log
البرنامج المساعد: WP System Log
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 1.0.21
درجة الخطورة : حرجة
12. اقتباس ملهمة دوار
البرنامج المساعد: اقتباس ملهمة دوار
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
13. مصدر واحد وظيفة
البرنامج المساعد: مصدر وظيفة واحدة
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
14. الخطوط المحلية المرنة
البرنامج المساعد: Flex Local Fonts
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
15. مغير شعار WP Admin
البرنامج المساعد: WP Admin Logo Changer
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
16. نموذج الاتصال قاعدة بيانات متقدمة
البرنامج المساعد: نموذج الاتصال قاعدة بيانات متقدمة
الضعف : مكالمات AJAX غير المصرح بها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
17. أزرار لامعة
البرنامج المساعد: أزرار لامعة
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
18. معرض حافظة التصفية
البرنامج المساعد: معرض حافظة التصفية
الثغرة الأمنية : حذف معرض تعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
19. حدود WP
البرنامج المساعد: WP Limits
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
20. رمز قصير لمحتوى الصفحة / المشاركة
البرنامج المساعد: الرمز المختصر لمحتوى الصفحة / المشاركة
الضعف : مساهم + المشاركات التعسفية / الوصول إلى الصفحات
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
21. تضمين صفحة محسنة
البرنامج المساعد: تضمين صفحة محسنة
الضعف : مساهم + المشاركات التعسفية / الوصول إلى الصفحات
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
22. ميدياماتيك
البرنامج المساعد: Mediamatic
الضعف : المشترك + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
23. عرض البيانات الوصفية اللاحقة
البرنامج المساعد: عرض البيانات الوصفية للنشر
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
24. رابط ToTop
البرنامج المساعد: ToTop Link
الثغرة الأمنية : حقن كائن PHP غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
25. رموز التعريف المختصرة للمستخدم
البرنامج المساعد: رموز التعريف المختصرة للمستخدم
الضعف : مساهم + الوصول التعسفي غير المصرح به إلى البيانات الوصفية للمستخدم
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
26. اقتباسات المجموعة
البرنامج المساعد: مجموعة اقتباسات
الثغرة الأمنية : المسؤول + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : متوسطة
27. Push Notifications for WordPress (Lite)
البرنامج المساعد: Push Notifications for WordPress (Lite)
الثغرة الأمنية : تحديث الإعدادات عبر CSRF
مصححة في الإصدار : 6.0.1
درجة الخطورة : متوسطة
28. SportsPress
البرنامج المساعد: SportsPress
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.7.9
درجة الخطورة : مرتفع
29. تسجيل الدخول / الاشتراك المنبثقة
البرنامج المساعد: تسجيل الدخول / الاشتراك المنبثق
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.2
درجة الخطورة : مرتفع
30. معاينة رسائل البريد الإلكتروني لـ WooCommerce
البرنامج المساعد: معاينة رسائل البريد الإلكتروني لـ WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 2.0.0
درجة الخطورة : متوسطة
31. WP User Frontend
البرنامج المساعد: WP User Frontend
الثغرات الأمنية : العضوية ، الملف الشخصي ، التسجيل و إضافة ما بعد التقديم لـ WordPress
مصححة في الإصدار : 3.5.25
درجة الخطورة : متوسطة
32. مدير - البرنامج المساعد لدليل الأعمال
البرنامج المساعد: Director - Business Directory Plugin
الثغرة الأمنية : CSRF لتحميل الملفات عن بعد
مصححة في الإصدار : 7.0.6.2
درجة الخطورة : حرجة
33. استمارات التسجيل الميسرة
البرنامج المساعد: نماذج تسجيل سهلة
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : مرتفع
34. WP Reset Pro
البرنامج المساعد: WP Reset Pro
الضعف : المشترك + إعادة تعيين قاعدة البيانات
مصححة في الإصدار : 5.99
درجة الخطورة : حرجة
البرنامج المساعد: WP Reset Pro
الضعف : إعادة تعيين قاعدة البيانات عبر CSRF
مصححة في الإصدار : 5.99
درجة الخطورة : حرجة
35. WordPress + Microsoft Office 365
البرنامج المساعد: WordPress + Microsoft Office 365
الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : 15.4.1
درجة الخطورة : حرجة
36. وظيفة مكررة
البرنامج المساعد: مشاركة مكررة
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : 1.2.0
درجة الخطورة : متوسطة
37. الهجرة الاحتياطية
البرنامج المساعد: ترحيل النسخ الاحتياطي
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.1.6
درجة الخطورة : متوسطة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. قم بتثبيت البرنامج المساعد iThemes Security Pro
يعمل المكون الإضافي iThemes Security Pro على تقوية موقع WordPress الخاص بك ضد الطرق الأكثر شيوعًا التي يتم اختراق مواقع الويب بها. مع أكثر من 30 طريقة لتأمين موقعك في مكون إضافي سهل الاستخدام.
2. قم بتمكين فحص الموقع للتحقق من وجود ثغرات أمنية معروفة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. مراقبة تغييرات الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة أمان الموقع على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.