مشکلات وردپرس در 2022

 

آسیب پذیری و مشکلات وردپرس در 2022

وردپرس اعلام کرد که چهار آسیب پذیری که از اهمیت بالای برخوردار بود را اصلاح کرده است. این آسیب پذیری ها به دلیل نقص هایی در هسته وردپرس وجود دارد که توسط تیم توسعه وردپرس معرفی شده است.

طبق اطلاعیه وردپرس جزئیاتی در مورد شدت آسیب پذیری‌ها وجود نداشت و جزئیات ناچیز بود.

میزان خطر این مشکل در رتبه بندی از بین 1 تا 10 ، 8 برآورد شده است.

در ادامه قصد داریم این مشکلات و راه های رفع آن را ذکر کنیم.

 

چهار مشکل اصلی هسته وردپرس در 2022

چهار آسیب پذیری هسته وردپرس عبارتند از:

  1. تزریق شی تأیید شده یا همان Authenticated Object Injection در چند سایت
  2. اسکریپت متقابل سایت (XSS) ذخیره شده از طریق کاربران احراز هویت شده
  3. SQL injection به دلیل عدم پاکسازی داده ها در WP_Meta_Query
  4. تزریق اس کیو ال ( SQL Injection ) از طریق WP_Query به دلیل پاکسازی نامناسب

از 4 مورد ذکر شده، 3 مورد آن توسط محققان امنیت خارج از تیم وردپرس و کشف و اعلام شده است.

پس از بررسی توسط تیم وردپرس این مشکلات تایید شدند و برای رفع این نقص ها و آسیب پذیری ها اقدام کردند.

 

بروزرسانی وردپرس برای رفع خطاها

همیشه بهترین راهکار برای رفع باگ و خطاها در وردپرس آپدیت هسته آن است.

بعد از اعلام و رفع آسیب پذیری توسط وردپرس آپدیت جدیدی اعلام شد و توسیه شد تمام سایت های وردپرسی این آپدیت و بروزرسانی را برای رفع خطاها انجام دهند.

از آنجایی که آسیب‌پذیری‌ها در حال حاضر آشکار هستند، مهم است که کاربران وردپرس مطمئن شوند که نصب وردپرس آنها به آخرین نسخه، به‌روزرسانی شود.

اما حالا می‌خواهیم در رابطه با این مشکلات و دلایل به وجود آمدن این نوع آسیب پذیری ها در وردپرس بیشتر توضیح دهیم، پس با سلکتک همراه باشید.

 

بروزرسانی وردپرس برای رفع خطاها

 

عجله وردپرس در توسعه و آپدیت آن

توسعه وردپرس در سال 2021 کند شد و آنها نتوانستند نسخه، 5.9 را به پایان برسانند.

از این رو در وردپرس صحبت هایی مبنی بر کاهش سرعت توسعه به دلیل نگرانی در مورد توانایی ادامه دادن وجود دارد.

توسعه دهندگان هسته وردپرس نیز در اواخر سال 2021 زنگ خطر را در مورد سرعت توسعه به صدا درآوردند و خواهان زمان بیشتری شدند.

همچنین طبق گفته های برخی از  توسعه دهندگان این عجله در بروزرسانی در هسته را خطرناک توصیف می‌کرد.

به هر حال این کاهش سرعت در آپدیت و نسخه های ارائه شده در سال جاری نباید دلیلی شود که امنیت سایت های وردپرسی به خطر بیوفتد.

 

پاکسازی اطلاعات در هنگام ذخیره در دیتابیس

پاکسازی داده ها روشی برای کنترل نوع اطلاعاتی و جلوگیری از قراردادن کد مخرب است که از طریق ورودی ها و برای ذخیره در دیتابیس (پایگاه داده) ارسال می‌شود.

اگر در هنگام دریافت اطلاعات این پاکسازی یا همان sanitizing data انجام نشود ممکن است کد خای مخربی وارد دیتابیس شود و عواقب بدی خواهد داشت.

همچنین شما با استفاده پلاگین های امنیتی وردپرس می توانید در هنگام راه اندازی سایت وردپرسی و افزایش امنیت آن یک قدم جلوتر باشید

کدهای هسته وردپرس برای جلوگیری از تزریق کد مخرب

طبق اطلاعیه وردپرس توابع کمکی داخلی را برای محافظت در برابر ورودی های مخرب ارائه می دهد.

وردپرس شانزده نوع آسیب پذیری ورودی را پیش بینی می کند و راه حل هایی برای مسدود کردن آنها ارائه می دهد.

اما باتوجه به ادعاهای وردپرس تعجب آور است که اینگونه مسائل و مشکلات نزریق کدمخرب هنوز در هسته خود وردپرس ظاهر می شود.

 

دو آسیب پذیری اصلی سطح بالا در دیتابیس وردپرس

 

دو آسیب پذیری اصلی سطح بالا در دیتابیس وردپرس

دو مشکل اصلی هسته وردپرس در 2022 در قسمت دریافت و ذخیره اطلاعات عبارت اند از:

  • تزریق SQL به دلیل پاکسازی نامناسب در دریافت داده های WP_Meta_Query امکان SQL Injection وجود دارد.
  • به دلیل پاکسازی نامناسب در WP_Query، ممکن است مواردی وجود داشته باشد که تزریق اس کیو ال از طریق افزونه ها یا تم هایی که به روشی خاص از آن استفاده می کنند امکان پذیر باشد.


مشکلات و آسیب پذیری های دیگر هسته وردپرس

  • در چند سایت Authenticated Object Injection مشاهده شد و کاربرانی که نقش Super Admin دارند می توانند تحت شرایط خاصی object injection را دور بزنند.
  • افراد با دسترسی کم در یک سایت وردپرسی هم می‌توانند در هسته وردپرس جاوا اسکریپت را اجرا کنند و این نوع حمله XSS ذخیره شده را انجام دهند، که می تواند بر کاربران تأثیر بگذارد.

 

خدمات افزایش ورودی گوگل

افزایش ورودی گوگل

دریافت کاربر واقعی از طریق گوگل

خدمات افزایش بازدید سایت

افزایش بازدید سایت

افزایش ترافیک سایت واقعی با آی پی ایران

خدمات ابزار سئو

ابزار سئو سایت

خدمات بررسی سئو سایت با ابزار سلکتک

خدمات افزایش بازدید رپورتاژ

افزایش بازدید رپورتاژ

دریافت ورودی واقعی از لینک های رپورتاژ

خدمات افزایش ای پی خارجی

بازدید مستقیم با IP خارج

ترافیک واقعی و هدفمند از سراسر جهان

خدمات افزایش بازدید از طریق شبکه اجتماعی

ترافیک از شبکه های اجتماعی

ترافیک رفرال سایت از طریق شبکه اجتماعی

خدمات افزایش ویواپارات

خدمات آپارات

افزایش لایک، کامنت و فالورآپارات

خدمات افزایش ویواینستاگرام

خدمات اینستاگرام

افزایش لایک، کامنت و فالوراینستاگرام

خدمات افزایش ویو یوتیوب

خدمات یوتیوب

افزایش لایک، کامنت و فالور یوتیوب

دسته بندی

سئو و بهینه سازی

سئو و بهینه سازی

دیجیتال مارکتینگ

دیجیتال مارکتینگ

تبلیغات گوگل

تبلیغات گوگل

متفرقه

متفرقه

مطالب مشابه

معرفی 5 ویژگی لینکدین برای افراد جویای کار

لینکدین پنج به‌روزرسانی را برای کمک به افراد جویای کار برای یافتن فرصت‌ها و برجسته شدن، از جمله Skills Match و Open-To-Work ارائه کرد.

2024-10-06 13:31:35

زمان مطالعه : 3 دقیقه

یوتیوب از تبلیغات موسیقی مبتنی بر هوش مصنوعی رونمایی کرد

از طریق شناسایی موزیک های ترند نسل زد در یوتیوب هنگام ساخت ویدیوهای Shorts می توانید ویدیوهای وایرال بسازید

2024-09-16 12:41:52

زمان مطالعه : 4 دقیقه

مجموعه های کسب درآمد از محتوای محتواسازان TikTok

با توجه به قابلیت جدید TikTok ، صاحبان کانال میتوانند مجموعه های ویدیویی را برای کاربرانی که هزینه اشتراک پرداخت می‌کنند نمایش دهند.

2024-08-21 11:05:05

زمان مطالعه : 4 دقیقه