انظم الينا عبر التلجرام (( تابعنا الان ))

تحديث WordPress 2022 (تحديث امني)

تأثر WordPress بنقاط الضعف التي تم تحديدها في بعض مكوناته الإضافية ، والتي يمكن أن تعرض أمن مواقع الويب التي أنشأها النظام الأساسي للخطر. في كانون الث

تطلب 1.7 مليون موقع WordPress تحديثًا أمنيًا بسبب ضعف خطير في وردبرس

تأثر WordPress بنقاط الضعف التي تم تحديدها في بعض مكوناته الإضافية ، والتي يمكن أن تعرض أمن مواقع الويب التي أنشأها النظام الأساسي للخطر. في كانون الثاني (يناير) ، تم تحديد ثغرة أمنية في المكون الإضافي Essential Addons for Elementor ، وهي ميزة يستخدمها أكثر من مليون موقع ويب. تم اكتشاف المشكلة بواسطة محقق PatchStack ، ولكن تم إصلاحها منذ ذلك الحين..

wordpress login wordpress download wordpress themes wordpress website erstellen wordpress plugins wordpress hosting wordpress kosten wordpress templates wordpress admin login wordpress alternative wordpress anleitung wordpress admin wordpress anmelden wordpress aktuelle version wordpress api wordpress app a wordpress site a wordpress tool that allows the users to manage the website data a wordpress website a wordpress commenter a wordpress blog a wordpress commenter exploit a wordpress webhosting wordpress a/b testing wordpress änderungen rückgängig machen wordpress änderungen werden nicht übernommen wordpress änderungsverlauf wordpress änderungen speichern wordpress ähnliche beiträge wordpress änderungshistorie wordpress änderungen veröffentlichen wordpress änderungen werden nicht angezeigt wordpress ä ü ö werden nicht richtig angezeigt wordpress blog wordpress backup wordpress blog erstellen wordpress bielefeld wordpress backend wordpress backup plugin wordpress benutzerrollen wordpress beispiele wordpress b theme $p$b wordpress wordpress b&b booking plugin test a/b wordpress wordpress b-quote $p$b wordpress password decrypt wordpress cookie plugin wordpress cache leeren wordpress cms wordpress cookie plugin kostenlos wordpress cookie hinweis wordpress contact form c wordpress urls fox-c wordpress wordpress c'est quoi wordpress cpanel wordpress c quoi wordpress cpanel login widget wordpress c'est quoi wordpress c'est gratuit wordpress docker wordpress divi wordpress domain ändern wordpress datenbank wordpress duplicator wordpress dashboard wordpress domain wordpress de wordpress d jl kiran d wordpress d-board wordpress fob&d wordpress d function wordpress déplacer wordpress d'un dossier à la racine ( p id d+) wordpress wordpress elementor wordpress editor wordpress email wordpress es gab einen kritischen fehler auf deiner website wordpress error establishing a database connection wordpress email settings wordpress einführung wordpress entwickler _e wordpress _e wordpress function _e wordpress php wordpress e commerce wordpress e-learning wordpress e-mail wordpress e portfolio wordpress e-learning theme wordpress footer wordpress favicon wordpress forum wordpress formular wordpress favicon ändern wordpress free wordpress free themes wordpress forum plugin wordpress f silke f wordpress sprint_f wordpress f&o wordpress theme mrs f wordpress letra f wordpress wordpress gutenberg wordpress google analytics wordpress gallery wordpress gutenberg editor wordpress github wordpress google maps wordpress galerie wordpress google fonts wordpress g suite wordpress g suite login wordpress g translate wordpress g suite email wordpress g suite integration wordpress g suite smtp wordpress g suite coupon code g suite wordpress plugin wordpress header bearbeiten wordpress hosting vergleich wordpress homepage erstellen wordpress https wordpress htaccess wordpress hoster wordpress hosting deutschland wordpress h.265 h-code wordpress theme h captcha wordpress wordpress h văn kookv h wordpress meanie h wordpress kookmin h wordpress markhyuck h wordpress wordpress installieren wordpress impressum wordpress installation wordpress icon wordpress ionos wordpress impressum erstellen wordpress installieren anleitung wordpress iframe wordpress i am not a robot plugin iframe wordpress wordpress i woocommerce wordpress i class icon wordpress i=1 wordpress i react wordpress i-excel wordpress i hosting wordpress javascript wordpress jetpack wordpress javascript einbinden wordpress jobs wordpress jquery wordpress java wordpress json wordpress job plugin j drama wordpress jquery wordpress j f y wordpress wordpress j extybt wordpress j j&t wordpress j yjdktybt wordpress plugin wordpress j'aime wordpress kostenlos wordpress kommentare deaktivieren wordpress kontaktformular wordpress kalender wordpress kurs wordpress kontaktformular erstellen wordpress kostenlos nutzen k elements wordpress plugin k gogos wordpress k-pop wordpress k significa wordpress wordpress login admin wordpress logo wordpress lernen wordpress log4j wordpress lokal installieren wordpress login url wordpress logo ändern wordpress l sep l sep character wordpress wordpress l ogin wordpress l'éditeur a rencontré une erreur inattendue wordpress l'api rest a rencontré une erreur wordpress l'editor ha riscontrato un errore inaspettato l'america espanyola.wordpress l'importance de wordpress wordpress multisite wordpress maintenance mode wordpress menü bearbeiten wordpress multi language wordpress menü erstellen wordpress mitgliederbereich wordpress mehrsprachig wordpress mediathek ordner m.wordpress.www m.wordpress.com login m.e. calendar wordpress language m pesa wordpress plugin wordpress newsletter wordpress nginx wordpress neue seite erstellen wordpress navigation wordpress navigation bearbeiten wordpress news wordpress noindex wordpress neu installieren in wordpress _n wordpress wordpress n.headers is undefined wordpress _n_noop wordpress no-media n.katic wordpress wordpress n'est plus gratuit wordpress __ function wordpress online shop wordpress offline wordpress offline erstellen wordpress onepager wordpress open source wordpress online shop erstellen o wordpress é gratuito o wordpress é um instrumento wordpress o'reilly wordpress o que é blogger to wordpress joomla to wordpress wordpress öffnungszeiten wordpress öffnen wordpress öffentlicher name ändern wordpress österreich wordpress öffentliche vorschau für beiträge wordpress ödeme alma wordpress önbellek temizleme wordpress php wordpress php 8 wordpress php version wordpress popup wordpress preise wordpress pdf einbinden wordpress plugin erstellen wordpress p tags disappear wordpress $p$b wordpress p class wordpress p tag wordpress $p$ hash wordpress $p$ password webp wordpress wordpress quiz plugin wordpress query wordpress qr code wordpress quellcode bearbeiten wordpress quiz wordpress quellcode anzeigen wordpress qr code plugin wordpress qnap wordpress q&a plugin free wordpress qtranslate wordpress qtranslate plugin q form wordpress wordpress q&a theme best wordpress q&a plugin wordpress q es q&a wordpress template wordpress rollen wordpress rest api wordpress redirect wordpress robots.txt wordpress rss feed wordpress raspberry pi wordpress requirements wordpress releases r/wordpress wordpress r shiny wordpress r plugin wordpress r integration print_r wordpress r markdown wordpress r debug wordpress r statistik wordpress wordpress slider wordpress startseite festlegen wordpress shop wordpress seite duplizieren wordpress seite erstellen wordpress seite offline stellen wordpress seo wordpress schriftart ändern _s wordpress github is wordpress free wordpress is search wordpress s folder wordpress s/mime wordpress s wordpress anwendungspasswörter wordpress tutorial wordpress themes kostenlos wordpress themes free wordpress theme erstellen wordpress terminbuchung wordpress templates free wordpress t shirt designer plugin wordpress t shirt designer wordpress t.onchange section expanded is not a function wordpress t shirt shop wordpress t shirt plugin wordpress t-online homepage starter wordpress umziehen wordpress upload limit erhöhen wordpress update wordpress url ändern wordpress unterseiten erstellen wordpress umfrage plugin wordpress user roles wordpress untermenü erstellen u-design wordpress theme documentation cena sajta u wordpress u wordpress u commerce rad u wordpress u kako raditi u wordpress u wordpress u payu wordpress sajt u wordpressu wordpress übersetzungs plugin wordpress übersetzen wordpress übergeordnete seite wordpress übertragen wordpress überschriften formatieren wordpress überschreitet das upload-limit für diese website wordpress über ftp installieren wordpress überschrift ausblenden wordpress version wordpress vorlagen wordpress video einbinden wordpress version herausfinden wordpress video wordpress vs typo3 wordpress vs wix wordpress vs joomla v= wordpress wordpress v parameter wordpress vcard wordpress v 5.5.1 hyper-v wordpress hyper-v wordpress appliance v press wordpress theme wordpress website wordpress wartungsmodus wordpress wiki wordpress woocommerce wordpress was ist das wordpress widgets wordpress website bearbeiten w wordpress code wordpress w dwoch jezykach kategorie w wordpress kotwica w wordpress pomoc w wordpress wordpress w witrynie wystąpił błąd krytyczny wordpress w nazwa.pl wordpress w podkatalogu wordpress xampp wordpress xmlrpc wordpress xampp installieren wordpress xml-rpc validation service wordpress xml sitemap wordpress xml import wordpress xmlrpc exploit wordpress xmlrpc deaktivieren x wordpress theme _x wordpress x wordpress theme review x wordpress theme transparent header wordpress x-frame-options wordpress x-forwarded-proto wordpress x-forwarded-for wordpress x-frame-options allow-from wordpress youtube wordpress youtube video einbinden wordpress you don't have permission to access this resource wordpress yoast wordpress youtube plugin wordpress yootheme wordpress youtube video einbinden dsgvo wordpress yubikey wordpress y google analytics wordpress y otros wordpress y woocommerce wordpress y elementor wordpress y php wordpress y moodle wordpress zurücksetzen wordpress zeilenumbruch wordpress zeilenabstand wordpress zweisprachig wordpress zugang wordpress zertifikat wordpress zugangsdaten vergessen wordpress zugriffszahlen z wordpress com wordpress z index wordpress z-index not working wordpress z-index menu ctrl z wordpress a-z wordpress plugin z-index header wordpress strony z wordpress wordpress 000webhost wordpress 0day wordpress 0.7 wordpress auth0 wordpress 0day exploit wordpress 000webhost login wordpress 0 day level_0 wordpress javascript void 0 wordpress user status 0 wordpress ajax returns 0 wordpress mostly five-0 wordpress undefined offset 0 wordpress error error (0) wordpress wordpress 1und1 wordpress 1blu installieren wordpress 101 wordpress 1 page theme wordpress 1 click install wordpress 1.0 wordpress 1$s wordpress 1536x1536 1 wordpress 2 domains 1. wordpress $1 wordpress themes 1 wordpress website wordpress 1 click installation wordpress 2022 wordpress 2fa wordpress 2 faktor authentifizierung wordpress 2021 wordpress 2022 theme wordpress 2021 theme wordpress 2fa aktivieren wordpress 2 sprachig 2 wordpress installationen auf einem server 2 wordpress installationen auf einer domain 2 wordpress seiten auf einer datenbank 2 wordpress themes one site 2 wordpress sites 1 user database 2. wordpress 2 wordpress seiten auf einem server 2 wordpress plugins wordpress 3d viewer wordpress 301 wordpress 301 weiterleitung wordpress 3d wordpress 360 product viewer wordpress 3d plugin wordpress 3d druck wordpress 3.5.1 exploit wordpress 3 wordpress 3$s wordpress 3 images in a row wordpress 3 level menu wordpress 3 spalten layout wordpress 3 bilder nebeneinander wordpress 3 download wordpress 3 column layout wordpress 404 wordpress 403 wordpress 4.9.18 wordpress 404 not found wordpress 404 redirect wordpress 404 seite umleiten wordpress 4.9.19 wordpress 404 seite bearbeiten wordpress 4 wordpress 4 download wordpress 4 vs 5 wordpress 4 php version wordpress 4 to 5 upgrade wordpress 4 end of life wordpress 4 spalten wordpress 4 php 7 wordpress 5.9 wordpress 5.8.2 wordpress 5.8.3 wordpress 5.9 release wordpress 5.8.1 wordpress 5.9 release date wordpress 5.8.1 exploit wordpress 5.8.2 php version $5 wordpress themes wordpress 5 wordpress 5 download wordpress 5 das umfassende handbuch pdf wordpress 5 minuten installation wordpress 5 handbuch pdf wordpress 5 php version wordpress 5 tutorial wordpress 6.0 features wordpress 64 bit wordpress 64 mb upload limit wordpress 6.5 wordpress 644 755 wordpress 6g firewall wordpress 64 bit download wordpress 644 wordpress 6 shopware 6 wordpress jupiter 6 wordpress theme foundation 6 wordpress jupiter 6 wordpress varnish 6 wordpress configuration varnish 6 wordpress slider revolution 6 wordpress wordpress 7.4 wordpress 78 wordpress 7.2 wordpress 755 wordpress 7 theme wordpress 7.4 download wordpress 7.3 download wordpress 7.3 7 wordpress theme wordpress 7 download wordpress 7 form wordpress 7 columns wordpress 7 template centos 7 wordpress the 7 wordpress theme documentation dsm 7 wordpress wordpress 8.1 wordpress 800 number wordpress 8.5.2 wordpress 8.2 wordpress 8.5.1 wordpress 8.3 wordpress 8mb upload limit wordpress theme wordpress 8 php 8 wordpress centos 8 wordpress mysql 8 wordpress centos 8 wordpress nginx utf-8 wordpress centos 8 wordpress apache 8 bit wordpress theme wordpress 90s theme wordpress 907 theme 99designs wordpress wordpress 9 letras wordpress 9gag theme wordpress 9gag wordpress 9 debian 9 wordpress install angular 9 wordpress sage 9 wordpress debian 9 wordpress drkokogyi 9 wordpress yourbluemoon 9.wordpress.com

الآن كان هو المكون الإضافي UpdraftPlus ، المستخدم لإنشاء واستعادة النسخ الاحتياطية لموقع الويب. سمحت المشكلة التي تم العثور عليها ، والتي تم إصلاحها بالفعل من خلال تحديث أمني طارئ ، لجميع المستخدمين الذين لديهم حساب على موقع ويب بتنزيل قاعدة البيانات بالكامل.

تم اكتشاف الخطأ بواسطة الباحث الأمني ​​Marc Montpas من Jetpack أثناء مراجعة البرنامج المساعد. في حديثه إلى Ars Technica ، ذكر المحقق أن الخطأ كان من السهل جدًا استغلاله ، مع نتائج كارثية إذا تم استخدامه. "سمح ذلك للمستخدمين الذين لديهم امتيازات أساسية بتنزيل النسخ الاحتياطية من موقع ويب ، بما في ذلك قواعد البيانات الأولية.

تم تنبيه مطوري UpdraftPlus إلى الخطأ ، وتم إصلاحه في اليوم التالي ، مما أجبر جميع مواقع الويب التي تستخدم هذا المكون الإضافي على إجراء تحديث طارئ. إجمالاً ، تم تحديث 1.7 مليون موقع ، من حوالي 3 ملايين مستخدم.

في مدونة Jetpack ، تم توضيح أن الثغرة الأمنية كانت بسبب التنفيذ غير الصحيح لميزة WordPress hearbeat” ، والتي تضمن التحقق من امتيازات المستخدم. في هذه الحالة ، لم تتحقق مما إذا كان الوصول تم بواسطة مسؤولي الموقع. يمكن للمتسلل الوصول بسهولة إلى المعلومات من النسخ الاحتياطية لموقع الويب من خلال الثغرة الأمنية.

لتأكيد أن لديك الإصدار الآمن من المكون الإضافي UpdraftPlus ، يجب على مسؤولي مواقع الويب المستندة إلى WordPress التحقق من تحديثه إلى الإصدار 1.22.

تحديث البرنامج المساعد لـ WordPress Forced UpdraftPlus على ملايين المواقع الإلكترونية

في خطوة غير مسبوقة وخطيرة ، فرض WordPress تحديث المكون الإضافي UpdraftPlus على ملايين مواقع الويب ، والآن هناك خلل.

اتخذ WordPress الخطوة النادرة المتمثلة في إجبار المكون الإضافي UpdraftPlus على التحديث على جميع مواقع الويب لإصلاح ثغرة أمنية شديدة الخطورة ، مما يسمح لمشتركي موقع الويب بتنزيل أحدث النسخ الاحتياطية لقاعدة البيانات ، والتي غالبًا ما تحتوي على بيانات اعتماد و PII.

تستخدم ثلاثة ملايين موقع ويب مكون WordPress الإضافي الشهير ، لذلك كانت إمكانية الاستغلال كبيرة ، مما أثر على جزء كبير من الإنترنت ، بما في ذلك المنصات الرئيسية.

تؤثر الثغرة الأمنية على إصدارات UpdraftPlus 1.16.7 حتى 1.22.2 ، وقام المطورون بتصحيحها بإصدار 1.22.3 أو 2.22.3 للإصدار Premium (المدفوع).

تم اكتشاف الخلل بواسطة الباحث الأمني Marc Montpas من Automattic وتم تتبعه باعتباره CVE-2022-0633 ويحمل درجة CVSS v3.1 البالغة 8.5.

يساعد UpdraftPlus في تبسيط عملية النسخ الاحتياطي والاستعادة من خلال وظائف النسخ الاحتياطي المجدولة وخيار التنزيل التلقائي إلى عنوان بريد إلكتروني موثوق به.

ومع ذلك ، نظرًا لوجود أخطاء في المكون الإضافي ، يمكن لأي مستخدم مصادق عليه منخفض المستوى إنشاء رابط صالح يسمح لهم بتنزيل الملفات.

WordPress Forced UpdraftPlus

تم اكتشاف الخلل في 14 فبراير 2022 وتم إخطار UpdraftPlus على الفور ، بينما اتبعت التفاصيل الفنية في اليوم التالي.

كانت استجابة مطوري المكون الإضافي الشهير فورية تقريبًا ، وفي 16 فبراير 2022 ، بدأ WordPress في تحديث التثبيتات إلى الإصدار 1.22.3.

تكمن المشكلة في التحقق غير الصحيح من صحة المستخدم لما إذا كان لديه الامتيازات اللازمة للوصول إلى المعرف غير المتاح والطوابع الزمنية للنسخة الاحتياطية أم لا.

يبدأ الهجوم بإرسال طلب نبضات يحتوي على معلمة "بيانات" للحصول على معلومات حول أحدث نسخة احتياطية.

مسلحًا بهذه المعلومات ، يقوم المهاجم بتشغيل وظيفة "إرسال نسخة احتياطية عبر البريد الإلكتروني" بعد معالجة طلب نقطة النهاية.

عادةً ما يقتصر هذا الدور على المسؤولين فقط ، ولكن يمكن لأي شخص لديه حساب على الموقع المستهدف الوصول إليه دون قيود نظرًا لعدم وجود فحص للإذن.

بالطبع ، يحتاج المهاجم إلى معرفة كيفية تنزيل النسخ الاحتياطية لقاعدة البيانات ، وفي الوقت الحالي ، يفيد Updraft بأنه لم ير مثل هذه الحالات في البرية.

"في الوقت الحالي ، يعود (مظهر PoC) إلى المتسلل لإجراء هندسة عكسية للتغييرات في أحدث إصدار من UpdraftPlus لحل هذه المشكلة." - أوبدرافت .

كما هو مذكور في تقرير Automattic ، كانت بعض عمليات التحقق غير المباشرة لا تزال موجودة في الإصدارات الضعيفة من المكون الإضافي ، لكنها ليست كافية لإيقاف مهاجم ماهر.

وفقًا لإحصائيات تنزيل WordPress لهذا المكون الإضافي ، تم تحديث 783000 عملية تثبيت في اليوم السادس عشر وتم تحديث 1.7 مليون إضافية في اليوم السابع عشر.

أخبر مونتباس Bleeping Computer أن هذه واحدة من تلك الحالات النادرة جدًا والخطيرة بشكل استثنائي حيث يفرض WordPress تحديثات تلقائية على جميع المواقع ، بغض النظر عن إعدادات المسؤول الخاصة بها.

إذا كنت تريد الترقية على الفور إلى الإصدار الآمن ، فيمكنك تطبيق التحديث الأمني ​​يدويًا من لوحة المعلومات. أحدث إصدار متاح اليوم هو 1.22.4 ، لذلك هذا هو الإصدار الموصى به للاستخدام.

لاحظ أن هذه الثغرة الأمنية لا تشكل أي خطر على مواقع الويب التي لا تدعم عمليات تسجيل دخول المستخدم من أي نوع أو لا تحتفظ بأي نسخ احتياطية.

إرسال تعليق

الموافقة على ملفات تعريف الارتباط
نحن نقدم ملفات تعريف الارتباط على هذا الموقع لتحليل حركة المرور وتذكر تفضيلاتك وتحسين تجربتك.
Oops!
It seems there is something wrong with your internet connection. Please connect to the internet and start browsing again.
AdBlock Detected!
لقد اكتشفنا أنك تستخدم مكونًا إضافيًا لحظر الإعلانات في متصفحك. يتم استخدام ايرادات الاعلانات لإدارة وتطوير موقع الويب هذا، ونطلب منك إدراج موقعنا على الويب في القائمة البيضاء في مكون حظر الإعلانات الخاص بك.