انتشار یک به‌روزرسانی امنیتی مهم توسط وردپرس

وردپرس اعلام کرد که سه نقص امنیتی را در جدیدترین به‌روزرسانی خود اصلاح کرده است، این نقص‌ها شامل یک آسیب‌پذیری هستند که امکان تزریق کد را مهیا می‌سازد، همچنین در میان این شکاف‌ها یک مورد تزریق SQL وجود دارد که ممکن است منجر به مجموعه‌ی تازه‌ای از مشکلات شود.
توسعه‌دهندگان وردپرس در قالب یک توصیه‌نامه‌ی امنیتی گفته‌اند که اصلاحیه‌های جدید باعث رفع سه مشکل امنیتی مهم می‌شوند که روی نسخه‌های ۴.۷.۱ و قبل از آن اثر گذاشته‌اند. بنابراین بهتر است یک در اولین فرصت یک به‌روزرسانی را اجرا کنید، حتی اگر به‌روزرسانی قبلی را سه هفته پیش نصب کرده باشید!
هارون کمپل از وردپرس می‌گوید که نقص اول مربوط به رابط کاربری ویژه‌ی تخصیص اصطلاحات طبقه‌بندی‌شده‌ی «Press This» است، رابطی که به کاربرانی نمایش داده می‌شود که اجازه‌ی دسترسی بدان را ندارند. از این ویژگی برای انتشار پست‌ از طریق مرورگر استفاده می‌شود.
مشکل دومی که توسط وردپرس توضیح داده شده است در فرآیند WP_Query یافت شده است، از این موضوع برای دسترسی به متغیرها و توابع موجود در هسته‌ی وردپرس استفاده شده است. محققان بیان داشتند که MP_Query هنگام عبور داده‌های ناامن، در برابر تزریق کد آسیب‌پذیر است. اگرچه هسته‌ی وردپرس به‌طور مستقیم در مقابله با این مشکل آسیب‌پذیر نیست، اقدام‌های امنیتی لازم لحاظ شده تا افزونه‌ها و تم‌ها به‌طور تصادفی یک آسیب‌پذیری را ایجاد نکنند.

افشاسازی چندین آسیب‌پذیری
در نهایت وردپرس یک آسیب‌پذیری تزریق کد را اصلاح کرد که در جدول فهرست پست‌ها وجود داشت. این مشکل توسط یان دان از تیم امنیت وردپرس کشف شد.
این به‌روزرسانی امنیتی در حال حاضر موجود است و با گذشت حدود سه هفته از انتشار به‌روزرسانی قبلی در دسترس کاربران قرار گرفته است.
نسخه‌ی ۴.۷.۱ هشت مورد دیگر را نیز برطرف کرده که ممکن بود باعث حملات از راه دور شوند. این فهرست شامل خطاهای تزریق کد، جعل درخواست تزریق کد، و موارد دیگر است.
جدیدترین به‌روزرسانی وردپرس را می‌توان به‌طور دستی یا با فشردن دکمه‌ی «Update Now» بارگیری کرد. وب‌گاه‌هایی که از به‌روزرسانی‌های خودکار پشتیبانی می‌کنند در حال حاضر و با انتشار نسخه‌ی تازه‌ی وردپرس از سطح حفاظتی به مراتب بالاتری برخوردار هستند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.