آخرین آپدیت وردپرس رمز عبور کاربران وبسایت‌ها را فاش می‌کند

بعد از گذشت مدت‌ها وردپرس چندی پیش آخرین نسخه‌ی بروزرسانی عمده‌ی خود را منتشر کرد. این بروزرسانی با نسخه‌ی 5.0 دارای ۷ مشکل اساسی بود که یکی از آن‌ها می‌توانست منجر به سرقت رفتن کل وبسایت شود. روز گذشته وردپرس یک آپدیت امنیتی برای اپلیکیشن مدیریت محتوای خود منتشر کرد که ۷ مشکل اساسی یاد شده را حل می‌کند، اما یک حفره‌ی امنیتی قابل توجه را برجای می‌گذارد.

نسخه‌ی 5.0.1 وردپرس به برخی افراد اجازه می‌دهد تا با انجام جست و جو‌هایی خاص در گوگل بتوانند به رمز عبور مورد استفاده‌ی برخی از کاربران در وبسایت‌هایی که از وردپرس استفاده می‌کنند دسترسی داشته باشند. این مشکل توسط تولید کنندگان پلاگین معروف Yoast SEO پیدا شده است.

اگر یکی از افرادی که دسترسی به رمز عبورش از طریق گوگل امکان پذیر باشد به عنوان ادمین در یک وبسایت فعالیت کند، آنوقت امکان دارد آسیب‌های جبران ناپذیری به سایت‌هایی که از وردپرس استفاده می‌نمایند وارد شود.

malltina

البته وردپرس سعی کرده برخی از مشکلات موجود در اپلیکیشن مدیریت محتوای خود را حل کند. پیش از این وردپرس اجازه می‌داد تا فایل‌ها با هر پسوندی که دارند روی دیتابیس آپلود شوند. موضوعی که حالا با بروزرسانی جدید حل شده و حتما باید پسوند‌ فایل‌های آپلود شده متناسب با نوع آپلود باشد.

علاوه بر این تیم وردپرس تاییدیه‌ی MIME را بهبود داده است. این اتفاق بعد از آن رخ می‌دهد که دو نفر از محققان امنیتی به نام‌های «تیم کوئن» و «اسلاوکو» متوجه شدند که سایت‌هایی که توسط آپاچی میزبانی می‌شوند می‌توانند با ساخت فایل‌هایی خاص تاییدیه‌ی MIME را دور بزنند. موضوعی که منجر به آسیب پذیر بودن وبسایت‌ها می‌شد.

الگو‌های MIME به مرورگر وب کمک می‌کنند تا بداند چگونه محتوا را تفسیر کند تا به عنوان مثال با یک تصویر گرافیکی به صورت یک گرافیک رفتار شود یا یک فایل با پسوند wav به عنوان صوت پخش شود. در برخی از حملات سعی می‌شود تا فایل‌های مخرب را با دروغ گفتن به الگوی MIME وارد سیستم قربانی کنند.

یکی دیگر از مشکلاتی که وردپرس آن را حل کرده است مربوط به دو باگی می‌شود که توسط RIPS تکنولوژی گزارش شده بود. یکی از باگ‌ها به برخی از مدیران وبسایت اجازه می‌داد تا با دستکاری کردن متا دیتا، برخی از فایل‌هایی که اجازه‌ی حذف کردنشان را ندارند را حذف کنند. باگ دوم به نویسندگان اجازه می‌داد تا پست‌هایی درج نمایند که اجازه‌اش را ندارند.

به طور حتم وردپرس به دنبال حل حفره‌ی امنیتی جدیدی است که در آپدیت جدید خود منتشر کرده. بنابراین اگر نگران وبسایت خود هستید بهتر است چند روزی صبر کنید تا این مشکل نیز به طور کامل حل گردد.

malltina

مطالب مرتبط

هکرهای توییتر چطور به دام پلیس فدرال آمریکا افتادند؟

در روز ۱۵ جولای امسال بود که یکی از کاربران دیسکورد با لقب Kirk، پیشنهادی وسوسه‌برانگیز مطرح کرد: «من در توییتر کار می‌کنم. من می‌توانم [هر اکانتی با] هر نامی را به دست بگیرم. اگر در حال انجام کاری هستی به من خبر بده». این نقطه سرآغاز چیزی بود که تنها چند ساعت بعد بزرگ‌ترین... ادامه مطلب

۳ نفر به اتهام هک توییتر بازداشت شدند؛ نوجوان ۱۷ ساله مغز متفکر حمله سایبری

نزدیک به دو هفته پیش توییتر هک شد و تقریبا به صورت روزانه اطلاعات جدیدی درباره آن منتشر می‌شود و حالا IRS و FBI به همراه سرویس مخفی ایالات متحده آمریکا و مقامات فلوریدا یک نوجوان ۱۷ ساله را دستگیر کرده‌اند.این نوجوان ۱۷ ساله با نام «گراهام کلارک» متهم به برنامه‌ریزی بزرگترین حمله هکری در تاریخ... ادامه مطلب

توییتر حمله فیشینگ هدف‌دار را عامل هک گسترده این پلتفرم اعلام کرد

توییتر اطلاعات جدیدی در مورد حمله بی سابقه به این پلتفرم منتشر کرد. به گفته این شبکه اجتماعی برخی از کارمندان این شرکت قربانی حمله فیشنگ هدف‌دار (Spear Phishing) شده و زمینه را برای دسترسی هکرها به ابزارهای محرمانه فراهم کرده‌اند.توییر با انتشار چند توییت و مقاله در وبلاگ این شرکت اعلام کرد که برخی... ادامه مطلب

آسیب پذیری Boothole کشف شد؛ میلیاردها سیستم لینوکسی و ویندوزی در خطر

محققان آسیب پذیری جدیدی به نام BootHole شناسایی کرده‌اند که قبل از بالا آمدن سیستم عامل فعال شده و به هکرها دسترسی لجام گسیخته به سیستم را می‌دهد. با اینکه سیستم‌های لینوکسی مستقیماً در معرض خطر این آسیب پذیری هستند، اما به گفته محققان کامپیوترهای ویندوزی از یک دهه گذشته تاکنون نیز در برابر آن آسیب... ادامه مطلب

کسپرسکی: هکرهای کره شمالی در پشت پرده باج افزار VHD هستند

شرکت توسعه دهنده آنتی ویروس کسپرسکی در گزارشی که روز گذشته منتشر کرد اعلام نمود باج افزار جدیدی که با نام VHD شناخته می شود محصول هکرهای وابسته به دولت کره شمالی است. در این گزارش به جزئیات دو اتفاقی اشاره شده که در آنها هکرها به شبکه های مورد استفاده شرکت ها نفوذ کرده و... ادامه مطلب

هکرها بیش از ۳۸۶ میلیون سابقه کاربری از ۱۸ شرکت را به طور رایگان منتشر کردند

هکرها بیش از ۳۸۶ میلیون سابقه کاربری مربوط به ۱۸ شرکت را به طور رایگان در یک فروم هک منتشر کردند.از حدود ده روز قبل گروه هک ShinyHunters که در زمینه فروش اطلاعات سرقتی فعالیت می‌کند، انتشار رایگان دیتابیس‌ها را در یک فروم خرید و فروش اطلاعات سرقتی آغاز کرده است. این گروه هک در گذشته... ادامه مطلب

ویجیاتو

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟