ده مورد از افزونه های آسیب پذیر وردپرس که خطرناک شناخته شده اند

اخیراً تحقیقات انجام شده در 10 پلاگین وردپرس ایجاد شده توسط همان شرکت MULTIDOTS، مشکلات امنیتی جدی را پیدا کرده است. تمام افزونه های آسیب پذیر طراحی شده اند تا در کنار WooCommerce کار کنند، بنابراین یک تهدید واقعی برای همه فروشگاه های آنلاین ایجاد شده توسط WooCommerce و یکی از این افزونه ها وجود دارد. در این مقاله افزونه های آسیب پذیر وردپرس بیان شده اند.

دلایل زیادی وجود دارد که باعث شده تا سایت های وردپرس از رایج ترین سایت ها برای هک توسط هکرها باشد. در مقاله ممتاز سرور با عنوان چرا سایت های وردپرس هک می شوند می توانید اطلاعات کافی در این زمینه بدست آورید. برای تقویت امنیت صفحه ورود به وردپرس نیز گام هایی وجود دارد که در مقاله لینک داده شده می توانید آن ها را بخوانید و سپس به کار ببرید.

افزونه های آسیب پذیر وردپرس

همه این افزونه های WordPress در مخزن افزونه WordPress.org موجود بودند و همه آنها بسیار خطرناک هستند. در لیست زیر نام این افزونه ها با تعداد نصب های فعال آن ها را مشاهده می نمایید. همچنین نوعی از آسیب پذیری که امکان دارد برای این افزونه ها به وجود آید نیز در ادامه ذکر شده اند. افزونه های آسیب پذیر وردپرس عبارتند از:

• مدیریت بنر WooCommerce (نصب فعال: 3،000+): تغییر تنظیمات غیرمجاز
• دکمه های اشتراک گذاری پیام مسنجر اجتماعی Whatsapp و Viber (نصب فعال: 500+): جعل درخواست (CSRF)
• جستجوی پیشرفته برای WooCommerce (نصب فعال: 200+): اسکریپت XSS
• اطلاعیه کوکی Eu (نصب فعال: 600+): جعل درخواست متقابل سایت (CSRF)
• سازنده صفحات و پست های انبوه (نصب فعال: 1000+): تأیید صحت اسکریپت XSS
• شمارنده بازدید از صفحه (نصب فعال: 10،000+): SQL Injection
• پرداخت ووکامرس برای کالاهای دیجیتال (نصب فعال: 2،000): جعل درخواست متقابل سایت (CSRF)
• یکپارچه سازی تجزیه و تحلیل تجارت الکترونیک پیشرفته با پیگیری تبدیل (نصب فعال: 1000+): جعل درخواست متقابل سایت (CSRF) و اسکریپت XSS
• پیوست محصول WooCommerce (نصب های فعال: 800+): اسکریپت XSS
• گزارش های سریع ووکامرس (نصب های فعال: 300+): XSS

چرا اکنون همه این افزونه ها غیر فعال شده اند؟

تیم تحقیقاتی ThreatPress در مورد مسائل امنیتی در تاریخ 2018-05-08 به MULTIDOTS Inc. اطلاع دادند. پاسخ واضحی مبنی بر اینکه آنها مشکل را درک کرده اند دریافت نشد. مدت زمان زیادی گذشت و این افزونه ها آپدیت نشدند و پس از مدتی نیز غیر فعال شدند.

بدترین قسمت این وضعیت این است که تمام این افزونه ها فقط برای کار با WooCommerce ساخته شده اند. این بدان معناست که تمام سایت هایی که تحت تأثیر قرار می گیرند برای یک منظور ساخته شده اند و ان هم فروشاست. این سایت ها با داده های شخصی، شماره کارت های اعتباری و سایر داده های حساس کار می کنند. براساس مخزن افزونه WordPress.org، بیش از 19،400 نصب فعال از این افزونه ها وجود دارد و این بدان معنی است که تعداد زیادی فروشگاه الکترونیکی آسیب پذیر وجود دارد.