هل يعمل موقعك على ووردبريس؟ انتبه للثغرات الأمنية الجديدة

تعمل ملايين المواقع الإلكترونية على الويب بنظام ووردبريس لإدارة المحتوى، لتميزه بالسهولة في إضافة العديد من الاضافات والنوافذ البرمجية Plug-in، وإمكانية تغيير الشكل من خلال القوالب "الثيمات Themes".

وبسبب سهولة التنصيب و البدء بالعمل على مواقع ووردبرس، وأحيانا بسبب انخفاض تكلفة الاضافات والقوالب، يختار العديد من الأشخاص (مؤسسات إعلامية - شركات - مدونون) بناء موقعهم على ووردبريس رغبة في توفير المال أو الوقت. ولكن حينها عليهم التعامل مع مئات الإضافات التي يعتمد عليها موقعك ليكون بالشكل والكفاءة والمطلوبة. و عليهم مراقبة التحديثات المستمرة لهذه الإضافات في حال وجود ثغرات امنية أو برمجية ومعرفة المخاطر المترتبة عليها.

وعلى الرغم من أن هذه الإضافات تعتبر ميزة إيجابية لنظام ووردبريس، إلا أنها قد تشكل مخاطر أمنية كبيرة  تهدد البيانات والمحتوى والموقع ككل.

سنتعرض في هذا المقال أهم المخاطر والثغرات التي ظهرت في شهر أبريل فقط من العام الجاري بسبب بعض الاضافات Plugins التي تسببت بايقاف ملايين المواقع الإلكترونية وشكلت مخاطر أمنية متعددة.

الثغرة الأولى كانت من أداة تصميم مواقع ووردبريس "ايليمنتور elementor"، والتي يعتمد عليها العديد من المبرمجين والمصممين في العالم  لبناء قوالب وثيمات لمواقعهم التي تعمل على ووردبريس.

ثغرة الحصول على صلاحية مدير في ووردبريس

ظهرت هذه الثغرة في ,واحد من أشهر إضافات ووردبريس والمتخصصة بالأساس بتوفير الحماية لمواقع ووردبرس من مجموعة كبيرة من الاختراقات والثغرات الأمنية وهي اضافة Anti-Malware Security Brute-Force Firewall.

الثغرة من نوع reflected XSS و تتيح للمخترق الحصول على صلاحية إدارية كاملة للموقع  (admin).

ويستخدمهم أكثر من 200000 موقع ووردبريس وتوفر خدمات امنية متعددة كجدار حماية firewall و فحص للموقع من الأكواد الضارة anti malware scan.

ثغرة الاستيلاء على الموقع بالكامل 

بعد التحديث الأخير لأداة elementor ظهرت ثغرة تتيح ﻷي مخترق رفع كود برمجي يمكنه من أخذ الموقع بشكل كامل " full site takeover".

ظهرت هذه المشكلة بسبب غياب لبعض المعايير والسياسات الأمنية "security policies" عند البدء بالعمل على الأداة.

ورغم أن أداة elementor تعتبر من الأدوات المدفوعة والشهيرة إلا أنها لم تتمكن من تفادي ثغرة قد تسبب خسائر كبيرة لأصحاب المواقع الالكترونية التي تعتمد على الأداة.

لتلافي هذه المشكلة، ينصح الخبراء بالغاء تحديث الأداء رقم  3.6.0 و الحصول على تحديث أعلى أو أقل.

ثغرة كشف معلومات الخادم Server في ووردبريس

ظهرت هذه الثغرة في واحد من اهم الاضافات المرتبطة بالتجارة الإلكترونية والأعمال  وهي اضافة HubSpot WordPress Plugin والتي تقدم مجموعة من الأدوات مثل الدردشة المباشرة Live chat ونظام إدارة عملاء،مع عرض بيانات تحليلية عن الزواء وسلوكهم داخل الموقع.

ومن خلال هذه الثغرة، قد يتمكن المخترق من:

• قراءة بيانات وصفية metadata على السيرفر.

• الاتصال بقاعدة بيانات مرتبطة على بروتوكول تصفح الويب http أو https.

• إرسال محتوى إلى قاعدة البيانات post requests.

وخلال الأيام الماضية قام مطورو الاضافات المختلفة بعمل تحديثات لسد كافة الثغرات الأمنية والبرمجية، ولكن يتطلب من مدراء المواقع بتنزيل هذه التحديثات لمواقعهم بشكل فوري.