19 بهم

حملات XSS موثر بر تعدادی از پلاگین های وردپرس

پلاگین های آلود به حملات XSS

بعضی از پلاگین های وردپرس با توجه به سوء استفاده از توابع add_query_arg() وremove_query_arg() نسبت به حملات Cross-site Scripting یا XSS آسیب پذیر هستند.

اطلاعات بیشتر در مورد حملات تزریق کد

این توابع مشهور توسط توسعه دهندگان وردپرس برای تغییر و یا اضافه کردن کوئری به URL ها استفاده شده اند.

مستندات رسمی وردپرس برای این توابع خیلی روشن و واضح نیست و بسیاری از توسعه دهندگان افزونه به دلیل استفاده از این توابع گمراه شده و به خطر افتاده اند.

توسعه دهندگان از این کدها برای جلوگیری از ورود کاربران استفاده میکردند. این جزئیات ساده باعث آسیب پذیری بسیاری از پلاگین ها نسبت به حملات XSS شده است..!

اطلاعیه مشاوره امنیتی وردپرس

لیست پلاگین های تحت تاثیر این حملات :

Jetpack

WordPress SEO

Google Analytics by Yoast

All In one SEO

Gravity Forms

Multiple Plugins from Easy Digital Downloads

UpdraftPlus

WP-E-Commerce

WPTouch

Download Monitor

Related Posts for WordPress

My Calendar

P3 Profiler

Give

Multiple iThemes products including Builder and Exchange

Broken-Link-Checker

Ninja Forms

و احتمالا موارد دیگری وجود دارند که در این لیست ذکر نشده اند.

اگر شما از وردپرس استفاده میکنید توصیه اکید ما این است که همین حالا وارد پیشخوان وردپرس شده و تمامی پلاگین های تاریخ گذشته را به نسخه های جدید آپدیت نمایید.

اگر بروزرسانی خودکار را فعال کرده باشید سایت شما اتومات آپدیت میگردد.

پلاگین هایی زیادی در معرض خطر هستند

تیم امنیتی وردپرس تعداد ۳۰۰ – ۴۰۰ از همه پلاگین هایی که ممکن است در معرض خطر باشند را بررسی کرده است. بنابراین به احتمال زیاد هنوز تعدادی پلاگین آسیب پذیر نیز وجود دارند که شناخته نشده اند.

زمان بروزرسانی!
در صورت استفاده از هر یک از این پلاگین ها مطمئن شوید که در حال حاضر آپدیت و بروزرسانی شده باشد. تیم امنیتی وردپرس به بررسی بیشتر پلاگین ها ادامه خواهد داد.
الان زمانی خوبی برای یادآوری این موضوع است که همه نرم افزارها دارای باگ میباشند که برخی از این باگ ها منجر به آسیب های امنیتی برای نرم افزارها میشد.
موارد امنیتی مانند باگ ها در مورد پلاگین ها، قالب ها، سرورهای وب، CMS ها و اساسا هر برنامه ای که توسط افراد بر پایه کدنویسی ایجاد شده باشد نیز وجود دارد و توسعه دهندگان نیز سعی میکنند این باگ ها را با استفاده از اصول برنامه نویسی امن به حداقل برسانند ولی به ناچار باز هم موارد امنیتی اتفاق می افتند. ما باید همواره  آماده پیدا کردن راه حل هایی برای به حداقل رساندن تاثیر این آسیب های امنیتی باشیم.
در اینجا لازم است برای کمک به کاهش خطر آسیب پذیری برخی از ترفندها را به یاد داشته باشید:
۱- بروزرسانی: سایت های خود را همواره بروز رسانی کنید.
۲- دسترسی ها را محدود کنید : دسترسی به مسیر wp-admin را به آی پی های مشخص محدود کنید.
۳- مانیتور یا تحت نظر داشتن : همواره لاگ ها را بررسی کنید لاگ ها میتوانند سرنخ هایی از اتفاقاتی که در سایت شما می افتد بدهند.
۴- کاهش افزونه های استفاده شده در سایت: فقط از پلاگین ها و برنامه هایی استفاده کنید که واقعا به آنها نیاز دارید.
۵- تشخیص به موقع : سایت خود را اسکن کنید تا پلاگین ها و برنامه های تاریخ گذشته آنرا بیابید. Sitecheck اینکار را به صورت رایگان انجام میدهد.
۶- پیشگیری و محافظت: در صورتی که سرور هاست وردپرس شما از سیستم های پیشگیری از نفوذ (IPS) و یا وب آپلیکیشن فایروال (WAF) مانند هاست سبزاندیش استفاده می کند این برنامه ها در پیشگیری از  بیشتر حملات XSS کمک کننده هستند ولی هیچگاه راه حل نهایی که بروزکردن برنامه سایت است را نبایست نادیده بگیرید.
اشتراک

ارسال نظر