تقرير ثغرات WordPress: أكتوبر 2021 ، الجزء الثاني
نشرت: 2021-10-13المكونات الإضافية والسمات المعرضة للخطر هي السبب الأول وراء اختراق مواقع WordPress. يغطي تقرير ثغرات WordPress الأسبوعي المدعوم من WPScan مكون WordPress الإضافي ، والموضوع ، ونقاط الضعف الأساسية ، وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.
سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . يعد الكشف عن الثغرات والإبلاغ عنها بشكل مسؤول جزءًا لا يتجزأ من الحفاظ على مجتمع WordPress آمنًا.
يرجى مشاركة هذا المنشور مع أصدقائك للمساعدة في نشر الخبر وجعل WordPress أكثر أمانًا للجميع.
نقاط الضعف الأساسية في ووردبريس
تم إصدار أحدث إصدار من WordPress core 5.8.1 كإصدار للأمان والصيانة. كأفضل ممارسة ، تأكد دائمًا من تشغيل أحدث إصدار من WordPress core!
نقاط الضعف في البرنامج المساعد WordPress
في هذا القسم ، تم الكشف عن أحدث ثغرات في البرنامج المساعد WordPress. تتضمن قائمة كل مكون إضافي نوع الثغرة الأمنية ورقم الإصدار إذا تم تصحيحه وتقييم الخطورة.
1. زر شراء PayPal السهل الآن
البرنامج المساعد: Easy PayPal Buy Now Button
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.7.3
درجة الخطورة : مرتفع
2. الأحداث سهلة
البرنامج المساعد: الأحداث أصبحت سهلة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 2.2.24
درجة الخطورة : منخفضة
3. رسائل BP أفضل
البرنامج المساعد: BP Better Messages
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.9.9.41
درجة الخطورة : مرتفع
البرنامج المساعد: BP Better Messages
الضعف : CSRF متعددة
مصححة في الإصدار : 1.9.9.41
درجة الخطورة : متوسطة
4. Themify Builder
البرنامج المساعد: Themify Builder
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 5.3.2
درجة الخطورة : مرتفع
5. عنوان انتهاء الصلاحية في المستقبل البعيد
البرنامج المساعد: عنوان انتهاء الصلاحية في المستقبل البعيد
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد عبر CSRF
مصححة في الإصدار : 1.5.1
درجة الخطورة : متوسطة
6. التحكم في مصدر الصورة
البرنامج المساعد: التحكم في مصدر الصورة
الضعف : مساهم + تغيير القيمة الوصفية المنشور التعسفي
مصححة في الإصدار : 2.3.1
درجة الخطورة : متوسطة
7. شعار المنزلق والعرض
البرنامج المساعد: شعار المنزلق والعرض
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد للمحرر
مصححة في الإصدار : 1.3.37
درجة الخطورة : منخفضة
8. بوابة الدفع Cardinity لـ WooCommerce
البرنامج المساعد: بوابة الدفع Cardinity لـ WooCommerce
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.0.7
درجة الخطورة : مرتفع
9. مشغل صوت MP3 للموسيقى والراديو والبودكاست بواسطة سونار
البرنامج المساعد: مشغل صوت MP3 للموسيقى والراديو والبودكاست بواسطة سونار
الضعف : إدارة متعددة + برمجة نصية عبر المواقع
مصححة في الإصدار : 2.4.2
درجة الخطورة : منخفضة
10. تبرع باي بال
البرنامج المساعد: Paypal Donation
قابلية التأثر : CSRF لحذف ما بعد التعسفي
مصححة في الإصدار : 1.3.1
درجة الخطورة : متوسطة
البرنامج المساعد: Paypal Donation
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.3.1
درجة الخطورة : مرتفع
11. قريباً ، قيد الإنشاء والصيانة بواسطة Dazzler
البرنامج المساعد: قريباً ، قيد الإنشاء ووضع الصيانة بواسطة Dazzler
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.6.7
درجة الخطورة : منخفضة
12. ترجمة ووردبريس - مترجم لغة جوجل
البرنامج المساعد: ترجمة WordPress - مترجم لغة Google
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 6.0.12
درجة الخطورة : منخفضة
13. مساعد منتج Booking.com
البرنامج المساعد: Booking.com Product Helper
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
14. Booking.com Banner Creator
البرنامج المساعد: Booking.com Banner Creator
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
15. برنامج مراقبة التحميل البسيط
البرنامج المساعد: Simple Download Monitor
الضعف : إعادة تعيين سجل غير مصرح به
مصححة في الإصدار : 3.9.6
درجة الخطورة : متوسطة
البرنامج المساعد: Simple Download Monitor
الضعف : الإزالة التعسفية للمصغرات
مصححة في الإصدار : 3.9.6
درجة الخطورة : متوسطة
البرنامج المساعد: Simple Download Monitor
الثغرة الأمنية : الوصول غير المصدق إلى السجل
مصححة في الإصدار : 3.9.6
درجة الخطورة : متوسطة
البرنامج المساعد: Simple Download Monitor
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 3.9.5
درجة الخطورة : مرتفع
البرنامج المساعد: Simple Download Monitor
الثغرة الأمنية : مساهم + البرمجة النصية عبر المواقع المخزنة عبر صورة مصغرة للملف
مصححة في الإصدار : 3.9.5
درجة الخطورة : مرتفع
16. اتجاهين الدردشة
البرنامج المساعد: Two Way Chat
الضعف : CSRF متعددة
مصححة في الإصدار : 3.1.5
درجة الخطورة : متوسطة
البرنامج المساعد: Two Way Chat
الثغرة الأمنية : المسؤول + تضمين ملف محلي
مصححة في الإصدار : 3.1.5
درجة الخطورة : منخفضة
17. WP-Recall
البرنامج المساعد: WP-Recall
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 16.24.48
درجة الخطورة : مرتفع
18. JobSearch WP Job Board
البرنامج المساعد: JobSearch WP Job Board
الضعف : المشترك + تحديث خيارات المدونة التعسفية
مصححة في الإصدار : 1.8.2
درجة الخطورة : مرتفع
البرنامج المساعد: JobSearch WP Job Board
الثغرة الأمنية : تحديث إعدادات البرنامج المساعد غير المصدق
مصححة في الإصدار : 1.8.2
درجة الخطورة : متوسطة
البرنامج المساعد: JobSearch WP Job Board
الضعف : المشترك + إضافة / تحديث مكالمات الجدول
مصححة في الإصدار : 1.8.2
درجة الخطورة : متوسطة
19. عربة تسوق التجارة الإلكترونية TheCartPress
البرنامج المساعد: عربة تسوق التجارة الإلكترونية TheCartPress
الضعف : CSRF إلى البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
20. MStore API
البرنامج المساعد: MStore API
الثغرة الأمنية : تحميل ملف PHP غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : حرجة
21. Media File Renamer - إعادة تسمية تلقائية ويدوية
البرنامج المساعد: Media File Renamer - إعادة تسمية تلقائية ويدوية
الثغرة الأمنية : عنوان الوسائط / اسم الملف / قفل تحديث الحالة عبر CSRF
مصححة في الإصدار : 5.2.7
درجة الخطورة : متوسطة
22. دفعة كات
البرنامج المساعد: Batch Cat
الضعف : المشترك + الفئات التعسفية إضافة / تعيين / حذف إلى المنشورات
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
23. qTranslate X.
البرنامج المساعد: qTranslate X.
الثغرة الأمنية : إدارة متعددة + برمجة نصية عبر المواقع مخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : منخفضة
24. معلومات السفر حول العالم
البرنامج المساعد: معلومات السفر العالمية
الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
25. WP Survey Plus
البرنامج المساعد: WP Survey Plus
الضعف : المشترك + مكالمات AJAX
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
26. صفحة خريطة موقع WP
البرنامج المساعد: WP Sitemap Page
الثغرة الأمنية : المسؤول + البرمجة النصية عبر الموقع المخزنة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : منخفضة
27. WP Bannerize 2.0.0
البرنامج المساعد: WP Bannerize 2.0.0
الثغرة الأمنية : حقن SQL مصدق عليه
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
28. Genie WP Favicon
البرنامج المساعد: Genie WP Favicon
الضعف : تغيير فافيكون التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
29. إعادة تسمية فينيكس ميديا
البرنامج المساعد: Phoenix Media Rename
الثغرة الأمنية : إعادة تسمية ملف الوسائط التعسفي للمؤلف
مصححة في الإصدار : 3.4.4
درجة الخطورة : متوسطة
30. إحصاءات حركة المرور في الوقت الحقيقي
البرنامج المساعد: إحصائيات حركة الزوار في الوقت الحقيقي
الضعف : المشترك + حقن SQL
مصححة في الإصدار : 3.9.1
درجة الخطورة : مرتفع
31. إضافة أزرار مشاركة
البرنامج المساعد: AddToAny Share Buttons
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.7.48
درجة الخطورة : منخفضة
32. منشئ النموذج الهائل
البرنامج المساعد: منشئ النموذج الهائل
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 5.0.07
درجة الخطورة : منخفضة
33. BulletProof Security
البرنامج المساعد: BulletProof Security
الضعف : الإفصاح عن المعلومات الحساسة
مصححة في الإصدار : 5.2.1
درجة الخطورة : متوسطة
34. WP All Export
البرنامج المساعد: WP All Export
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع المخزنة
مصححة في الإصدار : 1.3.1
درجة الخطورة : منخفضة
35. إعادة توجيه صفحة الخطأ 404 إلى الصفحة الرئيسية أو الصفحة المخصصة مع السجلات
البرنامج المساعد: إعادة توجيه صفحة الخطأ 404 إلى الصفحة الرئيسية أو صفحة مخصصة مع السجلات
الضعف : حذف السجل عبر CSRF
مصححة في الإصدار : 1.7.9
درجة الخطورة : متوسطة
36. الوصول إلى المستورد التجريبي
البرنامج المساعد: الوصول إلى المستورد التجريبي
الثغرة الأمنية : المشترك + تحميل ملف تعسفي
مصححة في الإصدار : 1.0.7
درجة الخطورة : مرتفع
37. تحميل مراقب
البرنامج المساعد: Download Monitor
الثغرة الأمنية : تنزيل السجلات غير المصدق
مصححة في الإصدار : 1.9.7
درجة الخطورة : متوسطة
البرنامج المساعد: Download Monitor
الضعف : انعكاس البرمجة النصية عبر المواقع (XSS)
مصححة في الإصدار : 1.7.1
درجة الخطورة : متوسطة
البرنامج المساعد: Download Monitor
الثغرة الأمنية : قائمة دليل مصدق عليها
مصححة في الإصدار : 1.6.4
درجة الخطورة : متوسطة
البرنامج المساعد: Download Monitor
الضعف : البرمجة النصية عبر المواقع المتعددة المنعكسة
مصححة في الإصدار : 3.3.6.2
درجة الخطورة : متوسطة
38. عدد غير محدود من النوافذ المنبثقة
البرنامج المساعد: عدد غير محدود من النوافذ المنبثقة
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
39. شرايكاستن
البرنامج المساعد: Schreikasten
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
40. مشاركة المحتوى XMLRPC
البرنامج المساعد: مشاركة المحتوى XMLRPC
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
41. واو الأشكال
البرنامج المساعد: Wow Forms
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : مرتفع
42. ارتباط تشعبي تلقائي
البرنامج المساعد: G Auto-Hyperlink
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
43. الحرباء CSS
البرنامج المساعد: Chameleon CSS
الضعف : المشترك + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : حرجة
44. كتالوج العنكبوت
البرنامج المساعد: SpiderCatalog
الثغرة الأمنية : المؤلف + حقن SQL
مصححة في الإصدار : لا يوجد إصلاح معروف - المكون الإضافي مغلق
درجة الخطورة : متوسطة
45- مجلس الدعم
البرنامج المساعد: لوحة الدعم
الضعف : عامل + برمجة نصية عبر المواقع مخزنة
مصححة في الإصدار : 3.3.5
درجة الخطورة : متوسطة
46. بوابة العمر
البرنامج المساعد: بوابة العمر
الثغرة الأمنية : برمجة نصية عبر المواقع مخزنة ومصادق عليها
مصححة في الإصدار : 2.16.4
درجة الخطورة : متوسطة
47. الوظائف ذات الصلة المضمنة
البرنامج المساعد: الوظائف ذات الصلة المضمنة
الثغرة الأمنية : المسؤول + البرمجة النصية عبر المواقع
مصححة في الإصدار : 3.0.5
درجة الخطورة : منخفضة
كيفية حماية موقع WordPress الخاص بك من المكونات الإضافية والسمات المعرضة للخطر
كما ترون من هذا التقرير ، يتم الكشف عن الكثير من مكونات WordPress الجديدة وثغرات الثغرات الأمنية كل أسبوع. نحن نعلم أنه قد يكون من الصعب البقاء على اطلاع بكل كشف عن الثغرات الأمنية ، لذا فإن المكون الإضافي iThemes Security Pro يجعل من السهل التأكد من أن موقعك لا يشغل سمة أو مكونًا إضافيًا أو إصدارًا أساسيًا من WordPress به ثغرة أمنية معروفة.
1. البحث عن الثغرات الأمنية المعروفة لموقع الويب
يقوم المكون الإضافي iThemes Security Pro بفحص السبب الأول وراء اختراق مواقع WordPress: المكونات الإضافية والسمات القديمة ذات الثغرات الأمنية المعروفة.
2. التحديث التلقائي للإصدارات الآمنة
تتكامل ميزة إدارة الإصدار في iThemes Security Pro مع Site Scan لحماية موقعك. سيتم تحديث السمات والإضافات المعرضة للخطر وإصدارات WordPress الأساسية تلقائيًا نيابةً عنك.
3. مراقبة تغييرات الملف
مفتاح اكتشاف الخرق الأمني بسرعة هو مراقبة تغييرات الملفات على موقع الويب الخاص بك. ستعمل ميزة الكشف عن تغيير الملف في iThemes Security Pro على فحص ملفات موقع الويب الخاص بك وتنبيهك عند حدوث تغييرات على موقع الويب الخاص بك.
احصل على iThemes Security Pro مع مراقبة مواقع الويب على مدار الساعة طوال أيام الأسبوع
يوفر iThemes Security Pro ، المكون الإضافي للأمان في WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة ذات العاملين وحماية القوة الغاشمة وفرض كلمة المرور القوي وغير ذلك ، يمكنك إضافة طبقات أمان إضافية إلى موقع الويب الخاص بك.