حملات خودکار که معمولا با استفاده از رباتها آسیبپذیریهای شناخته شده را هدف قرار میدهند، یکی از دلایل اصلی به خطر افتادن وبسایتها است. از آن جاییکه گزارشهای آسیب پذیری و و ارائه راه حلهای بررسی و رفع موارد ذکر شده برای آگاهی و آموزش امنیت وب سایت ضروری است. در ادامه، این مقاله برای کمک به آموزش صاحبان وبسایتها در مورد تهدیدات و آسیب پذیری های نوظهور، فهرستی از بهروزرسانیهای امنیتی مهم و وصلههای آسیبپذیری را برای اکوسیستم وردپرس در ماه گذشته میلادی (اکتبر) گردآوری کردهایم.
تاثیر و شدت وجود این آسیب پذیری ها در سایت همچنین نحوه بررسی و رفع آنها نیز ذکر شده است. با ما همراه باشید.
آسیب پذیری هسته وردپرس
نسخه 6.0.2 که در تاریخ August 30, 2022 ارائه شد، موارد امنیتی و امکانات بیشتری را ارائه داد، در این نسخه 12 باگ و 3 مشکل امنیتی برطرف گردید.
نسخه 6.0.3 نیز که در تاریخ October 17, 2022 ارائه شد، تعدادی از آسیب پذیری های امنیتی را برطرف کرد که در نتیجه توصیه میشود هسته وردپرس به آخرین نسخه ذکر شده آپدیت شود.
آسیب پذیری های افزونه های وردپرس
در این بخش افزونه های آسیب پذیر وردپرس که برای آنها آپدیت ارائه شده است، به همراه نسخه آسیب پذیر و نسخه رفع شده آن ارائه میشود.
افزونه WP Super Cache
این افزونه دارای آسیب پذیری Unauthenticated Cache Poisoning است. در واقع اگر مهاجم به هر نحوی بتواند مقادیر نادرستی را برای نامدامنهای به Cache تزریق کند، میتواند تمام کاربرانی را که از آن سرور Recursive استفاده میکنند را به سمت دیگری گمراه کند، این آسیب پذیری در نسخه 1.9 برطرف شده است.
افزونه Kadence WooCommerce Email Designer
این افزونه دارای آسیب پذیری PHP Objection Injection است. این آسیبپذیری زمانی رخ میدهد که ورودی ارائه شده توسط کاربر قبل از ارسال به تبع (unserialize)به درستی حذف نشده باشد. این آسیب پذیری در نسخه 1.5.7 برطرف شده است.
افزونه Anti-Spam by CleanTalk
این افزونه دارای آسیب پذیری SQL Injection است و در نسخه 5.185.1 مرتفع شده است.
افزونه Manage Notification E-mails
این افزونه دارای آسیب پذیری بازگردانی تنظیمات با استفاده از CSRF را دارد و در نسخه 1.8.3 مرتفع شده است.
افزونه Smart Slider 3
این افزونه دارای آسیب پذیری PHP Object Injection است و در نسخه 3.5.1.11 مرتفع شده است.
افزونه eCommerce Product Catalog
این افزونه دارای آسیب پذیری Reflected XSS است و در نسخه 3.0.71 مرتفع شده است.
افزونه Complianz
این افزونه دارای آسیب پذیری SQL injection است و در نسخه 6.3.4 مرتفع شده است.
افزونه Import and export users and customers
این افزونه دارای آسیب پذیری CSV Injection است، این آسیب پذیری زمانی رخ می دهد که یک وبسایت اطلاعات دریافت شده از کاربر را بدون هیچ گونه ایمن سازی وارد فایل CSV کند. در نسخه 1.20.5 مرتفع شده است.
[irp posts=”25174″ name=”آسیب پذیری های کشف شده در وردپرس (August 2022)”]
آسیب پذیری های افزونه های وردپرس
در ادامه لیست افزونه های آسیب پذیر وردپرس را که برای آن آپدیت ارائه نشده است را میخوانید. با توجه به عدم رفع این آسیب پذیری ها در صورت استفاده از این افزونه ها توصیه میشود در اولین فرصت اقدام به حذف آنها کنید.
افزونه Booking Ultra Pro آسیب پذیری CSRF
افزونه LBStopAttack آسیب پذیری CSRF
افزونه Post to CSV by BestWebSoft آسیب پذیری CSV Injection
افزونه WP Total Hacks آسیب پذیری Stored XSS
افزونه WP Word Count آسیب پذیری Stored XSS
آسیب پذیری های قالب های وردپرس
در این بخش تم Newspaper وردپرس که دارای آسیب پذیری است توضیح داده میشود و نسخه رفع شده آن نیز ارائه داده می شود.
قالب Newspaper
این تم دارای آسیب پذیری Reflected Cross-Site Scripting است. زمانی که برنامه کاربردی، دادههای دریافتی از URL را به روشی ناامن نمایش دهد، مهاجم میتواند از طریق ارسال لینک به قربانیان و یا با انتشار آن در فروم، کاربران قربانی را به دام انداخته و توسط آسیب پذیری Reflected XSS اسکریپتهایی را روی مرورگر کاربران اجرا کند. این آسیب پذیری در نسخه 12 مرتفع شده است.
[irp posts=”25103″ name=”آسیب پذیری های کشف شده در وردپرس (July 2022)”]
سخن پایانی
همانطور که میدانید شناسایی و رفع آسیب پذیری های کشف شده در وردپرس اقدامی موثر در افزایش امنیت وبسایت شما است. پس حتما با رعایت نکاتی که در این مقاله به آن اشاره کردیم امنیت کسب و کار اینترنتی تان را افزایش دهید. در نهایت برای اینکه درباره امنیت وردپرس، شبکه و برنامههای کامپیوتری بیشتر بدانید و یاد بگیرید، پیشنهاد میکنیم به بخش امنیت در وبلاگ ایران سرور مراجعه کنید.