پایگاه پرچم های سیاه | آخرین اخبار ایران و جهان / سرگرمي / IT / کشف حفره امنیتی در افزونه SEO WordPress Yoast

کشف حفره امنیتی در افزونه SEO WordPress Yoast

کشف حفره امنیتی در افزونه SEO WordPress YoastReviewed by مدیریت پرچم های سیاه شرق on Mar 17Rating:

به نام خدا . در این مقاله کوتاه , نوک پیکان به سمت افزونه ای رفته است که بیش از ۱۴ میلیون نفر در سرتاسر دنیا , به نوعی مشترک آن هستند و از خدمات آن استفاده میکنند . این آمار به نوعی نشان میدهد که بیش از ۵۰ درصد افرادی که کسب و کار و یا وبسایت و فوروم خود را بر پاسه وردپرس بنا کرده اند , از این افزونه محبوب استفاده میکنند . در چند سال گذشته , انتقادات زیادی متوجه این افزونه بوده که اغلب این انتقادات , مربوط به ضعف های امنیتی Yoast بوده است . آنچه مشخص است و در ادامه بررسی خواهد شد , این است که دومین افزونه محبوب سئو در میان کاربران وردپرس , از نظر امنیتی دارای ضعف هایی است .تشکر رایان دوهورست ( از طراحان یاست ) از WPScan برای کشف و گزارش مسئولانه این موضوع , خود تاییدی بود از جانب مسوولین یاست در اینکه این افزونه وردپرس دارای حفره ای امنیتی است
مسوولین Yoast نیز با اذعان به این ضعف ها , بارها اعلام داشتند که با به روز رسانی های پی در پی , در پی کاهش این آسیب پذیریها بوده اند . از طرفی مشاهده میشود که اغلب این بروز رسانی ها به صورتی عجولانه انجام شده و در برخی موارد , با به هم زدن ساختار وبسایتها , باعث بروز مشکلاتی در پیکر بندی وردپرس شده است . این مقاله با عنوان Yoast WordPress SEO Plugin Vulnerable To Hackers , افزونه Yoast در معرض آسیب هکرها , اولین بار در ۱۱ ماه مارس ۲۰۱۵ ( ۳ روز قبل ) توسط پشتیبان افزونه WPScan , کشف شد و در مطلبی توسط  Barry Schwartz در مجموعه تخصصی searchengineland منتشر شد . بری شوارتز , صاحب شرکت مشاوره سئو RustyBrick ،NY , و از توسعه دهندگان وب در این خصوص است .

میلیون ها نفر از مدیرانی که سایت های خود را بر پایه وردپرس بنا کرده اند , ممکن است تا کنون متوجه یک آسیب پذیری کور در تزریق کدهای مخرب به SQL به دلیل وجود یک حفره امنیتی در پلاگین بسیار محبوب Yoast شده باشند . این پلاگین , بارها به روز شده است ، میزان موفقیت این به روز رسانی ها دقیقا مشخص نیست , اما اگر از Yoast استفاده میکنید , مطمئن شوید که افزونه شما به روز است . حفره امنیتی در افزونه یاست وردپرس

امروزه بیش از ۱۴ میلیون نفر , برای بهینه سازی وردپرس خود از این افزونه استفاده میکنند , اما بنابر گزارشات موجود , حفره ای امنیتی در این پلاگین باز است که توسط آن , هکرها میتوانند به وسیله این حفره , اقدام به تزریقات کور در SQL نمایند . حملات تزریق کور به SQL , نوع مرسوم و خطرناکی از حملات تزریق کد به SQL است که از پایگاه داده , سوالات درست یا غلطی را می پرسد و تعیین پاسخ بر اساس کدهای تزریقی را خود انجام میدهد (  SQL injection نوعی فن تزریق کد است که هکر با استفاده از نقص امنیتی در نرم‌افزارها و یا افزونه ها , وب‌سایت را اکسپلویت می‌کند , به این صورت که نفوذگر با یک سری دستورهای SQL عملیاتی را متفاوت با عملیات عادی موردنظر طراح وبسایت , در پایگاه داده وب‌سایت آسیب‌پذیر انجام می‌دهد. این آسیب‌پذیری جزو ده آسیب‌پذیری رایج نرم‌افزارهای وب در سال ۲۰۰۷ و ۲۰۱۰ برشمرده شده‌است . مترجم )

این حمله اغلب هنگامی انجام میشود که برنامه های وب پیکربندی میشود و یا به روزرسانی انجام میشود که هکر بدین وسیله نشان دهد پیام های خطا عمومی هستند و ناشی از به روز رسانی ، اماروشن است که وبسایت قربانی در معرض خطر تزریق SQL قرار دارد و یا هکر , این کار را آغاز کرده است .

حفره امنیتی کشف شده در افزونه یاست می تواند تنها عامل مورد استفاده توسط هکرها برای وارد کردن و تزریق کدهای پرس و جو در پایگاه داده باشد که در نتیجه به تغییر داده و یا حذف داده توسط هکر , منجر میشود . هکرها نیز این حملات را اغلب برای وارد کردن غیر مجاز لینک های وابسته، لینک های اسپم ، و یا نرم افزارهای مخرب و ابزارهای تبلیغاتی مزاحم در سایت های قربانی , طراحی میکنند . طراحان یاست پیشنهاد میکنند که اگر شما برای سئو وردپرس خود از این افزونه استفاده میکنید ، برای رفع این مسئله و برطرف کردن حفره امنیتی ، افزونه خود را به نسخه ۱.۷.۴ ارتقاء داده و یا بلافاصله از نسخه های تجاری یاست استفاده کنید . این نسخه مستند به یک راه حل امنیتی است که بر اساس آنچه رایان دوهورست ( از مهندسین طراح یاست . مترجم ) در طول اسکن امنیتی آن را تست کرد , آن را قابل قبول خواند . رایان درباره این راه حل امنیتی می گوید :

حل مشکل امنیتی : آسیب پذیری های تزریق SQL از ثابت CSRF ممکن و مهیاست . اما ما برای حل این مشکل , با اضافه کردن مقادیری به order_by و پارامترهای موجود , و اضافه کردن چک فوق العاده در درخواست و ارسال پارامترهای اضافی , قابلیت مورد نیاز برای دسترسی به ویرایشگر را بهبود بخشیده ایم . در پایان نیز , تشکر رایان دوهورست از WPScan برای کشف و گزارش مسئولانه این موضوع , تایید طراحان یاست را نیز به همراه داشت . شما می توانید اطلاعات بیشتر در مورد آسیب پذیری یاست را در TheHackerNews.com مطالعه نمایید .

پست اسکریپت : Yoast اعلام کرد که تیم وردپرس در واقع به طور خودکار , تمام کاربران خود را تحت فشار قرار دادند که از نسخه های قدیمی استفاده نکنند . اما بسیاری از وبسایت ها هم اکنون نیز از نسخه های قدیمی استفاده میکنند که یاست تلاش دارد در آینده , تمام آنان را به صورت خودکار به روزرسانی کند

درباره مدیریت پرچم های سیاه شرق

پیشنهاد میکنیم

WordPress 5.0 دانلود برنامه وردپرس برای اندروید

WordPress 5.0 دانلود برنامه وردپرس برای اندرویدReviewed by مدیریت پرچم های سیاه شرق on Feb …

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 2 =

Watch Dragon ball super