ثغرات XSS أمنية خطيرة في منصة ووردبريس

يترافق إكتشاف هذه الثغرات الأمنية مع إطلاق النسخة الجديدة من ووردبريس 4.2 و التي تحتوي على العديد من المميزات الجديدة.

ولكن قبل تسليط الضوء على هذه المميزات سنقوم بذكر ثغرة أمنية خطيرة تم اكتشافها في العديد من الإضافات والقوالب الخاصة بالووردبريس، والتي تساعد المخترق على سحب معلومات حساسة جداً تمكنه من اخترق حساب مسؤول الموقع.

في هذا المقال سيتم ذكر أهم الإضافات المصابة وطرق الوقائية منها بشكل مبدئي.

الإضافات المصابة بالثغرة : 

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• العديد من إضافات Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• العديد من منتجات iTheme
• Broken-Link-Checker
• Ninja Forms

يتم إستغلال هذه الثغرة عن طريق الدوال add_query_arg()و  remove_query_arg()، وهي دوال مستخدمة بشكل كبير في تعديل وإضافة الطلبات على روابط ووردبريس.

تم إصدار العديد من التحديثات الأمنية للكثير من هذه الإضافات ولكن للآن مازالت ملاين المواقع مهددة بسبب هذه الثغرة.

كيفية تجنيب موقعك من عملية الاختراق

– توجه إلى لوحة التحكم ومنها قم بتحديث كل من الإضافات وايضاً النسخة الأساسية لـ ووردبريس.

– قم بإيقاف عمل جميل الاضافات الغير ضرورية والتي قد تحتوي على هذه المتغيرات التي ذكرناها.