داده ها افزایش آسیب پذیری وردپرس را تایید می کند
وبلاگ

داده ها افزایش آسیب پذیری وردپرس را تایید می کند

محققان امنیت وردپرس در Patchstack، کاغذ سفید سالانه خود را در مورد وضعیت امنیت وردپرس منتشر کرده‌اند که نشان‌دهنده افزایش آسیب‌پذیری‌های با شدت بالا و حیاتی است و اهمیت امنیت برای همه وب‌سایت‌ها را برجسته می‌کند. پلتفرم وردپرس.

XSS بالاترین آسیب پذیری وردپرس در سال 2023 است

انواع مختلفی از آسیب‌پذیری‌ها وجود دارد، اما تا حد زیادی رایج‌ترین آسیب‌پذیری اسکریپت بین سایتی (XSS) است که 53.3 درصد از آسیب‌پذیری‌های امنیتی جدید وردپرس را تشکیل می‌دهد.

آسیب‌پذیری‌های XSS معمولاً به‌دلیل «ضعیف‌سازی» ناکافی ورودی کاربر رخ می‌دهند، که شامل مسدود ، هر ورودی است که با آنچه مورد انتظار است مطابقت ندارد. Patchstack گزارش داد که چارچوب Freemius، یک پلتفرم تجارت الکترونیک مدیریت شده توسط شخص ثالث، بیش از 1200 آسیب پذیری XSS یا 21 درصد از تمام آسیب پذیری های جدید XSS کشف شده در سال 2023 را شامل می شود.

Freemius SDK به عنوان جزئی از بیش از 1200 افزونه استفاده می شود که به نوبه خود در بیش از 7 میلیون سایت وردپرس نصب شده اند. این موضوع آسیب‌پذیری‌های زنجیره تامین را هنگامی که یک جزء به عنوان بخشی از افزونه وردپرس استفاده می‌شود، برجسته می‌کند و متعاقباً دامنه آسیب‌پذیری را فراتر از یک افزونه افزایش می‌دهد.

گزارش Patchstack توضیح می دهد:

امسال، بار دیگر دیدیم که چگونه یک آسیب‌پذیری اسکریپت بین سایتی در چارچوب Freemius به 1248 افزونه اجازه می‌دهد تا آسیب‌پذیری امنیتی را به ارث ببرند و کاربران خود را در معرض خطر قرار دهند.

21 درصد از تمام آسیب پذیری های جدید کشف شده در سال 2023 را می توان به این نقص نسبت داد. بسیار مهم است که توسعه دهندگان پشته خود را با دقت انتخاب کرده و به‌روزرسانی‌های امنیتی را به‌محض دردسترس شدن به سرعت اعمال کنند.

دیگر هیچ آسیب‌پذیری با رتبه بالا یا بحرانی وجود ندارد

به آسیب‌پذیری‌ها یک نمره شدت اختصاص داده می‌شود که با درجه اختلال یک نقص کشف‌شده مطابقت دارد. رتبه بندی ها از پایین، متوسط، بالا و بحرانی متغیر است.

  جذاب ، صفحات فرود صنعت برای مشاغل B2B - جمعه تخته سفید

در سال 2022، 13 درصد از آسیب پذیری های جدید به عنوان بالا یا بحرانی طبقه بندی شدند. این درصد در سال 2023 به 42.9 درصد افزایش یافت، به این معنی که در سال 2023 آسیب پذیری های مخرب بیشتری نسبت به سال قبل وجود داشت.

آسیب پذیری های احراز هویت شده و تایید نشده

معیار دیگری که در گزارش ظاهر می‌شود، درصد آسیب‌پذیری‌هایی است که نیازی به احراز هویت ندارند (غیر احراز هویت)، به این معنی که مهاجم برای راه‌اندازی یک حمله به هیچ سطحی از مجوز کاربر نیاز ندارد.

آسیب‌پذیری‌هایی که مهاجم را ملزم به داشتن مجوزهای سطح مشترک تا سرپرست می‌کند، نوار بالاتری برای غلبه بر مهاجمان دارند. آسیب‌پذیری‌های احراز‌نشده به مهاجم نیاز ندارند ابتدا سطح مجوز را دریافت کند، که این نوع آسیب‌پذیری‌ها را نگران‌کننده‌تر می‌کند، زیرا می‌توانند از طریق حملات خودکار مورد سوء استفاده قرار گیرند، مانند ربات‌هایی که سایتی را به دنبال آسیب‌پذیری بررسی می‌کنند و سپس به‌طور خودکار حملات را راه‌اندازی می‌کنند.

Patchstack دریافت که 58.9 درصد از تمام آسیب‌پذیری‌های جدید نیازی به احراز هویت ندارند.

پلاگین های رها شده به عنوان یک عامل خطر افزایش می یابند

یکی دیگر از دلایل مهم آسیب پذیری، تعداد زیاد افزونه های رها شده است. در سال 2022، Patchstack 147 پلاگین و تم رها شده را در WordPress.org گزارش کرد که از بین آنها، 87 مورد حذف و بقیه رفع شدند.

در سال 2023، تعداد پلاگین های رها شده از 147 در سال 2022 به 827 افزونه و تم در سال 2023 رسید. در حالی که 87 افزونه آسیب پذیر رها شده در سال 2022 حذف شدند، 481 افزونه در سال 2023 حذف شدند.

  7 Strategies From Medical SEO Pros |

Patchstack اشاره کرد:

ما 404 مورد از این افزونه‌ها را در یک روز گزارش کردیم تا توجه را به «همه‌گیری افزونه زامبی» در وردپرس جلب کنیم. این گونه پلاگین‌های «زامبی» اجزایی هستند که در نگاه اول امن و به‌روز به نظر می‌رسند، اما ممکن است حاوی مسائل امنیتی اصلاح‌نشده باشند. علاوه بر این، این افزونه ها حتی اگر از مخزن افزونه وردپرس حذف شوند، در سایت های کاربران فعال باقی می مانند.

محبوب ترین افزونه های دارای آسیب پذیری

همانطور که قبلا ذکر شد، سطوح شدت از کم، متوسط، زیاد و بحرانی متغیر است. Patchstack لیستی از محبوب ترین افزونه های دارای آسیب پذیری را گردآوری کرده است.

از سال 2022، 11 افزونه محبوب با بیش از 1 میلیون نصب فعال حاوی آسیب پذیری وجود دارد. در سال 2023، Patchstack نوار نصب را از یک میلیون به بیش از 100000 نصب کاهش داد. با این حال، اگرچه ساختن فهرست آسان‌تر بود، اما تنها ۹ افزونه محبوب آسیب‌پذیری داشتند که بسیار کمتر از سال ۲۰۲۲ بود.

در سال 2022، تنها پنج مورد از 11 افزونه پرطرفدار دارای آسیب‌پذیری دارای آسیب‌پذیری با شدت بالا بودند، هیچ کدام دارای آسیب‌پذیری بحرانی نبودند و بقیه با شدت متوسط ​​بودند.

این اعداد در سال 2023 به طور قابل توجهی بدتر شدند. علیرغم کاهش آستانه برای افزونه محبوبی که در نظر گرفته می شود، هر 9 افزونه موجود در لیست دارای آسیب پذیری های سطح بحرانی بودند. اکثریت قریب به اتفاق افزونه‌های این فهرست، شش مورد از نه، دارای آسیب‌پذیری‌های تایید نشده بودند، به این معنی که مقیاس‌پذیری از آنها از طریق اتوماسیون آسان است. سه مورد دیگر که نیاز به احراز هویت داشتند، فقط به دسترسی در سطح مشترک نیاز داشتند، که ساده‌ترین سطح مجوز برای کسب است. فقط ثبت نام کنید، ایمیل را بررسی کنید و آنها آنجا هستند. این نیز از طریق اتوماسیون قابل گسترش است.

لیست محبوب ترین افزونه های دارای آسیب پذیری

  1. افزونه های ضروری برای نصب Elementor 1M+ (رده بندی شدت 9.8)
  2. WP Fastest Cache 1M+ نصب (شاخص شدت 9.3)
  3. نصب‌های Gravity Forms 940k (امتیاز جاذبه 8.3)
  4. فیوژن بیلدر 900000 نصب (رده بندی شدت 8.5)
  5. Flatsome (موضوع) 618000 نصب (رده بندی شدت 8.3)
  6. WP Statistics 600000 نصب (شاخص شدت 9.9)
  7. نصب‌های Forminator 400k (شاخص شدت 9.8)
  8. نصب‌های WPvivid Backup and Migration 30ok (رده بندی شدت 8.8)
  9. JetElements برای نصب Elementor 30ok (رده بندی شدت 8.2)
  36 Free SEO Tools for DIY SEOs

وضعیت امنیت وردپرس بدتر است

اگر احساس می‌کنید آسیب‌پذیری‌ها بیش از هر زمان دیگری وجود دارد، اکنون دلیل آن را می‌دانید، آمارها خودشان صحبت می‌کنند. در سال 2023 آسیب پذیری های بیشتری وجود خواهد داشت و درصد بالاتری در سطوح بالا و بحرانی خواهد بود که می تواند از طریق اتوماسیون در مقیاس بزرگ مورد سوء استفاده قرار گیرد.

این بدان معنی است که همه ناشران باید امنیت خود را بهبود بخشند و اطمینان حاصل کنند که شخصی مسئولیت بازرسی منظم افزونه ها و مضامین آنها را بر عهده می گیرد تا اطمینان حاصل شود که همه آنها به روز شده و فعالانه نگهداری می شوند.

سئوکاران باید این را در نظر بگیرند، زیرا وقتی گوگل یک سایت هک شده را از نتایج جستجو حذف می کند، امنیت به سرعت به یک مسئله رتبه بندی تبدیل می شود. بسیاری از سئوکارانی که ممیزی سایت را انجام می دهند حتی ابتدایی ترین بررسی های امنیتی را انجام نمی دهند، مانند بررسی سرصفحه های امنیتی که من به عنوان بخشی از هر ممیزی انجام می دهم. همیشه مطمئن شوید که با مشتریان در مورد ایمنی آنها بحث می کنید تا اطمینان حاصل کنید که آنها از خطرات آگاه هستند.

Patchstack نمونه‌ای از سرویسی است که به طور خودکار از سایت‌های وردپرس در برابر آسیب‌پذیری‌ها محافظت می‌کند، حتی قبل از اینکه افزونه یک وصله برای رفع آسیب‌پذیری منتشر کند. این نوع خدمات به منظور ایجاد دفاع در برابر هک و از دست دادن دید جستجو و درآمد مهم هستند.

گزارش Patchstack را بخوانید:

وضعیت امنیت وردپرس در سال 2023

تصویر برجسته توسط Shutterstock/Iurii Stepanov

منبع: https://www.searchenginejournal.com/wordpress-security-vulnerabilities/512622/