خمسة الإضافات وورد يجب عليك تحديث الآن

إذا كنت تمتلك موقع WordPress ، فتأكد من مواكبة التحديثات - ليس فقط للنظام الأساسي الأساسي ، ولكن لجميع السمات والإضافات أيضًا.

تعمل WordPress على تشغيل أكثر من 70 مليون موقع إلكتروني حول العالم ، مما يجعلها هدفًا جذابًا لمجرمي الإنترنت. يقوم المهاجمون في كثير من الأحيان باختطاف عمليات تثبيت WordPress الضعيفة لاستضافة صفحات البريد العشوائي والمحتوى الضار.

كشف الباحثون عن عدد من مواطن الضعف الخطيرة في ملحقات WordPress الشائعة هذه خلال الأسابيع القليلة الماضية. تحقق من لوحة تحكم المسؤول وتأكد من تثبيت أحدث الإصدارات.

1. MailPoet v2.6.7 المتاحة

عثر الباحثون من شركة أمان الويب Sucuri على خلل في تحميل الملفات عن بُعد في MailPoet ، وهو مكون إضافي يتيح لمستخدمي WordPress إنشاء رسائل إخبارية ونشر إعلامات وإنشاء مستجيبين تلقائيين. كان يُعرف سابقًا باسم النشرات الإخبارية wysija ، وقد تم تنزيل البرنامج المساعد أكثر من 1.7 مليون مرة. المطورين مصححة العيب في الإصدار 2.6.7. الإصدارات السابقة كلها عرضة للخطر.

وقال دانييل سيد كبير مسؤولي التكنولوجيا في سوكوري في مدونة نشر الثلاثاء "يجب أن يؤخذ هذا الخطأ على محمل الجد ؛ فهو يمنح المتسلل المحتمل القدرة على فعل أي شيء يريده على موقع ضحيته." "يسمح بتحميل أي ملف PHP. يمكن أن يسمح هذا للمهاجم باستخدام موقع الويب الخاص بك لإغراء التصيد ، وإرسال الرسائل الاقتحامية ، واستضافة البرامج الضارة ، وإصابة العملاء الآخرين (على خادم مشترك) ، وما إلى ذلك!"

ووجدت Sucuri أن الثغرة الأمنية افترضت أن أي شخص يقوم بإجراء مكالمة محددة لتحميل الملف كان مسؤولًا ، دون التحقق فعليًا من أنه تمت مصادقة المستخدم. وقال سيد "إنه من السهل ارتكاب خطأ".

2. TimThumb v2.8.14 المتاحة

في الأسبوع الماضي ، أصدر أحد الباحثين تفاصيل عن ثغرة أمنية خطيرة في TimThumb v2.8.13 ، وهو مكون إضافي يتيح للمستخدمين اقتصاص الصور وتكبيرها وتغيير حجمها تلقائيًا. المطور وراء TimThumb ، Ben Gillbanks ، أصلح الخلل في الإصدار 2.8.14 ، والذي يتوفر الآن على Google Code.

كانت الثغرة الأمنية في وظيفة WebShot الخاصة بـ TimThumb ، وسمحت للمهاجمين (بدون مصادقة) بإزالة الصفحات عن بُعد وتعديل المحتوى عن طريق حقن تعليمات برمجية ضارة على المواقع المعرضة للخطر ، وفقًا لتحليل أجرته Sucuri. يتيح WebShot للمستخدمين انتزاع صفحات ويب عن بعد وتحويلها إلى لقطات شاشة.

كتب سيد "من خلال أمر بسيط ، يمكن للمهاجم إنشاء أي ملفات على الخادم الخاص بك وإزالتها وتعديلها".

نظرًا لعدم تمكين WebShot افتراضيًا ، فلن يتأثر معظم مستخدمي TimThumb. ومع ذلك ، يظل خطر هجمات تنفيذ التعليمات البرمجية عن بُعد لأن سمات WordPress والإضافات ومكونات الطرف الثالث تستخدم TimThumb. في الواقع ، قالت الباحثة Pichaya Morimoto ، التي كشفت عن العيب في قائمة الإفصاح الكامل ، إن WordThumb 1.07 و WordPress Gallery Plugin و IGIT Posts Slider Widget قد يكونان عرضة للخطر ، بالإضافة إلى موضوعات من موقع themify.me.

إذا قمت بتمكين WebShot ، فيجب عليك تعطيله عن طريق فتح السمة أو ملف الإضافة للمكون الإضافي وتعيين قيمة WEBSHOT_ENABLED على "خطأ" ، ينصح Sucuri.

في الواقع ، إذا كنت لا تزال تستخدم TimThumb ، فقد حان الوقت للتفكير في التخلص التدريجي منه. وجد تحليل حديث أجرته Incapsula أن 58 بالمائة من جميع هجمات تضمين الملفات عن بُعد ضد مواقع WordPress متضمنة TimThumb. لم يحافظ Gillbanks على TimThumb منذ عام 2011 (لإصلاح يوم صفر) لأن نظام WordPress الأساسي يدعم الآن نشر الصور المصغرة.

وقال جيلبانكس: "لم أستخدم تيمثومب في موضوع ووردبريس منذ ما قبل استغلال ثيمبوم السابق للأمان في عام 2011".

3. الكل في واحد سيو حزمة v2.1.6 المتاحة

في أوائل يونيو ، كشف باحثو سوكوري عن ثغرة أمنية في تصاعد الامتيازات في All in ONE SEO Pack. يحسن المكوّن الإضافي مواقع WordPress لمحرك البحث ، وستسمح مشكلة عدم الحصانة للمستخدمين بتعديل العناوين والأوصاف والبيانات الوصفية حتى بدون امتيازات المسؤول. وقال سوكوري إن هذا الخطأ يمكن ربطه بعيب تصاعد امتياز ثانٍ (ثابت أيضًا) لحقن شفرة جافا سكريبت الضارة في صفحات الموقع و "القيام بأشياء مثل تغيير كلمة مرور حساب المسؤول لترك بعض الباب الخلفي في ملفات webiste الخاصة بك".

وفقًا لبعض التقديرات ، يستخدم حوالي 15 مليون موقع WordPress حزمة الكل في واحد SEO. قامت شركة Semper Fi ، الشركة التي تدير البرنامج المساعد ، بإصلاح حل في 2.1.6 الشهر الماضي.

4. تسجيل الدخول Rebuilder v1.2.3 المتاحة

تضمنت نشرة الأمن السيبراني US-CERT الأسبوع الماضي اثنين من نقاط الضعف التي تؤثر على الإضافات وورد. الأول هو وجود خطأ في التزوير في موقع طلب التداخل في المكون الإضافي لـ Login Rebuilder والذي سيسمح للمهاجمين باختطاف مصادقة المستخدمين التعسفيين. بشكل أساسي ، إذا شاهد المستخدم صفحة ضارة أثناء تسجيل الدخول إلى موقع WordPress ، فسيتمكن المهاجمون من اختطاف الجلسة. الهجوم ، الذي لم يتطلب المصادقة ، يمكن أن يؤدي إلى الكشف غير المصرح به للمعلومات ، وتعديل ، وتعطيل الموقع ، وفقا لقاعدة بيانات الضعف الوطنية.

الإصدارات 1.2.0 والإصدارات الأقدم معرضة للخطر. أصدر Developer 12net إصدارًا جديدًا 1.2.3 الأسبوع الماضي.

5. JW لاعب v2.1.4 المتاحة

المشكلة الثانية المضمنة في نشرة US-CERT كانت مشكلة عدم حصانة تزوير طلب عبر المواقع في البرنامج المساعد JW Player. يتيح المكوّن الإضافي للمستخدمين تضمين مقاطع صوت وفيديو Flash و HTML5 ، وكذلك جلسات YouTube ، على موقع WordPress. سيكون بمقدور المهاجمين اختطاف مصادقة المسؤولين الذين تم خداعهم عن طريق زيارة موقع ضار وإزالة مشغلات الفيديو من الموقع عن بُعد.

الإصدارات 2.1.3 والإصدارات السابقة تكون عرضة للإصابة بهجمات الفيروسات. قام المطور بإصلاح الخلل في الإصدار 2.1.4 الأسبوع الماضي.

التحديثات العادية مهمة

في العام الماضي ، قام Checkmarx بتحليل 50 مكونًا إضافيًا تم تنزيله وأكبر 10 ملحقات للتجارة الإلكترونية لـ WordPress ووجدت مشكلات أمنية شائعة مثل حقن SQL والبرمجة عبر المواقع وتزوير الطلبات عبر المواقع في 20 بالمائة من المكونات الإضافية.

حذر Sucuri الأسبوع الماضي من أن "الآلاف" من مواقع WordPress قد تم اختراقها وإضافة صفحات البريد العشوائي إلى الدليل الأساسي wp- على الخادم. وحذر سيد من أن "صفحات الرسائل الاقتحامية (SPAM) مخبأة داخل دليل عشوائي داخل wp-include". يمكن العثور على الصفحات تحت / wp-include / finance / paydayloan ، على سبيل المثال.

بينما لم يكن لدى Sucuri "دليل قاطع" على كيفية اختراق هذه المواقع ، "في كل حالة تقريبًا ، تعمل مواقع الويب على تثبيت WordPress قديم أو cPanel" ، كتب Cid.

يحتوي WordPress على عملية تحديث غير مؤلمة إلى حد ما للمكونات الإضافية وكذلك الملفات الأساسية. يجب على مالكي الموقع البحث عن التحديثات وتثبيتها بانتظام لجميع التحديثات. يجدر أيضًا التحقق من جميع الأدلة ، مثل wp-include ، للتأكد من عدم وجود ملفات غير معروفة.

وقال سيد: "آخر شيء يريده أي صاحب موقع هو معرفة فيما بعد أن موارد علامته التجارية ونظامه استخدمت في أعمال سيئة".