سلطان وب
سبد خرید
خانه | آموزش وردپرس | آسیب پذیری کشف شده در وردپرس – بهمن ماه 1401

آسیب پذیری کشف شده در وردپرس – بهمن ماه 1401

آسیب پذیری کشف شده در وردپرس

آسیب پذیری کشف شده در وردپرس – بهمن ماه 1401

حملات اتوماتیک که معمولا با استفاده از ربات‌ها انجام میشود و نقاط آسیب‌ شناخته شده را هدف قرار می‌دهند ، یکی از دلایل اصلی به خطر افتادن سایت های وردپرسی است. از آن جایی‌که گزارش‌های آسیب پذیری و و ارائه راه حل‌های بررسی و رفع موارد ذکر شده برای آگاهی و آموزش امنیت وب سایت ضروری است ؛ در ادامه این مقاله برای کمک به صاحبان وب‌سایت‌ها در مورد تهدیدات و آسیب پذیری های جدید ، فهرستی از به‌روزرسانی‌های امنیتی مهم را برای وردپرس گردآوری کرده‌ام.


آسیب پذیری هسته وردپرس

نسخه 6.1.1 که آخرین نسخه ارائه شده وردپرس درحال حاضر است، موارد امنیتی و امکانات بیشتری را ارائه داده است ، در این نسخه تعداد زیادی باگ و مشکل امنیتی برطرف شده است. توصیه می‌شود هسته وردپرس به آخرین نسخه ذکر شده آپدیت شود.


آسیب پذیری افزونه های وردپرس

در این بخش افزونه های آسیب پذیر وردپرس که برای آن‌ها آپدیت ارائه شده است ، به همراه نسخه آسیب پذیر و نسخه رفع شده آن ارائه می‌شود.

 

افزونه duplicator

در نسخه 1.2.42 و پایین تر افزونه Duplicator یک حفره امنیتی وجود دارد به نحوی که امکان اجرای کد به صورت ریموت (Remote Code Execution) را به هکرها می دهد. هکر ها از این باگ امنیتی سطح بالا استفاده کرده و به صورت گسترده تعدادی زیادی از سایت های وردپرسی در سطح جهان را هک کرده اند. توجه داشته باشید صرفا نصب افزونه Duplicator مشکلی امنیتی برای سایت ایجاد نمی کند اما بعد از استفاده آن و ایجاد بسته نصبی، سایت در معرض هک شدن قرار می گیرد.
بعد از نصب قالب به کمک بسته نصبی، فایل‌های زیر و پوشه wp-snapshot نیز در کنار سایر بخش های پیشفرض وردپرس قرار می گیرند.
  1. database.php
  2. installer.php
  3. nstaller-backup.php
  4. installer-log.txt
  5. installer-data.sql

در بسیاری موارد نیز کاربران فراموش می کنند فایل های نصبی افزونه داپلیکیتور را حذف کنند و مشکل دقیقا از همین جا شروع می شود. هکر می تواند با دسترسی به فایل نصبی اقدام به تغییرات گسترده در فایل wp-config.php و در نتیجه ریست کردن کامل اطلاعات درون این فایل کند. لذا در اولین قدم سایت از دسترس خارج می شود.

 

افزونه WP Super Cache

این افزونه دارای آسیب پذیری Unauthenticated Cache Poisoning است. در واقع اگر مهاجم به هر نحوی بتواند مقادیر نادرستی را برای نام‌دامنه‌ای به Cache تزریق کند، می‌تواند تمام کاربرانی را که از آن سرور Recursive استفاده می‌کنند را به سمت دیگری گمراه کند، این آسیب پذیری در نسخه 1.9 برطرف شده است.

 

افزونه Kadence WooCommerce Email Designer

این افزونه دارای آسیب پذیری  PHP Objection Injection است. این آسیب‌پذیری زمانی رخ می‌دهد که ورودی ارائه‌ شده توسط کاربر قبل از ارسال به تبع (unserialize)به درستی حذف نشده باشد. این آسیب پذیری در نسخه 1.5.7 برطرف شده است.

 

افزونه Anti-Spam by CleanTalk

این افزونه دارای آسیب پذیری SQL Injection است و در نسخه 5.185.1 مرتفع شده است.

 

افزونه Manage Notification E-mails

این افزونه دارای آسیب پذیری بازگردانی تنظیمات با استفاده از CSRF را دارد و در نسخه 1.8.3 مرتفع شده است.

 

افزونه Smart Slider 3

این افزونه دارای آسیب پذیری PHP Object Injection است و در نسخه 3.5.1.11 مرتفع شده است.

 

افزونه eCommerce Product Catalog

این افزونه دارای آسیب پذیری Reflected XSS است و در نسخه 3.0.71 مرتفع شده است.

 

افزونه Complianz

این افزونه دارای آسیب پذیری SQL injection است و در نسخه 6.3.4 مرتفع شده است.

 

افزونه Import and export users and customers

این افزونه دارای آسیب پذیری CSV Injection است، این آسیب پذیری زمانی رخ می دهد که یک وبسایت اطلاعات دریافت شده از کاربر را بدون هیچ گونه ایمن سازی وارد فایل CSV کند. در نسخه ۱.۲۰.۵ مرتفع شده است.


آسیب پذیری افزونه های وردپرس

در ادامه لیست افزونه های آسیب پذیر وردپرس را که برای آن آپدیت ارائه نشده است را می‌خوانید. با توجه به عدم رفع این آسیب پذیری ها در صورت استفاده از این افزونه ها توصیه می‌شود در اولین فرصت اقدام به حذف آن‌ها کنید.

  1. افزونه Booking Ultra Pro آسیب پذیری CSRF
  2. افزونه LBStopAttack آسیب پذیری CSRF
  3. افزونه Post to CSV by BestWebSoft آسیب پذیری CSV Injection
  4. افزونه WP Total Hacks آسیب پذیری Stored XSS
  5. افزونه WP Word Count آسیب پذیری Stored XSS

آسیب پذیری قالب های وردپرس

در این بخش تم Newspaper وردپرس که دارای آسیب پذیری است توضیح داده می‌شود و نسخه رفع شده آن نیز ارائه داده می شود.

 

قالب Newspaper

این تم دارای آسیب پذیری Reflected Cross-Site Scripting است. زمانی که برنامه کاربردی، داده‌های دریافتی از URL را به روشی ناامن نمایش دهد، مهاجم می‌تواند از طریق ارسال لینک به قربانیان و یا با انتشار آن در فروم، کاربران قربانی را به دام انداخته و توسط آسیب پذیری Reflected XSS اسکریپت‌هایی را روی مرورگر کاربران اجرا کند. این آسیب پذیری در نسخه 12 مرتفع شده است.


سخن پایانی

همانطور که می‌دانید شناسایی و رفع آسیب پذیری های کشف شده در وردپرس اقدامی موثر در افزایش امنیت سایت شما به حساب می‌آید. پس حتما با رعایت نکاتی که در این مقاله به آن اشاره کردم امنیت سایت حود را افزایش دهید. در نهایت برای اینکه درباره امنیت وردپرس ، شبکه و برنامه‌های کامپیوتری بیشتر بدانید و یاد بگیرید ، پیشنهاد می‌کنم به بخش آموزش وردپرس در وبلاگ سلطان وب مراجعه کنید.

دیدگاهتان را بنویسید