أخبار

هل يعمل موقعك على ووردبريس؟ انتبه للثغرات الأمنية الجديدة

تاريخ النشر:

2022-05-07 07:07:01

تعمل ملايين المواقع الإلكترونية على الويب بنظام ووردبريس لإدارة المحتوى، لتميزه بالسهولة في إضافة العديد من الاضافات والنوافذ البرمجية Plug-in، وإمكانية تغيير الشكل من خلال القوالب "الثيمات Themes".

 

وبسبب سهولة التنصيب و البدء بالعمل على مواقع ووردبرس، وأحيانا بسبب انخفاض تكلفة الاضافات والقوالب، يختار العديد من الأشخاص (مؤسسات إعلامية - شركات - مدونون) بناء موقعهم على ووردبريس رغبة في توفير المال أو الوقت. ولكن حينها عليهم التعامل مع مئات الإضافات التي يعتمد عليها موقعك ليكون بالشكل والكفاءة والمطلوبة. و عليهم مراقبة التحديثات المستمرة لهذه الإضافات في حال وجود ثغرات امنية أو برمجية ومعرفة المخاطر المترتبة عليها.

 

وعلى الرغم من أن هذه الإضافات تعتبر ميزة إيجابية لنظام ووردبريس، إلا أنها قد تشكل مخاطر أمنية كبيرة  تهدد البيانات والمحتوى والموقع ككل.

 

سنتعرض في هذا المقال أهم المخاطر والثغرات التي ظهرت في شهر أبريل فقط من العام الجاري بسبب بعض الاضافات Plugins التي تسببت بايقاف ملايين المواقع الإلكترونية وشكلت مخاطر أمنية متعددة.

 

الثغرة الأولى كانت من أداة تصميم مواقع ووردبريس "ايليمنتور elementor"، والتي يعتمد عليها العديد من المبرمجين والمصممين في العالم  لبناء قوالب وثيمات لمواقعهم التي تعمل على ووردبريس.



 

ثغرة الحصول على صلاحية مدير في ووردبريس

إضافة جدار حماية لمواقع ووردبرس

ظهرت هذه الثغرة في ,واحد من أشهر إضافات ووردبريس والمتخصصة بالأساس بتوفير الحماية لمواقع ووردبرس من مجموعة كبيرة من الاختراقات والثغرات الأمنية وهي اضافة Anti-Malware Security Brute-Force Firewall.

الثغرة من نوع reflected XSS و تتيح للمخترق الحصول على صلاحية إدارية كاملة للموقع  (admin).

ويستخدمهم أكثر من 200000 موقع ووردبريس وتوفر خدمات امنية متعددة كجدار حماية firewall و فحص للموقع من الأكواد الضارة anti malware scan.


 

ثغرة الاستيلاء على الموقع بالكامل 

أداة elementor لتصميم مواقع ووردبرس

بعد التحديث الأخير لأداة elementor ظهرت ثغرة تتيح ﻷي مخترق رفع كود برمجي يمكنه من أخذ الموقع بشكل كامل " full site takeover".

ظهرت هذه المشكلة بسبب غياب لبعض المعايير والسياسات الأمنية "security policies" عند البدء بالعمل على الأداة.

ورغم أن أداة elementor تعتبر من الأدوات المدفوعة والشهيرة إلا أنها لم تتمكن من تفادي ثغرة قد تسبب خسائر كبيرة لأصحاب المواقع الالكترونية التي تعتمد على الأداة.

لتلافي هذه المشكلة، ينصح الخبراء بالغاء تحديث الأداء رقم  3.6.0 و الحصول على تحديث أعلى أو أقل.



 

ثغرة كشف معلومات الخادم Server في ووردبريس

أداة Hubspot لمواقع ووردبرس التجارية

ظهرت هذه الثغرة في واحد من اهم الاضافات المرتبطة بالتجارة الإلكترونية والأعمال  وهي اضافة HubSpot WordPress Plugin والتي تقدم مجموعة من الأدوات مثل الدردشة المباشرة Live chat ونظام إدارة عملاء،مع عرض بيانات تحليلية عن الزواء وسلوكهم داخل الموقع.

 

ومن خلال هذه الثغرة، قد يتمكن المخترق من:

  • قراءة بيانات وصفية metadata على السيرفر.

  • الاتصال بقاعدة بيانات مرتبطة على بروتوكول تصفح الويب http أو https.

  • إرسال محتوى إلى قاعدة البيانات post requests.


 

وخلال الأيام الماضية قام مطورو الاضافات المختلفة بعمل تحديثات لسد كافة الثغرات الأمنية والبرمجية، ولكن يتطلب من مدراء المواقع بتنزيل هذه التحديثات لمواقعهم بشكل فوري.

 

 

قم بمشاركة الخبر:

اشترك معنا في النشرة البريدية ليصلك كل جديد

المزيد من أخبار

أخبار

نظرة على مشكلة CrowdStrike و Microsoft

شهد عالم التكنولوجيا يوم الجمعة الماضي اضطرابا واسع النطاق ترك العديد من المستخدمين في حيرة.؟ تحديث يبدو أنه غير ضار سبب مشكلة كبيرة ، مما أثر على ملايين أجهزة Microsoft المحمية ببرنامج مكافحة الفيروس... قراءة المزيد

أخبار

التدوين الصوتي Podcast

هل سبق لك أن سمعت عن البودكاست؟ هل تعرف ما هي تصنيفاته؟ ما هو الفرق بين البودكاست والراديو التقليدي ؟ وهل تفكر بإنشاء بودكاست خاص بك؟    دعونا في هذا المقال نتعرف على البودكاست أو ما ي... قراءة المزيد

أخبار

ملخص أخبار تحسين محركات البحث SEO سيو - ابريل

  جديد أخبار محرك بحث جوجل ويوتيوب خلال شهر أبريل 2022، وأفضل الممارسات حول تحسين محركات البحث وتهيئة موقعك للتحديثات الجديدة.   مكافآت سوبر ثانكس SuperThanks من يوتيوب ... قراءة المزيد