بسبب ضعف الإضافات ، يجب تصحيح الملايين من مواقع WordPress قسرا
على مدى الأيام القليلة الماضية ، تلقت الملايين من مواقع WordPress تحديثات التصحيح بالقوة. وذلك لأن هناك ثغرة أمنية في UpdraftPlus ، وهو البرنامج المساعد الشعبية التي تسمح للمستخدمين لإنشاء واستعادة النسخ الاحتياطية للموقع.
طلب المطور UpdraftPlus تصحيحات إلزامية ، حيث أن الثغرة الأمنية ستسمح لأي شخص لديه حساب بتنزيل قاعدة بيانات مواقع الويب بأكملها.
غالبا ما تتضمن قواعد البيانات معلومات حساسة حول العملاء أو إعدادات أمان الموقع ، مما يجعل ملايين المواقع عرضة لخروقات البيانات الخطيرة التي تسرب كلمات المرور وأسماء المستخدمين وعناوين IP وأكثر من ذلك.
تم اكتشاف الخلل من قبل الباحث الأمني Jetpack مارك مونتباس خلال تدقيق أمان المكون الإضافي. وقال مونباس " ان هذا الخطأ من السهل جدا استغلاله ، مع بعض النتائج السيئة للغاية اذا تم استغلاله " .
"يسمح للمستخدمين ذوي الامتيازات المنخفضة بتنزيل النسخ الاحتياطية للموقع، والتي تتضمن النسخ الاحتياطية لقاعدة البيانات الأولية."
UpdraftPlus يبسط عملية النسخ الاحتياطي والاسترداد من قواعد بيانات الموقع ، وهو البرنامج المساعد النسخ الاحتياطي المقرر الأكثر استخداما على شبكة الإنترنت لأنظمة إدارة محتوى وورد.
فهو يبسط النسخ الاحتياطي للبيانات إلى Dropbox وGoogle Drive وAmazon S3 وخدمات السحابة الأخرى. يقول مطوروها أنه يسمح للمستخدمين أيضا بجدولة النسخ الاحتياطية العادية والأسرع واستخدام موارد خادم أقل من مكونات WordPress الإضافية المنافسة.
إطلاق Engadget ، الاثنين 21 فبراير ، بعد العثور على الخلل ، أخطر Montpas مطوري updraftPlus على الفور حول الخطأ يوم الثلاثاء من الأسبوع الماضي. أصلحوه بعد يوم واحد وبدأوا في تثبيت التصحيح بالقوة بعد فترة وجيزة.
وقد تلقى ما مجموعه 1.7 مليون موقع بقع من أكثر من 3 ملايين مستخدم. وأوضح مونتباس ، والضعف الرئيسي في UpdraftPlus لا تنفذ وورد "معدل ضربات القلب" وظيفة بشكل صحيح.
البرنامج المساعد أيضا لا تحقق بشكل صحيح لمعرفة ما إذا كان المستخدم لديه حقوق إدارية. مشكلة أخرى هي المتغير المستخدم للتحقق من صحة المسؤولين التي يمكن تعديلها من قبل المستخدمين غير الموثوق بها.
تم اختراق WordPress سابقا في وقت سابق من هذا العام ، ولكن تم بشكل غير مباشر من خلال اختراق GoDaddy الذي كشف عن 1.2 مليون حساب. إذا كنت تقوم بتشغيل WordPress مع المكون الإضافي UpdraftPlus ، فيجب عليك التأكد من تحديث المكون الإضافي تلقائيا إلى 1.22.4 أو أحدث على الإصدار المجاني ، بالإضافة إلى 2.22.4 وأعلى على التطبيقات المتميزة.