آلاف مواقع WordPress معرضة للخطر بسبب ثغرة أمنية في إضافة

ثغرة أمنية خطيرة في إضافة GiveWP تؤثر على أكثر من 100,000 موقع WordPress

أفادت تقارير أمنية بأن أكثر من مائة ألف موقع WordPress قد تكون معرضة لاستغلال ثغرة أمنية خطيرة تتيح للجهات الخبيثة تنفيذ أكواد ضارة عن بُعد بدون الحاجة إلى مصادقة، بالإضافة إلى القدرة على حذف ملفات عشوائية بحرية. هذه الثغرة تم اكتشافها في إضافة GiveWP، التي تم تصميمها لتسهيل التبرعات عبر الإنترنت.

اكتشاف الثغرة

تم اكتشاف الثغرة الأمنية من قبل الباحث في مجال الأمن السيبراني الذي يحمل الاسم المستعار villu164، وهي تتواجد في إضافة GiveWP الخاصة بـ WordPress. تهدف هذه الإضافة إلى تسهيل عملية جمع التبرعات عبر الإنترنت، مما يتيح للمنظمات غير الربحية والجمعيات الخيرية وغيرها جمع الأموال مباشرة عبر مواقعها الإلكترونية.

تفاصيل الثغرة

تتمثل الثغرة في خطأ في وظيفة التحقق من صحة البيانات وتنقيتها داخل الإضافة، والتي كانت تتعامل مع معلومات مثل بيانات الدفع. هذا الخطأ يسمح للمهاجمين غير المصدقين بحقن كائنات PHP ضمن عملية التحقق من البيانات. إذا تم إضافة سلسلة POP (Deserialization) إلى هذه الحقن، فإن المهاجمين يمكنهم استغلال هذه الثغرة لتنفيذ أكواد عن بُعد وحذف ملفات عشوائية من الخادم.

التصحيح المتوفر

تم تتبع هذه الثغرة الأمنية تحت الرقم CVE-2024-5932، وهي موجودة في جميع إصدارات إضافة GiveWP حتى الإصدار 3.14.2. في 7 أغسطس 2024، تم إصدار الإصدار 3.14.2 من الإضافة الذي قام بإصلاح هذه المشكلة الأمنية الخطيرة، مما يمنع استغلال الثغرة التي كانت تسمح بتنفيذ الأكواد الضارة عن بُعد وحذف الملفات بدون إذن.

وفي هذا السياق، حثت شركة Wordfence المتخصصة في أمان WordPress جميع مستخدمي WordPress على التأكد من تحديث مواقعهم إلى أحدث إصدار من الإضافة في أسرع وقت ممكن، نظرًا لطبيعة الثغرة الحرجة.

مكافأة للباحث

حصل الباحث الذي اكتشف الثغرة الأمنية، والمعروف بـ villu164، على مكافأة مالية قدرها 5000 دولار أمريكي تقديرًا لاكتشافه هذا الخلل الأمني الخطير.

مخاطر الثغرات الأمنية في WordPress

تعتبر WordPress المنصة الأكثر استخدامًا في بناء المواقع على الإنترنت، حيث تدعم حوالي نصف جميع المواقع. رغم أن المنصة الأساسية تعتبر آمنة إلى حد كبير، إلا أن العديد من الإضافات والقوالب التي تدعمها لا تتمتع بنفس المستوى من الأمان. ما يجعل من الضروري لمشرفي المواقع تحديث الإضافات والقوالب بانتظام لتجنب استغلال الثغرات الأمنية.

تتطلب إدارة المواقع على WordPress وخصوصًا المواقع التي تعتمد على الإضافات الأخرى، اهتمامًا خاصًا في تحديث الإضافات والقوالب بشكل دوري، ومراجعة الأمان بانتظام لحماية الموقع من الهجمات الإلكترونية التي تستغل هذه الثغرات.

نصائح لحماية الموقع

  • تأكد من تحديث الإضافات والقوالب بشكل منتظم إلى أحدث إصداراتها.
  • قم بتحميل الإضافات والقوالب من المصادر الرسمية والموثوقة فقط.
  • استخدم أدوات أمان مثل Wordfence لمراقبة المواقع والكشف عن الأنشطة المشبوهة.
  • حافظ على وجود نسخ احتياطية منتظمة من موقعك، بحيث يمكنك استعادة البيانات في حال حدوث هجوم.

الخاتمة

في ظل تعدد التهديدات الأمنية التي قد تواجهها المواقع على WordPress، يجب على مشرفي المواقع أن يكونوا دائمًا على دراية بأحدث الثغرات والإصلاحات لضمان حماية بيانات مستخدميهم وأمن مواقعهم. مع اكتشاف الثغرة في إضافة GiveWP وتوافر التحديثات الأمنية، يجب على جميع مستخدمي WordPress التحقق من تحديث مواقعهم بشكل عاجل لحماية أنفسهم من المخاطر الأمنية.