ثغرة في نظام ووردبريس لم يتم حلها حتى الآن

· · 367 كلمة · 2 دقيقة قراءة

اليوم، كنت أتفقد أحد مواقعي المبنية بـ ووردبريس داخل الاستضافة المشتركة - سي بانل (CPanel) - ووردبريس تول-كِت (wp toolkit). رأيت هذه الصفحة.

security fix vulnerability

مكتوب بجانب التأمين security جملة fix vulnerability ومعناها “إصلاح الثغرة”. ضغطت عليها. ظهرت نافذة أخرى، وبدأ عملية فحص للموقع. بعد إنتهاء عملية الفحص الأمني للموقع، ظهر لي أن نظام ووردبريس الحالي به ثغرة. هذه الثغرة هي unauthorized blind server-side request forgery vulnerability.

unauthorized blind server-side request forgery vulnerability

ضغطت على زرار mitigate لتقليل خطوة الثغرة إن قام أي شخص بإستغلالها ضد موقعي.

mitigate the security risks of WordPress core vulnerability

فعّلت كلا الخطوتين كما ترى في الصورة التالية.

block access to xmlrpc.php

إن كنت تريد أن تقرأ المزيد عن هذه الثغرة، عليك أن تزور موقع patchstack.com وتقرأ المزيد من المعلومات عن الثغرة على موقع ووردبريس الرسمي .

ما هي مخاطر إستغلال هذه الثغرة ؟ 🔗

لو كانت الخطورة عالية، يستطيع المهاجمون (الهاكرز) إجراء طلبات (requests) داخل موقع ووردبريس دون الحاجة لتسجيل الدخول أصلاً.

هذا الأمر يفتح الباب لكثير من الهجمات منها:

  • تسريب البيانات، وسرقة المعلومات
  • هجمات توقيف الخدمة (DoS)
  • الدخول لبيئة السيرفر الداخلية واستغلال ثغرات أخرى داخلية
  • رفع أكواد وملفات خبيثة لتنفيذها داخل السيرڤر

أما إن كانت الخطورة منخفضة، فالتأثير علي موقع ووردبريس يعتمد على:

  • مهارات المهاجم (الهاكر) في استغلال الثغرة
  • إعدادات السيرفر
  • قيمة الموقع وأهميته وشهرته
  • تواجد أدوات تقليل خطوة الهجمات وإكتشافها أو عدم وجودها : مثل جدار الحماية (firewall) وأنظمة التعرف على الهجمات والبرمجيات محدّثة أم لا.

كيف تتعامل مع هذه الثغرة ؟ 🔗

  • تحديث ووردبريس إلى أحدث إصدار فور صدوره مباشرةً.
  • إيقاف XML-RPC من خلال زرار mitigate كما ترى في الصور السابقة. نفّذ هذه الخطوة إن كان موقعك لا يعتمد على xmlrpc.php لكي يعمل.
  • إيقاف pingbacks من خلال زرار mitigate كما ترى في الصور في الأعلى.
  • أنقل موقعك إلى نظام توليد الصفحات الثابتة (static site generator) إن كان هذا مناسب لك ولموقعك. أنا شخصياً استخدم حالياً نظام هوجو لتوليد صفحات موقعي.

تحديث : ٣١ - ١ - ٢٠٢٤ 🔗

صدر ووردبريس 6.4.3 ليحل هذه الثغرة وثغرات برمجية أخرى منذ ساعات. تأكد من تحديث ووردبريس على مواقعك إلى أحدث إصدار من ووردبريس.

أتمنى أن تكون قد استفدت من الموضوع ، إن كنت تعرف أي شخص يُمكنه الإستفادة من هذه المعلومات، ارسل له رابط هذا المقال. إن أردت معرفة الموضوعات الجديدة بعد نشرها مباشرةً على موقع أبانوب حنا ، تابعني على يوتيوب و تيليجرام ، و فيسبوك ، و واتساب .

التصنيفات: برمجة
مشاركة: