آسیب پذیری های افزونه ها و قالب ها اولین دلیل هک شدن سایت های وردپرس هستند. گزارش هفتگی آسیب پذیری وردپرس که توسط WPScan ارائه شده است ، آسیب پذیری های افزونه ، قالب و  اصلی وردپرس را پوشش می دهد و اگر یکی از افزونه ها یا قالب های آسیب پذیر را در سایت خود استفاده می کنید ، چه باید بکنید.

هر آسیب پذیری دارای درجه شدت پایین ، متوسط ، زیاد یا بحرانی خواهد بود. افشای مسئولانه و گزارش آسیب پذیری ها بخشی جدایی ناپذیر از ایمن نگه داشتن جامعه وردپرس است.

به عنوان یکی از بزرگترین گزارش های آسیب پذیری وردپرس تا به امروز ، لطفاً این پست را با دوستان خود به اشتراک بگذارید تا و وردپرس را برای همه ایمن تر کنید.

 

آسیب پذیری های هسته وردپرس

این ماه هیچ آسیب پذیری اصلی وردپرس فاش نشده است.

 

آسیب پدیری های افزونه های وردپرسی

1. افزونه Sitewide Notice WP

افزونه: Sitewide Notice WP
آسیب پذیری: Authenticated Stored XSS
وصله شده در نسخه: 2.3
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.3 به روز کنید.

 

2. افزونه Business Hours Indicator

افزونه: Business Hours Indicator
آسیب پذیری: Authenticated Stored XSS
وصله شده در نسخه: 2.3.5
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.3.5 به روز کنید.

 

3. افزونه Bold Page Builder

افزونه: Bold Page Builder
آسیب پذیری: PHP Object Injection
وصله شده در نسخه: 3.1.6
درجه شدت: متوسط

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 3.1.6 به روز کنید.

 

4. افزونه ShareThis Dashboard for Google Analytics

افزونه: ShareThis Dashboard for Google Analytics
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
وصله شده در نسخه: 2.5.2
درجه شدت: بالا

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.5.2 به روز کنید.

 

5. افزونه StoryChief

افزونه: StoryChief
آسیب پذیری: Reflected Cross-Site Scripting (XSS)
وصله شده در نسخه: 1.0.31
درجه شدت: بالا

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.0.31 به روز کنید.

 

افزونه: StoryChief
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
وصله شده در نسخه: 1.0.31
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.0.31 به روز کنید.

 

6. افزونه WP LMS

افزونه: WP LMS
آسیب پذیری: Unauthenticated Arbitrary User Field Edition/Creation
وصله شده در نسخه: 1.1.5
درجه شدت: متوسط

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.1.5 به روز کنید.

 

7. افزونه VDZ Google Analytics or Google Tag Manager / GTM

افزونه: VDZ Google Analytics or Google Tag Manager / GTM
آسیب پذیری: Authenticated Stored XSS
وصله شده در نسخه: 1.6.0
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.6.0 به روز کنید.

 

افزونه: VDZ Google Analytics or Google Tag Manager / GTM
آسیب پذیری: Authenticated Stored XSS
وصله شده در نسخه: 1.4.9
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.6.0 به روز کنید.

 

8. افزونه Cooked

افزونه: Cooked
آسیب پذیری: Unauthenticated Reflected Cross-Site Scripting (XSS)
وصله شده در نسخه: 1.7.9.1
درجه شدت: متوسط

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.7.9.1 به روز کنید.

 

9. افزونه Email Encoder – Protect Email Addresses

افزونه: Email Encoder – Protect Email Addresses
آسیب پذیری: Reflected Cross Site Scripting
وصله شده در نسخه: 2.1.2
درجه شدت: متوسط

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.1.2 به روز کنید.

 

10. افزونه SMS Alert Order Notifications – WooCommerce

افزونه: SMS Alert Order Notifications – WooCommerce
آسیب پذیری: Authenticated Cross Site Scripting
وصله شده در نسخه: 3.4.7
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 3.4.7 به روز کنید.

 

11. افزونه HM Multiple Roles

افزونه: HM Multiple Roles
آسیب پذیری: Arbitrary Role Change
وصله شده در نسخه: 1.3
درجه شدت: بحرانی

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.3 به روز کنید.

 

12. افزونه WP Customize Login

افزونه: WP Customize Login
آسیب پذیری: Authenticated Stored Cross-Site Scripting (XSS)
وصله شده در نسخه: هنوز مشکل امنیتی افزونه برطرف نشده است.
درجه شدت: بحرانی

هنوز این مشکل امنیتی برطرف نشده است، بنابراین این افزونه را غیرفعال و پاک کنید و مجدد می توانید پس از برطرف شدن مشکل آن را نصب کنید.

 

13. افزونه User Rights Access Manager

افزونه: User Rights Access Manager
آسیب پذیری: Access Restriction Bypass
وصله شده در نسخه: هنوز مشکل امنیتی افزونه برطرف نشده است.
درجه شدت: متوسط

هنوز این مشکل امنیتی برطرف نشده است، بنابراین این افزونه را غیرفعال و پاک کنید و مجدد می توانید پس از برطرف شدن مشکل آن را نصب کنید.

 

14. افزونه JiangQie Official Website Mini Program

افزونه: JiangQie Official Website Mini Program
آسیب پذیری: Authenticated SQL Injection
وصله شده در نسخه: 1.1.1
درجه شدت: بحرانی

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.1.1 به روز کنید.

 

15. افزونه Welcart e-Commerce

افزونه: Welcart e-Commerce
آسیب پذیری: Unauthenticated Information Disclosure
وصله شده در نسخه: 2.2.8
درجه شدت: بالا

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.2.8 به روز کنید.

 

افزونه: Welcart e-Commerce
آسیب پذیری: Authenticated System Information Disclosure
وصله شده در نسخه: 2.2.8
درجه شدت: متوسط

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.2.8 به روز کنید.

 

16. افزونه Highlight

افزونه: Highlight
آسیب پذیری: Authenticated Stored Cross-Site Scripting
وصله شده در نسخه: 0.9.3
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 0.9.3 به روز کنید.

 

17. افزونه Cookie Notice & Consent Banner for GDPR & CCPA Compliance

افزونه: Cookie Notice & Consent Banner for GDPR & CCPA Compliance
آسیب پذیری: Authenticated Stored XSS
وصله شده در نسخه: 1.7.2
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 1.7.2 به روز کنید.

 

18. افزونه Pods

افزونه: Pods
آسیب پذیری: Multiple Authenticated Stored Cross-Site Scripting (XSS)
وصله شده در نسخه: 2.7.29
درجه شدت: پایین

این آسیب پذیری وصله شده است ، بنابراین باید به نسخه 2.7.29 به روز کنید.

 

آسیب پدیری های قالب های وردپرسی

این ماه هیچ آسیب پذیری جدیدی در زمینه وردپرس فاش نشده است.

 

یادداشتی در مورد افشای مسئولانه

شاید برای شما این سال پیش آمده باشد که اگر آسیب پذیری به هکرها اجازه حمله دهد ، چرا فاش می شود. خوب ، بسیار معمول است که یک محقق امنیتی آسیب پذیری را پیدا کرده و به صورت خصوصی به توسعه دهنده نرم افزار گزارش دهد.

با افشای مسئولانه ، گزارش اولیه محقق به طور خصوصی به توسعه دهندگان شرکت صاحب نرم افزار ارائه می شود ، اما با توافق بر این اساس که پس از در دسترس قرار گرفتن وصله ، جزئیات کامل منتشر می شود. برای آسیب پذیری های امنیتی قابل توجه ، ممکن است در افشای این آسیب پذیری اندکی تأخیر ایجاد شود تا به افراد بیشتری فرصت داده شود تا وصله کنند.

محقق امنیتی ممکن است مهلتی را برای توسعه دهنده نرم افزار برای پاسخ به گزارش یا ارائه وصله تعیین کند. اگر این مهلت رعایت نشود ، ممکن است محقق آسیب پذیری خود را برای تحت فشار قرار دادن توسعه دهنده برای انتشار وصله فاش کند.

افشای عمومی یک آسیب پذیری و ظاهراً معرفی آسیب پذیری Zero-Day-نوعی آسیب پذیری که هیچ گونه وصله ای ندارد و در طبیعت مورد بهره برداری قرار می گیرد-ممکن است ضد تولید کننده به نظر برسد. اما ، این تنها اهرمی است که یک محقق باید بر توسعه دهنده فشار آورد تا آسیب پذیری را برطرف کند.

اگر هکر بخواهد این آسیب پذیری را کشف کند ، می تواند بدون سر و صدا از Exploit استفاده کرده و به کاربر نهایی آسیب برساند (این شما هستید) ، در حالی که توسعه دهنده نرم افزار همچنان در مورد عدم آسیب پذیری آسیب پذیری باقی می ماند. Google’s Project Zero دستورالعمل های مشابهی در مورد افشای آسیب پذیری ها دارد. آنها اطلاعات کاملی از آسیب پذیری را پس از 90 روز منتشر می کنند ، در صورتی که این آسیب پذیری وصله شده باشد یا خیر.

 

چگونه از وب سایت وردپرس خود در برابر افزونه ها و قالب های آسیب پذیر محافظت کنید؟

همیشه پیشگیری بهتر از درمان است! اما در امنیت کمی فراتر از این جمله است. به هر حال بهتر است مقاله آموزش امنیت وردپرس را کامل مشاهده کنید تا با راهکارهای حفاظتی امنیتی وردپرس آشنا شوید و آنها را در سایت خود بکار بگیرید.