من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

الوجبات السريعة الرئيسية

  • يحتوي مكون أمان WordPress الشهير المسمى “Rely Simple Security” على عيب كبير يسمح للمهاجمين بتجاوز المصادقة.
  • مع درجة التهديد 9.8/10، يسمح هذا الخلل للمهاجمين بالدخول إلى الموقع كمسؤولين، مع إمكانية الوصول الكامل لإجراء أي تغييرات يريدونها.
  • لم يتم إصلاح الخلل بعد، لكن مكون إضافي آخر لأمان WordPress يسمى Wordfence يقوم بحظر أكبر عدد ممكن من الهجمات.
    “image/webp” data-lazy-srcset=”https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-1200×642.png.webp 1200w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-300×161.png.webp 300w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-150×80.png.webp 150w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-768×411.png.webp 768w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-1536×822.png.webp 1536w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-777×416.png.webp 777w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security.png.webp 1749w” data-lazy-sizes=”(max-width: 1200px) 100vw, 1200px”>”high” فك التشفير=”async” العرض=”1200″ الارتفاع=”642″ البديل=”A Major Flaw In WordPress Plugin Puts 4 Million Websites at Risk” srcset=”https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-1200×642.png 1200w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-300×161.png 300w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-150×80.png 150w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-768×411.png 768w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-1536×822.png 1536w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-777×416.png 777w, https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security.png 1749w” data-lazy-sizes=”(max-width: 1200px) 100vw, 1200px” سرك=”https://techreport.com/wp-content/uploads/2024/11/Really-Simple-Security-1200×642.png?_t=1731733701″>

    تم اكتشاف ثغرة أمنية تم اكتشافها حديثًا في مكون إضافي للأمان في WordPress 4 ملايين موقع في خطر.

    يُطلق على المكون الإضافي اسم “Really Simple Security” والذي تم إطلاقه في البداية باسم “Really Simple SSL” في عام 2015. وكان غرضه الأولي بسيطًا – تسمح لك بترحيل موقع WordPress الخاص بك إلى HTTPS/SSL.

    وفي وقت لاحق، تم تطويره ليصبح حلاً أمنيًا متكاملاً يحمي مواقع الويب من الهجمات الخارجية المصادقة الثنائية، والعيوب المكتشفة، وإنشاء شهادات SSL.

    السبب وراء شهرة هذا البرنامج الإضافي بين مالكي مواقع الويب هو أنه كانت خفيفة الوزن. يمكنك اختيار وظائف الأمان التي تريدها لموقعك وسيتم تعطيل الباقي بطريقة لن تؤدي حتى إلى تحميل موقع الويب الخاص بك أو إبطائه.

    وحتى الآن، فقد حصل على تقييمات مذهلة أيضًا. أكثر من 97% من المراجعات في مستودع WordPress تحمل خمس نجوم وتم تصنيف 1٪ فقط من المراجعات بنجمة واحدة.

    حول الخلل: ما الخطأ الذي حدث؟

    بعد تقديم هذا الأداء الخالي من العيوب خلال العام، تعرض البرنامج الإضافي لخلل كبير وهو يؤثر على جميع إصداراته من 9.0.0 إلى 9.1.1.1.

    يسمح هذا الخلل لأي مستخدم بتسجيل الدخول كمسؤول و الحصول على حق الوصول الكامل إلى الموقع بما في ذلك الأذونات على مستوى الموقع. كل ما يتعين على المهاجم فعله هو الحصول على اسم المستخدم الخاص بالمستخدم المحدد الذي يحاول تسجيل الدخول به.

    يُطلق على هذا النوع من العيوب اسم “ثغرة الوصول غير المصادق عليها” – وهي واحدة من أخطر أنواع الثغرات الأمنية التي تم تعيينها درجة التهديد 9.8 من 10.

    إذا نجح أحد المهاجمين في اختراق موقع ما، فقد تكون العواقب وخيمة. قد يفعلون ذلك حقن البرامج الضارة فيه ومهاجمة جميع المستخدمين الذين يتصلون بهم أو سرقة بيانات المستخدم ونشر المحتوى الضار.

    قام Wordfence، وهو مكون إضافي للأمان في WordPress، بمعالجة المشكلة أيضًا. وفي شرح السبب وراء هذه الثغرة الأمنية، قال إنه من المحتمل أن يكون سببها “معالجة خطأ التحقق من المستخدم بشكل غير صحيح في إجراءات REST API ذات العاملين باستخدام وظيفة “check_login_and_get_user”.

    وفي الوقت نفسه، البرنامج المساعد لديه أيضا منعت 310 من هذه الهجمات خلال الـ 24 ساعة الماضية وحثت مستخدمي برنامج “Really Simple Security” على التحديث إلى الإصدار 9.1.2 أو أعلى.

    أضف تقريرًا تقنيًا إلى موجز أخبار Google الخاص بك

    احصل على آخر التحديثات والاتجاهات والرؤى التي يتم تسليمها مباشرة في متناول يدك. اشترك الآن!

    اشترك الآن

    كريشي هو صحفي تقني متحمس وكاتب محتوى لكل من B2B وB2C، مع التركيز على جعل عملية شراء البرامج أسهل للشركات وتعزيز تواجدها عبر الإنترنت وتحسين محركات البحث. يتمتع كريشي بمهارات خاصة في الكتابة عن أخبار التكنولوجيا، وإنشاء محتوى تعليمي حول برنامج إدارة علاقات العملاء (CRM)، والتوصية بأدوات إدارة المشاريع التي يمكن أن تساعد الشركات الصغيرة على زيادة إيراداتها. إلى جانب عمله في الكتابة والتدوين، تشمل هوايات كريشي الأخرى دراسة الأسواق المالية والكريكيت.

    عرض جميع المقالات التي كتبها كريشي شودري”8″ الارتفاع=”13″ viewBox=”0 0 8 13″ ملء=”none”>”M1.5 11.9297L6.5 6.92969L1.5 1.92969″ السكتة الدماغية=”#080C2D” عرض السكتة الدماغية=”2″ السكتة الدماغية-linecap=”round” السكتة الدماغية-خط الانضمام=”round”/>

    تتمحور السياسة التحريرية للتقرير الفني حول توفير محتوى مفيد ودقيق يقدم قيمة حقيقية لقرائنا. نحن نعمل فقط مع الكتاب ذوي الخبرة الذين لديهم معرفة محددة في المواضيع التي يغطونها، بما في ذلك أحدث التطورات في التكنولوجيا، والخصوصية عبر الإنترنت، والعملات المشفرة، والبرمجيات، وأكثر من ذلك. تضمن سياستنا التحريرية أن يتم بحث كل موضوع وتنظيمه من قبل المحررين الداخليين لدينا. نحن نحافظ على معايير صحفية صارمة، وكل مقال مكتوب بنسبة 100% بواسطة مؤلفين حقيقيين.

    اقرأ المزيد

    8 0 نوفمبر 17, 2024
    يقول الخبراء إن إلغاء ترامب لبايدن AI EO سيجعل الصناعة أكثر فوضوية
    أفضل أجراس الباب بالفيديو الرخيصة لعام 2024

    Reactions

    0
    0
    0
    0
    0
    0
    بالفعل كان رد فعل لهذا المنصب.

    ردود الفعل