سبد خرید

0

هیچ محصولی در سبد خرید نیست.

علاقه مندی ها

برای مشاهده لیست علاقه مندی ها وارد شوید!

مشاهده محصولات فروشگاه

WordPress: سایت هایی در معرض خطر plug in در سال 2021

wordpress

کارشناسان گزارش داده اند که یک نقص امنیتی در یک افزونه محبوب این امکان را برای عوامل مخرب ایجاد کرده است تا بیش از یک میلیون وب سایت توسعه داده شده با WordPress را در معرض خطر قرار گیرند.

طبق گفته تیم Wordfence Threat Intelligence، یک آسیب‌پذیری در افزونه های صفحه ساز Starter – Elementor Gutenberg & Beaver Builder Templates، به کاربران WordPress در سطح مشارکت‌کننده اجازه می‌دهد تا به طور کامل هر صفحه در سایت را بازنویسی کنند و جاوا اسکریپت مخرب را در صورت تمایل جایگذاری نمایند .

البته این آسیب‌پذیری در چهارم ماه اکتبر سال جاری میلادی کشف شده و سه روز بعد، یعنی در 7 اکتبر با انتشار یک patch رفع مشکل شد. ولی در کل اکنون به همه کاربران (به ویژه آنهایی که از نسخه‌های 2.7.0 و بالاتر استفاده می‌کنند) توصیه می‌شود که افزونه های WordPress ذکر شده را حداقل به نسخه 2.7.5 به‌روزرسانی کنند.

افزونه های WordPress به صاحبان سایت اجازه می دهد تا قالب های از پیش ساخته شده را برای سازندگان وب سایت های دیگر از طریق Elementor شخصی سازی کنند. برای سایت‌ هایی که این سازنده را نصب کرده‌اند، Wordfence مثالی را مورد بحث قرار می‌دهد، این امکان برای کاربرانی با قابلیت edit_post (مانند مشارکت‌کنندگان) وجود داشت که بلوک‌ ها را در صفحات از طریق اقدام astra-page-elementor-batch-process AJAX وارد می نمودند.

با استفاده از Google Insights for Search که ابزاری عالی برای تخمین «محبوبیت» عبارات جستجو است میتوان همه کدهای خطای مختلف HTTP موجود را بررسی کنیم و آن ها را با یکدیگر مقایسه نماییم. برای این مقایسه، گزینه مکان را “در سراسر جهان” را انتخاب می کنیم، دوره مورد نظر شامل تمام جستجوهای سال 2018 بود و نوع جستجو محدود به جستجوی وب بود. وقتی جست و جو تمام شد، ما لیستی را در اختیار داریم که در ادامه می توانید آن را مشاهده کنید.

امکان تصاحب سایت توسعه داده شده با WordPress:

محققان در این رابطه بیشتر توضیح می‌دهند که تابع elementor_batch_process مرتبط با این عمل یک بررسی غیر مستقیم انجام می‌دهد، اما این یک ورودی ضعیف برای استفاده بود، زیرا ajax_nonce مورد نیاز حمله کنندگان نیز در منبع صفحه WordPress برای مشارکت‌کنندگان در دسترس بود.

در تئوری، یک عامل مخرب می‌تواند یک بلوک را با جاوا اسکریپت مخرب روی سرور ایجاد و میزبانی نماید، سپس از آن برای بازنویسی هر پست یا صفحه، با ارسال یک درخواست AJAX با ارسال یک مجموعه دستورالعمل به astra-page-elementor-batch-process استفاده کند. نهایتا پارامتر URL برای بلوک مخرب میزبان از راه دور تنظیم شده است.

در نتیجه، جاوا اسکریپت مخرب می تواند در مرورگر بازدیدکننده اجرا شود. Wordfence همچنین عنوان کرد که موارد استفاده متعددی برای این نقص وجود دارد، از جمله هدایت کاربران به یک وب‌ سایت مخرب، ربودن یک جلسه مدیریت برای ایجاد ادمین‌ های جدید، یا افزودن یک درب پشتی به سایت، که می‌تواند منجر به تصاحب کامل سایت به نفع مهاجمان به سایتی شود که بر بستر WordPress توسعه داده شده است.

با توجه به اینکه مورد دوم یک تهدید با اولویتی حیاتی است، Wordfence به همه کاربران آسیب‌ دیده توصیه می‌کند که این مشکلات خود را که از این طریق است منتشر کنند و آگاهی خود را در مورد آسیب‌ پذیری از طریق اشتراک گذاری اطلاعات افزایش دهند.

WordPress چیست؟ در اصل، وردپرس ساده ترین و محبوب ترین راه برای ایجاد وب سایت یا وبلاگ است. در واقع، وردپرس بیش از 40.0 درصد از تمام وب سایت های موجود در اینترنت را در اختیار دارد. 

در سطح کمی فنی تر، WordPress یک سیستم مدیریت محتوای منبع باز است که تحت مجوز GPLv2 منتشر شده است، این بدین معنی است که هر کسی می تواند به صورت رایگان از نرم افزار WordPress استفاده یا آن را مطابق سلیقه خود تغییر دهد. سیستم مدیریت محتوا اساساً ابزاری است که مدیریت جنبه های مهم وب سایت شما مانند محتوا را بدون نیاز به دانستن چیزی در مورد برنامه نویسی ممکن می نماید.

احمد ساروخانی
احمد ساروخانی

  • چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  • چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  • چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  • چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مطالب مرتبط

لینک کوتاه نوشته