تم العثور على تدفق أمني في مكون WordPress الإضافي الخاص بـ wpDiscuz والذي يمكن أن يسمح للمتسللين بإدخال تعليمات برمجية ضارة بسهولة على أي موقع ويب.
تم تحديد هذه الثغرة الأمنية لأول مرة من قبل خبراء الأمن في Wordfence، الذين أكدوا أيضًا أنه مع هذا الخلل، سيتمكن المتسللون أيضًا من تنفيذ ملفات PHP وتحميل ملفات عشوائية إلى موقع الويب حيث تم تثبيت هذا البرنامج الإضافي.
يوفر wpDiscuz بديلاً لنظام التعليق لـ WordPress، تمامًا مثل تعليقات jetpack أو Disqus أو أي مكون إضافي مشهور آخر للتعليق.
تم تحديد هذا الخلل الأمني لأول مرة بواسطة Wordfence وطلب من wpDiscuz إصلاحه، لذلك بعد بضعة أيام، قال المطورون إنهم قاموا بإصلاحه. ولكن لاحقًا، في آخر تحديث لبرنامج WordPress الإضافي، تم العثور على هذه المشكلة مرة أخرى وقد لاحظها Wordfence وأخبرها أن التصحيح غير قادر على إصلاح الخلل الأمني حتى الآن.
تم العثور على المشكلة في الإصدار 7 من مكون WordPress الإضافي، في الميزة التي تتيح للمستخدمين تحميل الصور إلى التعليقات. يتعذر على النظام اكتشاف ما إذا كان امتداد الملف عبارة عن صورة أو رمز ضار.
اعتبارًا من الآن، أفضل شيء لمطوري الويب الذين يستخدمون wpDiscuz هو الابتعاد عنه إذا لم يحصل البرنامج الإضافي على تصحيح خلال 24 ساعة، فإن الاحتفاظ بالمكون الإضافي سيسمح للمتسللين باختراق مواقعك وجميع المواقع الأخرى المرتبطة بذلك. المضيف معرض لخطر القرصنة.
تم إصلاح كل شيء!
تم إصلاح المشكلة بنسبة 100%، كما أن wpDiscuz آمن.
يمكنك تجاهل هذا إذا قمت بالفعل بالتحديث إلى الإصدار 7.0.5 أو إصدار أعلى (الإصدار الحالي هو 7.0.6).
تم إصلاح هذه المشكلة وتم إصدار الإصدار الجديد 7.0.5 قبل أسبوع قبل صدور التقرير العام عن المشكلة الأمنية. لا توجد أية مشكلات في الإصدار الحالي من wpDiscuz. إنه آمن بنسبة 100% الآن.
يحدث هذا النوع من المشكلات مع جميع مكونات WordPress الإضافية تقريبًا، لذلك لا يوجد سبب للقلق إذا قمت بالتحديث والتحديث. ما عليك سوى الاستمرار في تحديث المكونات الإضافية والتأكد من أنك تستخدم أحدث الإصدارات.
حوالي 50% من مستخدمي wpDiscuz يستخدمون حاليًا إصدارات 7.xx. إنه حوالي 35,000 موقع. تم تحديث 30,000 منهم بالفعل لتأمين الإصدار 7.0.5 والإصدارات الأعلى خلال الأسبوع الماضي. ويتم تحديث حوالي 3,000 موقع ويب يوميًا.
لذلك، في غضون يومين تقريبًا لن يكون هناك أي موقع ويب به إصدارات قديمة غير آمنة 7.0.0 - 7.0.4 وستكون جميع مواقع الويب تقريبًا محدثة وآمنة.
شكرًا لك!
مطورو wpDiscuz