گزارش آسیب پذیری های وردپرس در ۲۰۲۳؛ مروری بر آخرین تهدیدات
[ad_1]
در این مقاله میخوانید
- دلیل اصلی آسیبپذیری وردپرس چیست؟
- ۴۹ نمونه از آسیب پذیری های اصلی وردپرس
- جدول آسیبپذیریهای اصلاحنشده وردپرس
- جمعبندی
- سؤالات متداول
آسیب پذیری های وردپرس مهمان ناخواندهای است که سر بزنگاه شما را سورپرایز میکند. طبق آخرین آمار در سال ۲۰۲۰، بیش از ۴۰۰ هزار وب سایت وردپرسی در معرض رایج ترین آسیب پذیریهای وردپرس قرار گرفتند. درصورتیکه در سایتتان از افزونههای نال و رایگان استفاده میکنید، ممکن است یکی از سادهترین آسیب پذیری های وردپرس به سایتتان آسیب جدی بزند. به همین دلیل، پیش از آنکه هکرها از در و پنجره سایتتان وارد شوند و همه چیز را خراب کنند، بسیار اهمیت دارد آسیب پذیری های اصلی وردپرس را بشناسید.
در این مقاله از آموزش وردپرس بلاگ پارس پک، گزارش کاملی از رایج ترین آسیب پذیریهای وردپرس طی چند ماه اخیر جمعآوری کردیم. خواندن این مقاله به شما کمک میکند تا با اقدام بهموقع اقدامات امنیتی لازم را برای سایت خود بهعمل آورید.
دلیل اصلی آسیبپذیری وردپرس چیست؟
در این مورد یک خبر خوب و چند خبر بد وجود دارد. اجازه دهید با ذکر دلایل آسیب پذیری های وردپرس، ابتدا خبرهای بد را پشت سر بگذاریم. علل پشت این اتفاق شامل:
۱. بهروزرسانی نکردن سایت
وردپرس محبوب مثل یک کودک نوپا بوده که بهطور منظم نیاز است بهروزرسانیهای آن را چک کنید. بهروزرسانیها معمولا آسیب پذیری های وردپرس را برطرف کند.
۲. استفاده از افزونه و قالب نالشده
شاید شما هم برخی مواقع لذت اولیه حاصل از بهدست آوردن یک قالب یا افزونه رایگان و نال را به خرید آن ترجیح دهید. اینجاست که مثل معروف «آب که از سر گذشت، چه یه وجب چه صد وجب» دامنتان را میگیرد. بهعبارتی حتی یک بار استفاده از افزونهای نال ممکن است سایتتان آسیب جدی به سایتتان وارد کند.
۳. رعایت نکردن امنیت سایت
نیازی به برداشتن سنگ بزرگ نیست. هیچ قفل عجیبوغریبی لازم ندارید. برخی از اقدامات امنیتی ساده به محافظت از سایت شما در برابر آسیب پذیری های وردپرس کمک خواهد کرد. این اقدامات شامل استفاده از نام کاربری و رمز عبور قوی، فعال کردن احراز هویت دو مرحلهای و نصب افزونههای امنیتی است.
۴۹ نمونه از آسیب پذیری های اصلی وردپرس
منظور از آسیب پذیری های اصلی وردپرس، آن دسته از خطراتی است که از خطاهای برنامهنویسی، افزونه یا ضعفهای امنیتی بهوجود میآید. لیستی از رایج ترین آسیب پذیریهای وردپرس را در ادامه آوردیم.
۱. افزونه Password Protected
در این افزونه یک آسیبپذیری امنیتی کشف شده است که به مهاجمان اجازه میدهد تا کد JavaScript مخرب را به صفحات وب وارد کنند. برای کاهش خطر، به نسخه 2.6.3 یا بالاتر افزونه Password Protected بهروزرسانی کنید. همچنین میتوانید از افزونههای امنیتی مانند Wordfence یا Sucuri برای محافظت از وبسایت خود در برابر حملات XSS استفاده کنید.
- خطر امنیتی: متوسط
- تعداد نصب: بیش از ۳۰۰۰۰۰
- نرمافزار آسیبدیده: نسخه ۲.۶.۶
- اقدامات پیشگیرانه: افزونه Password Protected را به نسخه ۲.۶.۳ یا بالاتر بهروزرسانی کنید.
۲. حذف پشتیبانی امنیتی برای نسخه ۳.۷ تا ۴.۰ وردپرس
وردپرس اعلام کرد از اول ژانویه ۲۰۲۴، پشتیبانی امنیتی برای نسخههای ۳.۷ تا ۴.۰ وردپرس حذف خواهد شد. باتوجه به این خبر، هیچ راهی برای بهروزرسانی وردپرس به نسخههای بالاتر وجود ندارد.
- درجه خطر امنیتی: زیاد
- تعداد نصب: بیش از ۲۰ میلیون
- نرمافزار آسیبدیده: نسخههای ۳.۷ تا ۴.۰ وردپرس
- اقدامات پیشگیرانه: هر چه سریعتر وردپرس را به نسخههای جدیدتر بهروزرسانی کنید.
وردپرس مثل یک شمشیر دولبه عمل میکند. علاوهبر اینکه به عنوان یک بستر فوقالعاده برای ساخت وبسایت شناخته شده است، سوراخهایی مخصوص نفوذ مهاجمان دارد که امکان تخریب سایت را فراهم میکند. شناخت این سوراخها و نحوه پوشاندنشان اهمیت بسیار دارد.
۳. افزونه Wordfence
یکی دیگر از رایج ترین آسیب پذیریهای وردپرس مربوط به افزونه Wordfence است. این آسیبپذیری مربوط به مشکلی در نحوه مدیریت افزونه Wordfence از فایلهای JavaScript بود. خوشبختانه فقط در افزونه Wordfence نسخه پیش از ۷.۶ وجود داشت. برای رفع آن کافیاست افزونه خود را بهروزرسانی کنید.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۴ میلیون بار
- نرمافزار آسیبدیده: نسخههای ۳.۷ تا ۴.۰ وردپرس
- اقدامات پیشگیرانه: برای محافظت از سایت خود در برابر این خطر، هر چه سریعتر افزونه را به نسخه ۷.۶.۱ یا بالاتر بهروزرسانی کنید.
۴. افزونه BackupBuddy
یکی از آسیب پذیری های وردپرس مربوط به افزونه BackupBuddy است. این مشکل باعث شد مهاجمان بتوانند یک رشته URL را به URL دانلود فایلهای پشتیبان اضافه کنند. اگر از نسخههای قبل از ۸.۷.۵ استفاده میکنید، افزونه را به نسخه ۸.۷.۵ یا بالاتر ارتقا دهید.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخههای قبل از ۸.۷.۵
- اقدامات پیشگیرانه: افزونه را به نسخه ۸.۷.۵ یا بالاتر ارتقا دهید.
۵. افزونه Booking Calendar
آسیبپذیری افزونه Booking Calendar یک آسیبپذیری CSRF است. CSRF مخفف Cross-Site Request Forgery است. این آسیبپذیری زمانی رخ میدهد که کاربر به وبسایتی آسیبپذیر مراجعه میکند و درخواستی مخرب به صورت خودکار از طرف کاربر ارسال میشود.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۶۰ هزار بار
- نرمافزار آسیبدیده: نسخههای قبل از ۹.۹.۲
- اقدامات پیشگیرانه: افزونه Booking Calendar این آسیبپذیری را در نسخه ۹.۲.۲ افزونه Booking Calendar برطرف کرده است، آن را بهروزرسانی کنید.
۶. افزونه DSGVO All in one for WP
آسیبپذیری افزونه DSGVO All in one for WP یک آسیبپذیری XSS بود. XSS مخفف Cross-Site Scripting است. این آسیب زمان بازدید کاربر از سایت رخ میدهد و باعث میشود کد مخرب در مرورگر کاربر اجرا شود.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۲۰هزار بار
- نرمافزار آسیبدیده: نسخه ۴.۲
- اقدامات پیشگیرانه: این آسیبپذیری در نسخه ۴.۳ اصلاح شده است. افزونه خود را بهروزرسانی کنید تا با خیال راحت از شر این آسیبپذیری راحت شوید.
۷. افزونه WP Socializer
آسیبپذیری این افزونه نیز از آسیب پذیری های وردپرس سری XSS است. خبر خوب اینکه با ارتقا افزونه به نسخه ۷.۳ مشکلی از بابت این افزونه نخواهید داشت:
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۴ میلیون بار
- نرمافزار آسیبدیده: نسخه ۷.۲ به قبل
- اقدامات پیشگیرانه: این آسیبپذیری در نسخه ۷.۳ اصلاح شده است. افزونه خود را بهروزرسانی کنید.
۸. افزونه Goolytics – Simple Google Analytics
سراغ یکی دیگر از آسیب پذیری های وردپرس سری XSS یا Cross-Site Scripting میرویم. Goolytics باگ امنیتی خودش را در نسخه ۱.۱.۲ برطرف کرده است.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۷ هزار بار
- نرمافزار آسیبدیده: نسخه ۱.۱.۲ به قبل
- اقدامات پیشگیرانه: فقط کافیاست افزونه را به نسخه ۱.۱.۲ ارتقا دهید.
۹. افزونه Donation Thermometer
آسیب پذیری های وردپرس سری XSS یا Cross-Site Scripting افزونه Donation Thermometer را نیز بینصیب نگذاشته است. اگر از نسخه قبل از ۲.۱.۳ استفاده میکنید، همین حالا افزونه را به نسخه بعدی ارتقا دهید.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۳ هزار بار
- نرمافزار آسیبدیده: نسخه ۲.۱.۳ به قبل
- اقدامات پیشگیرانه: همین حالا افزونه را به نسخه ۲.۱.۳ یا بالاتر ارتقا دهید. با این کار، از نگرانی آسیب پذیری این افزونه وردپرس رها خواهید شد.
۱۰. افزونه Frontend File Manager
آسیبپذیری افزونه Frontend File Manager Plugin یک آسیبپذیری CSRF است. در اثر این آسیبپذیری، نام فایلها بهطور خودسرانه تغییر کرده و در سایت آپلود میشود. این مورد، در سری ۲۱.۳ برطرف شده است.
- درجه خطر امنیتی: بحرانی
- تعداد نصب: بیش از ۲ هزار بار
- نرمافزار آسیبدیده: نسخه ۲۱.۲ به قبل
- اقدامات پیشگیرانه: با بهروزرسانی افزونه به نسخه ۲۱.۳ مشکل برطرف خواهد شد.
۱۱. افزونه Zephyr Project Manager
این سری از آسیب پذیری های وردپرس مربوط به یک مشکل در نحوه مدیریت افزونه Zephyr Project Manager از فایلهای JavaScript بود. بهعبارتی، امکان فراخوانی غیرمجاز AJAX با XSS ذخیرهشده برای مهاجمان و هکرها بهراحتی فراهم بود. البته در نسخه ۳.۲.۵۵ این مشکل برطرف شد.
- درجه خطر امنیتی: زیاد
- تعداد نصب: بیش از هزار بار
- نرمافزار آسیبدیده: نسخه ۳.۲.۵۴
- اقدامات پیشگیرانه: با بهروزرسانی افزونه به نسخه ۳.۲.۵۵ خطر آسیبپذیری دامنتان را نخواهد گرفت.
۱۲. افزونه SVG Support
در این افزونه نیز شاهد آسیب پذیری های وردپرس سری XSS در بخش نویسندگان هستیم. اگر از این افزونه استفاده میکنید، مطمئن شوید نسخه ۲.۵ به بعد را نصب کرده باشید.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۱ میلیون نصب
- نرمافزار آسیبدیده: نسخه ۲.۴
- اقدامات پیشگیرانه: با بهروزرسانی افزونه به نسخه ۲.۵ نگرانی از بابت آسیبپذیری این افزونه نخواهید داشت.
۱۳. افزونه Ninja Forms
با آسیبپذیری این افزونه، هکرها دسترسی کامل به وبسایت و اطلاعات حساس را داشتند. آسیبپذیری این افزونه ترکیبی از موارد XSS ،CSRF و SQL injection در بخش ادمین بود.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۹۰۰ هزار بار نصب نرمافزار آسیبدیده: نسخه ۳.۶.۱۲
- اقدامات پیشگیرانه: این مشکل در نسخه ۳.۶.۱۳ برطرف شده است. با بهروزرسانی افزونه به نسخه ۳.۶.۱۳ یا بالاتر نگرانی از بابت آسیبپذیری این افزونه نخواهید داشت.
۱۴. افزونه Post SMTP
آسیبپذیری افزونه Post SMTP یک آسیبپذیری SSRF بود. SSRF مخفف Server-Side Request Forgery است. این آسیبپذیری زمان مراجعه کاربر به وبسایت اتفاق میافتد که یک درخواست مخرب بهصورت خودکار از طرف کاربر ارسال میشود. درخواست مخرب میتوانست برای بازنشانی رمز عبور کاربر مدیر و دسترسی به حساب کاربری مدیر استفاده شود.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۳۰ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۲.۱.۶
- اقدامات پیشگیرانه: این مشکل در نسخه ۲.۱.۷ برطرف شده است. با بهروزرسانی افزونه به نسخه ۲.۱.۷ یا بالاتر نگرانی از بابت آسیبپذیری این افزونه نخواهید داشت.
۱۵. افزونه Beaver Builder
این افزونه نیز با آسیب پذیری های وردپرس سری XSS ازطریق ویرایشگر متن، احراز هویت، Captain On Hover و URLتصاویر همراه بوده که البته در نسخه ۲.۵.۵.۳ برطرف شد.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۲۰ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۲.۵.۵.۲
- اقدامات پیشگیرانه: Beaver Builder این مشکل را در نسخه ۲.۵.۵.۳ برطرف کرده است.
۱۶. افزونه Download Manager
دانلود منیجر با آسیب پذیری Broken Access Control روبهرو بوده است. همچنین در نسخههای قدیمیتر این افزونه شاهد انواع آسیب پذیری های وردپرس از جمله XSS، CSRF و SQL Injection بودیم.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۱۰۰ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۳.۲.۷۰
- اقدامات پیشگیرانه: در نسخه بهروز شده دانلود منیجر یعنی ۳.۲.۷۱ اثری از این آسیب پذیری های وردپرس نیست. پس همین حالا نگاهی به ورژن افزونه بیندازید و اگر قدیمی است، آن را بهروزرسانی کنید.
۱۷. افزونه Restricted Site Access
افزونه Restricted Site Access شاهد آسیب پذیری Bypass ازطریق IP Spoofing بود. IP Spoofing زمانی رخ میدهد که یک هکر آدرس IP خود را به آدرس IP دیگری تغییر میدهد. در این مورد، هکر آدرس IP خود را به آدرس IP کاربر مجاز تغییر میداد.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۲۰ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۷.۳.۱
- اقدامات پیشگیرانه: این سری از آسیب پذیری های وردپرس در نسخه ۷.۳.۲ اصلاح شده است. بنابراین اگر از این افزونه استفاده میکنید، مطمئن شوید نسخه بهروزشده را نصب کردید.
۱۸. افزونه Image Hover Effects Ultimate
در این افزونه نیز با آسیب پذیری خانواده XSS روبهرو بودیم که البته در نسخه ۹.۸.۰ برطرف شد.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۲۰ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۹.۸
- اقدامات پیشگیرانه: اگر از نسخه قدیمی افزونه Image Hover Effects Ultimate استفاده میکنید، آن را به نسخه ۹.۸.۰ ارتقا دهید تا از آسیبپذیری محافظت شوید.
۱۹. افزونه Simple File List
آسیب پذیری سری XSS یا Cross-Site Scripting افزونه مظلوم Simple File List را هم بینصیب نگذاشته است. دراین مورد، آسیبپذیری افزونه Simple File List باعث شد درخواستهای HTTP جعلی برای دانلود فایلها ارسال شوند. این درخواستها توسط افزونه Simple File List پردازش شده و به مهاجمان اجازه داد به فایلهای وبسایت دسترسی پیدا کنند.
- درجه خطر امنیتی: زیاد
- تعداد نصب: بیش از ۵ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۴.۲.۲
- اقدامات پیشگیرانه: این مشکل در نسخه ۴.۲.۶ برطرف شده است؛ بنابراین اگر از نسخه بالاتری از این ورژن استفاده میکنید، جای نگرانی نیست.
۲۰. افزونه Slider Hero
نسخههای این افزونه در بازههای مختلف دچار انواع آسیب پذیری های وردپرس شده است. بهعبارتی، آسیبپذیریهایی از جمله SQL Injection، XSS،CSRF را در نسخههای مختلف همچون ۸.۲.۶، ۸.۲.۰ دیدیم. برای جلوگیری از آسیب، افزونه را به نسخه بالاتر از ۸.۴.۴ ارتقا دهید.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۴ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۸.۲.۶ و ۸.۲.۰
- اقدامات پیشگیرانه: این مشکلات در نسخه ۸.۴.۴ برطرف شده است؛ بنابراین برای رفع آسیب پذیری فقط کافیاست افزونه را ارتقا دهید.
۲۱. افزونه Generate PDF using Contact Form 7
این افزونه نیز اسیر آسیب پذیری های وردپرس سری XSS در بخش ادمین شد. البته این آسیبپذیری برای نسخههای قبل از ۳.۶ بود. در نسخه جدید مشکل برطرف شده است.
- درجه خطر امنیتی: کم
- تعداد نصب: بیش از ۲ هزار بار نصب
- نرمافزار آسیبدیده: نسخه ۳.۵
- اقدامات پیشگیرانه: این مشکل در نسخه ۳.۶ برطرف شده است؛ بنابراین برای رفع آسیب پذیری فقط کافیاست افزونه را ارتقا دهید.
۲۲. افزونه CM Download Manager
این افزونه نیز از آسیب پذیری های وردپرس جان سالم به در نبرده است. آسیبپذیری این افزونه باعث شد تا هکرها فایل دلخواه خود را ازطریق بخش ادمین به سایت وارد کنند.
- درجه خطر امنیتی: متوسط
- تعداد نصب: بیش از ۵۰۰ بار نصب
- نرمافزار آسیبدیده: نسخه قبل از ۲.۸.۶
- اقدامات پیشگیرانه: این مشکل در نسخه ۲.۸.۶ برطرف شده است؛ بنابراین برای رفع آسیب پذیری فقط کافیاست افزونه را بهروزرسانی کنید.
۲۳. افزونه OAuth client Single Sign On for WordPress
آسیبپذیری افزونه OAuth client Single Sign On for WordPress یک آسیبپذیریCSRF از نوع SSO بود. SSO در احراز هویت زمانی رخ میدهد که هکر بدون داشتن رمز عبور یا سایر اطلاعات احراز هویت معتبر، به سیستم یا سایتی دسترسی پیدا کند. در این مورد، آسیبپذیری این افزونه باعث شد هکرها با جعل آدرس IP کاربر مجاز، محدودیتهای احراز هویت را دور بزنند.
- درجه خطر امنیتی: بحرانی
- تعداد نصب: بیش از ۱۰۰ بار نصب
- نرمافزار آسیبدیده: نسخه قبل از ۶.۲۴.۲
- اقدامات پیشگیرانه: این مشکل در نسخه ۶.۲۴.۲ به بعد برطرف شده است. برای رفع آسیب پذیری افزونه را بهروزرسانی کرده و با خیال راحت استفاده کنید.
۲۴. افزونه WP Cerber Security
افزونه WP Cerber Security نیز اسیر دام آسیب پذیری های وردپرس سری CSS شده است. ازطریق قسمت لاگین کاربر، هکرها میتوانستند اسکریپتهای دلخواه خود را به سایت وارد کنند. این آسیبپذیری در نسخه ۹.۱ شناسایی و در نسخههای بعدی برطرف شد.
- درجه خطر امنیتی: زیاد
- تعداد نصب: بیش از هزار بار نصب
- نرمافزار آسیبدیده: نسخه قبل از ۹.۱
- اقدامات پیشگیرانه: این مشکل در نسخه ۹.۱ به بعد برطرف شده است. برای رفع آسیب پذیری افزونه را بهروزرسانی کرده و با خیال راحت استفاده کنید.
۲۵. افزونه Word Lift
این افزونه نیز دچار آسیب پذیری های وردپرس سری XSS در بخش ادمین شد. البته فقط در نسخه ۳.۳۷.۱ شاهد این آسیبپذیری بودیم.
- درجه خطر امنیتی: کم
- نرمافزار آسیبدیده: نسخه ۳.۳۷.۱
- اقدامات پیشگیرانه: برای رفع آن کافیاست افزونه را به نسخه ۳.۳۷.۲ ارتقا دهید.
۲۶. افزونه Ldap WP Login / Active Directory Integration
این افزونه نیز مانند پلاگین WP OAuth client Single Sign On for WordPress دچار حمله هکرها ازطریق قسمت لاگین شد و هکرها بهراحتی میتوانستند سیستم احراز هویت را دور بزنند.
- درجه خطر امنیتی: بحرانی
- نرمافزار آسیبدیده: نسخه ۳.۰.۱
- اقدامات پیشگیرانه: این مشکل در نسخه بعدی افزونه یعنی ۳.۰.۲ برطرف شده است. فقط کافیاست آن را بهروزرسانی کنید.
۲۷. افزونه Scripts Organize
این افزونه در سری قبل از ۳.۰ خود، یک آسیبپذیری امنیتی از سری آسیب پذیری های وردپرس دارد که به کاربران اجازه میدهد حتی بدون نیاز به ورود به حساب کاربری خود، کد PHP مخرب را در وبسایت اجرا کنند. این آسیبپذیری برای سرقت اطلاعات، انتشار بدافزار یا حتی کنترل کامل وبسایت مورد استفاده قرار میگیرد.
- درجه خطر امنیتی: بحرانی
- نرمافزار آسیبدیده: نسخه قبل از ۳.۰
- اقدامات پیشگیرانه: این مشکل در نسخه ۳.۰ افزونه برطرف شده است. آن را به آخرین ورژن ارتقا دهید.
۲۸. افزونه All-in-One WP Migration
سابقه این افزونه در برخورداری از آسیب پذیری های وردپرس درخشان است. در اخرین گزارش آسیب پذیری این افزونه با نقص XSS از طریق احراز هویت روبهرو هستیم.
- درجه خطر امنیتی: بحرانی
- نرمافزار آسیبدیده: نسخههای قبلی از ۷.۶۳
- تعداد نصب: بیش از ۵ میلیون نصب
- اقدامات پیشگیرانه: اگر نسخه قدیمی از این افزونه را استفاده میکنید، همین حالا آن را به نسخه ۷.۶۳ ارتقا دهید.
۲۹. افزونه Jetpack
این افزونه دچار سری آسیب پذیری های وردپرس شده که ازطریق آن هکرها میتوانند فایلهای دلخواه خود را در وبسایتی بارگذاری کنند که از این افزونه استفاده میکند.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخههای قبلی از ۱۲.۱.۰
- تعداد نصب: بیش از ۵ میلیون نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱۲.۱.۱
۳۰. درگاه پرداخت WooCommerce Stripe
این افزونه یک آسیبپذیری امنیتی از سری آسیب پذیری های وردپرس دارد که به هکرها اجازه میدهد به اطلاعات شخصی مشتریان وبسایت دسترسی پیدا کنند.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخههای قبل از ۷.۴.۱
- تعداد نصب: بیش از ۹۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۷.۴.۱ یا بالاتر
۳۱. افزونه Photo Gallery by 10Web
آسیبپذیری این افزونه با عنوان Broken Access Control شناخته میشود و به هکرها اجازه میدهد تا بدون مجوز به فایلهای حساس به وبسایت دسترسی پیدا کنند. این سری از آسیب پذیری های وردپرس که گریبان Photo Gallery by 10Web را گرفته، در ورژن ۱.۸.۱۵ افزونه وجود دارد.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۱.۸.۱۵
- تعداد نصب: بیش از ۲۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۸.۱۶ یا بالاتر
لیستی از بهترین افزونههای امنیتی را در مقاله زیر میتوانید مطالعه کنید. در این مقاله، ۷ پلاگین امنیتی کاربردی را معرفی کردیم که حتماً یکی از آنها بهکارتان میآید.
بهترین افزونههای امنیتی وردپرس
۳۲. افزونه Unlimited Elements For Elementor
این افزونه نیز به دام آسیب پذیری های وردپرس از نوع پیکربندی نادرست امنیتی گرفتار شده که به کاربر مجاز و غیرمجاز اجازه آپلود فایلهای دلخواه را در سایت میدهد.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخه ۱.۵.۶۵
- تعداد نصب: بیش از ۲۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۵.۶۶
۳۳. افزونه Metform Elementor Contact Form Builder
این افزونه نیز از آسیب پذیری های وردپرس سری XSS در امان نمانده است. اگر از این افزونه استفاده میکنید، بهتر است هرچه سریعتر آن را به نسخه بالاتر از ۳.۳.۱ ارتقا دهید.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۳.۳.۱
- تعداد نصب: بیش از ۲۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخههای بالاتر ۳.۳.۱
۳۴. افزونه Social Media Share Buttons & Social Sharing Icons
افزونه دیگری در دام آسیب پذیری های وردپرس سری XCC افتاده، Social Media Share Buttons است. این آسیب در نسخه ۲.۸.۲ دیده شده است.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۲.۸.۲
- تعداد نصب: بیش از ۲۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخههای بالاتر ۲.۸.۲
۳۵. افزونه WP Mail Logging
افزونه WP Mail Logging در نسخه ۱.۱۱.۰ خود دچار یک آسیبپذیری امنیتی XSS (اجرای کد از راه دور) شد. هکرها میتوانند از این آسیبپذیری برای اجرای کد مخرب در وبسایتهای آسیبپذیر استفاده کنند.
- درجه خطر امنیتی: بالا
- نرمافزار آسیبدیده: نسخه ۱.۱۱.۰
- تعداد نصب: بیش از ۲۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به ۱.۱۱.۲
اگر میخواهید یکبار برای همیشه با زیروبم وردپرس بهطور جامع و کامل آشنا شوید، مقاله زیر را از دست ندهید.
وردپرس چیست؟
۳۶. افزونه Download Monitor
این افزونه نیز با داشتن امکان آپلود فایل دلخواه از آسیب پذیری های وردپرس در امان نمانده است. این مشکل در نسخه ۴.۸.۳ دیده شده است.
- درجه خطر امنیتی: بحرانی
- نرمافزار آسیبدیده: نسخه ۴.۸.۳
- تعداد نصب: بیش از ۱۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۴.۸.۴
۳۷. افزونه WooCommerce Square
با یکی دیگر از آسیب پذیری های وردپرس تحت عنوان IDOR روبهرو هستیم که به هکرها این امکان را میدهد تا به اطلاعات مهمی از سایت دسترسی پیدا کنند. اطلاعاتی که در حالت عادی به آن دسترسی ندارند.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخه ۳.۸.۱
- تعداد نصب: بیش از ۱۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۳.۸.۲ یا بالاتر
۳۸. افزونه FiboSearch
در این افزونه نیز شاهد آسیب پذیری های وردپرس سری XSS بودیم که ازطریق آن امکان نوشتن اسکریپتهای غیرمجاز توسط هکرها فراهم بود.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۱.۲۳.۰
- تعداد نصب: بیش از ۱۰۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۲۴.۰ یا بالاتر
۳۹. افزونه Tutor LMS
آسیبپذیری در افزونه Tutor LMS در نسخه 2.1.9 وجود دارد. آسیبپذیری، مربوط به مشکلی در نحوه مدیریت افزونه از دادههای کاربر است. این مشکل باعث شد هکرها بتوانند کد SQL مخرب را در درخواستهای خود به افزونه Tutor LMS وارد کنند.
- درجه خطر امنیتی: بسیار
- نرمافزار آسیبدیده: نسخه ۲.۱.۱۹
- تعداد نصب: بیش از ۷۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۲.۲.۰
۴۰. افزونه Conditional Menus
این افزونه نیز دچار آسیب XSS از سری آسیب پذیری های وردپرس شده است. البته این آسیبپذیری در نسخه ۱.۲.۱ برطرف شد.
- درجه خطر امنیتی: بسیار
- نرمافزار آسیبدیده: نسخه ۱.۲.۰
- تعداد نصب: بیش از ۷۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۲.۱
۴۱. افزونه VK Blocks
آسیبپذیری این افزونه به هکرها اجازه داد تا با احراز هویت کاربر با نقش مشارکت کننده یا بالاتر، تنظیمات احراز هویت افزونه VK Blocks را تغییر دهند.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۱.۵۷.۱.۱
- تعداد نصب: بیش از ۷۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۵۷.۱.۲
۴۲. افزونه Visual Composer
آسیبپذیری XSS، افزونه محبوب و پراستفاده ویژوال کامپوزر را نیز بینصیب نگذاشته است. اگر از این افزونه استفاده میکنید، مطمئن شوید آخرین نسخه آن در سایتتان فعال است.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۲۶.۰
- تعداد نصب: بیش از ۷۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۲۷.۰
۴۳. افزونه دکان
اگر این افزونه روی سایت شما فعال است، همین حالا مطمئن شوید نسخه ۳.۷.۲۰ به بالا را استفاده میکنید. تزریق آبجکت PHP از سری آسیب پذیری های وردپرس در نسخه قدیمی این افزونه به چشم میخورد.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۳.۷.۱۹
- تعداد نصب: بیش از ۶۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۳.۷.۲۰
۲۲ تکنیک کاربردی برای افزایش امنیت وبسایتهای وردپرسی را در مقاله زیر بخوانید.
افزایش امنیت وردپرس
۴۴. افزونه PowerPress Podcasting
این آسیبپذیری در نسخه 10.2.3 یا قبلتر افزونه PowerPress Podcasting وجود دارد. برای استفاده از آن، هکر نیاز به دسترسی ادمین دارد.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۱۰.۲.۳
- تعداد نصب: بیش از ۴۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱۰.۲.۴
۴۵. افزونه Dynamic Visibility for Elementor
افزونه Dynamic Visibility for Elementor یک آسیبپذیری امنیتی به نام کنترل Brocken Access دارد. این یعنی کاربر با سطح دسترسی مشترک یا بالاتر میتواند به تنظیمات افزونه دسترسی پیدا کرده و تغییراتی اعمال کند که امنیت وبسایت را بهخطر بیندازد.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۵.۰.۵
- تعداد نصب: بیش از ۴۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۵.۰.۶
۴۶. افزونه Super Socializer
این افزونه نیز دچار آسیب پذیری های وردپرس سری XSS در نسخه ۷.۱۳.۵۲ شده است.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۷.۱۳.۵۲
- تعداد نصب: بیش از ۴۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۷.۱۳.۵۳
راهنمای جامع نصب SSL در وردپرس و ثبت سایت https در سرچ کنسول را در مقاله زیر بخوانید.
نصب SSL در وردپرس
۴۷. افزونه Gutenverse
آسیبپذیری امنیتی کنترل Brocken Access در نسخه 1.8.5 و نسخههای قبلی افزونه Gutenverse وجود دارد. اگر از یکی از این نسخهها استفاده میکنید، هر چه سریعتر به نسخه 1.8.6 یا بالاتر بهروزرسانی کنید.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۱.۸.۵
- تعداد نصب: بیش از ۳۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۱.۸.۶
۴۸. افزونه سبد خرید رها شده ووکامرس
اگر افزونه سبد خرید رها شده روی سایتتان نصب است، همین حالا نگاهی به آخرین ورژن آن بیندازید. این افزونه ۵.۱۴.۰ دچار آسیبپذیری Brocken Authentication شد.
- درجه خطر امنیتی: زیاد
- نرمافزار آسیبدیده: نسخه ۵.۱۴.۰
- تعداد نصب: بیش از ۳۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۵.۱۵.۰ یا بالاتر.
۴۹. افزونه WordPress CallRail Phone Call Tracking
این افزونه تا سال ۲۰۲۲ اسیر آسیبپذیری امنیتی به نام CSRF در نسخههای ۰.۴.۹ به قبل بود. با بهروزرسانی جدید آسیبپذیری آن برطرف شد.
- درجه خطر امنیتی: متوسط
- نرمافزار آسیبدیده: نسخه ۰.۴.۹
- تعداد نصب: بیش از ۲۰ هزار نصب
- اقدامات پیشگیرانه: بهروزرسانی به نسخه ۰.۴.۱۰ یا بالاتر
جدول آسیبپذیریهای اصلاحنشده وردپرس
افزونه | آسیبپذیری | درجه اهمیت |
افزونه Ketchup Restaurant Reservations | XSS ذخیرهشده و احراز هویت نشده و SQLi تأییدنشده | زیاد |
افزونه MP3 jPlayer | CSRF چندگانه | متوسط |
افزونه SEO Smart Links | مشکل Cross-Site Scripting یا XSS در بخش Admin | کم |
افزونه Easy Org Chart | مشکل Cross-Site Scripting یا XSS | متوسط |
افزونه WP Popup Builder | حذف خودسرانه پنجرههای پاپآپ و مشکل Cross-Site Scripting یا XSS | متوسط |
افزونه Bitcoin / Altcoin Faucet | بهروزرسانی تنظیمات CSRF ازطریق XSS | متوسط |
افزونه Login Block IPs | بهروزرسانی تنظیمات دلخواه ازطریق CSRF | متوسط |
افزونه Simple Bitcoin Faucets | مشکل Cross-Site Scripting یا XSS | متوسط |
جمعبندی
آسیب پذیری های وردپرس اغلب در بهروزرسانیهای جدید برطرف میشود. در این مقاله از آموزش مدیریت محتوا بلاگ پارس پک، کاملترین فهرست آسیب پذیری های اصلی وردپرس را به شما ارائه کردیم. نکته مهمی که شما را از دام اغلب آسیب پذیری های وردپرس نجات میدهد، استفاده از بهروزترین نسخه قالب و افزونه باکیفیت است. امیدواریم این مقاله در آگاهیبخشی به شما در این زمینه کمک کند.
سؤالات متداول
۱. منظور از آسیب پذیری های وردپرس چیست؟
برخی از وبسایتهای وردپرسی دربرابر حملات آسیبپذیر هستند و افزونه، قالب و نرمافزار اصلی قدیمی ممکن است دلیل هکشدن یا آسیبپذیربودن وبسایت شما باشند.
۲. رایج ترین آسیب پذیریهای وردپرس چیست؟
- بدافزار
- رمزهای عبور ضعیف
- تزریق ساختار کوئری (SQL)
- اسکریپت بینسایتی (XSS)
- نرمافزارها و افزونهها و پوستههای قدیمی
- حملات انکار سرویس توزیعشده (DDoS)
- بهینهسازی موتورهای جستوجو (SEO) هرزنامه
۳. چگونه از آسیب پذیری های وردپرس جلوگیری کنم؟
- وردپرس خود را به روز نگه دارید.
- از افزونه و قالب معتبر استفاده کنید.
- افزونه امنیتی معتبر روی سایت نصب کنید.
wordfence
wpscan
wpscan
wpscan
wpscan
acunetix
[ad_2]
دیدگاهتان را بنویسید