آخرین آپدیت وردپرس رمز عبور کاربران وبسایت‌ها را فاش می‌کند

آخرین آپدیت وردپرس رمز عبور کاربران وبسایت‌ها را فاش می‌کند

بعد از گذشت مدت‌ها وردپرس چندی پیش آخرین نسخه‌ی بروزرسانی عمده‌ی خود را منتشر کرد. این بروزرسانی با نسخه‌ی ۵.۰ دارای ۷ مشکل اساسی بود که یکی از آن‌ها می‌توانست منجر به سرقت رفتن کل وبسایت شود. روز گذشته وردپرس یک آپدیت امنیتی برای اپلیکیشن مدیریت محتوای خود منتشر کرد که ۷ مشکل اساسی یاد شده را حل می‌کند، اما یک حفره‌ی امنیتی قابل توجه را برجای می‌گذارد.

نسخه‌ی ۵.۰.۱ وردپرس به برخی افراد اجازه می‌دهد تا با انجام جست و جو‌هایی خاص در گوگل بتوانند به رمز عبور مورد استفاده‌ی برخی از کاربران در وبسایت‌هایی که از وردپرس استفاده می‌کنند دسترسی داشته باشند. این مشکل توسط تولید کنندگان پلاگین معروف Yoast SEO پیدا شده است.

اگر یکی از افرادی که دسترسی به رمز عبورش از طریق گوگل امکان پذیر باشد به عنوان ادمین در یک وبسایت فعالیت کند، آنوقت امکان دارد آسیب‌های جبران ناپذیری به سایت‌هایی که از وردپرس استفاده می‌نمایند وارد شود.

البته وردپرس سعی کرده برخی از مشکلات موجود در اپلیکیشن مدیریت محتوای خود را حل کند. پیش از این وردپرس اجازه می‌داد تا فایل‌ها با هر پسوندی که دارند روی دیتابیس آپلود شوند. موضوعی که حالا با بروزرسانی جدید حل شده و حتما باید پسوند‌ فایل‌های آپلود شده متناسب با نوع آپلود باشد.

علاوه بر این تیم وردپرس تاییدیه‌ی MIME را بهبود داده است. این اتفاق بعد از آن رخ می‌دهد که دو نفر از محققان امنیتی به نام‌های «تیم کوئن» و «اسلاوکو» متوجه شدند که سایت‌هایی که توسط آپاچی میزبانی می‌شوند می‌توانند با ساخت فایل‌هایی خاص تاییدیه‌ی MIME را دور بزنند. موضوعی که منجر به آسیب پذیر بودن وبسایت‌ها می‌شد.

الگو‌های MIME به مرورگر وب کمک می‌کنند تا بداند چگونه محتوا را تفسیر کند تا به عنوان مثال با یک تصویر گرافیکی به صورت یک گرافیک رفتار شود یا یک فایل با پسوند wav به عنوان صوت پخش شود. در برخی از حملات سعی می‌شود تا فایل‌های مخرب را با دروغ گفتن به الگوی MIME وارد سیستم قربانی کنند.

یکی دیگر از مشکلاتی که وردپرس آن را حل کرده است مربوط به دو باگی می‌شود که توسط RIPS تکنولوژی گزارش شده بود. یکی از باگ‌ها به برخی از مدیران وبسایت اجازه می‌داد تا با دستکاری کردن متا دیتا، برخی از فایل‌هایی که اجازه‌ی حذف کردنشان را ندارند را حذف کنند. باگ دوم به نویسندگان اجازه می‌داد تا پست‌هایی درج نمایند که اجازه‌اش را ندارند.

به طور حتم وردپرس به دنبال حل حفره‌ی امنیتی جدیدی است که در آپدیت جدید خود منتشر کرده. بنابراین اگر نگران وبسایت خود هستید بهتر است چند روزی صبر کنید تا این مشکل نیز به طور کامل حل گردد.

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

Digiato

رمزتان را گم کرده‌اید؟

Digiato