آخرین آپدیت وردپرس رمز عبور کاربران وبسایت‌ها را فاش می‌کند

بعد از گذشت مدت‌ها وردپرس چندی پیش آخرین نسخه‌ی بروزرسانی عمده‌ی خود را منتشر کرد. این بروزرسانی با نسخه‌ی 5.0 دارای ۷ مشکل اساسی بود که یکی از آن‌ها می‌توانست منجر به سرقت رفتن کل وبسایت شود. روز گذشته وردپرس یک آپدیت امنیتی برای اپلیکیشن مدیریت محتوای خود منتشر کرد که ۷ مشکل اساسی یاد شده را حل می‌کند، اما یک حفره‌ی امنیتی قابل توجه را برجای می‌گذارد.

نسخه‌ی 5.0.1 وردپرس به برخی افراد اجازه می‌دهد تا با انجام جست و جو‌هایی خاص در گوگل بتوانند به رمز عبور مورد استفاده‌ی برخی از کاربران در وبسایت‌هایی که از وردپرس استفاده می‌کنند دسترسی داشته باشند. این مشکل توسط تولید کنندگان پلاگین معروف Yoast SEO پیدا شده است.

اگر یکی از افرادی که دسترسی به رمز عبورش از طریق گوگل امکان پذیر باشد به عنوان ادمین در یک وبسایت فعالیت کند، آنوقت امکان دارد آسیب‌های جبران ناپذیری به سایت‌هایی که از وردپرس استفاده می‌نمایند وارد شود.

البته وردپرس سعی کرده برخی از مشکلات موجود در اپلیکیشن مدیریت محتوای خود را حل کند. پیش از این وردپرس اجازه می‌داد تا فایل‌ها با هر پسوندی که دارند روی دیتابیس آپلود شوند. موضوعی که حالا با بروزرسانی جدید حل شده و حتما باید پسوند‌ فایل‌های آپلود شده متناسب با نوع آپلود باشد.

علاوه بر این تیم وردپرس تاییدیه‌ی MIME را بهبود داده است. این اتفاق بعد از آن رخ می‌دهد که دو نفر از محققان امنیتی به نام‌های «تیم کوئن» و «اسلاوکو» متوجه شدند که سایت‌هایی که توسط آپاچی میزبانی می‌شوند می‌توانند با ساخت فایل‌هایی خاص تاییدیه‌ی MIME را دور بزنند. موضوعی که منجر به آسیب پذیر بودن وبسایت‌ها می‌شد.

الگو‌های MIME به مرورگر وب کمک می‌کنند تا بداند چگونه محتوا را تفسیر کند تا به عنوان مثال با یک تصویر گرافیکی به صورت یک گرافیک رفتار شود یا یک فایل با پسوند wav به عنوان صوت پخش شود. در برخی از حملات سعی می‌شود تا فایل‌های مخرب را با دروغ گفتن به الگوی MIME وارد سیستم قربانی کنند.

یکی دیگر از مشکلاتی که وردپرس آن را حل کرده است مربوط به دو باگی می‌شود که توسط RIPS تکنولوژی گزارش شده بود. یکی از باگ‌ها به برخی از مدیران وبسایت اجازه می‌داد تا با دستکاری کردن متا دیتا، برخی از فایل‌هایی که اجازه‌ی حذف کردنشان را ندارند را حذف کنند. باگ دوم به نویسندگان اجازه می‌داد تا پست‌هایی درج نمایند که اجازه‌اش را ندارند.

به طور حتم وردپرس به دنبال حل حفره‌ی امنیتی جدیدی است که در آپدیت جدید خود منتشر کرده. بنابراین اگر نگران وبسایت خود هستید بهتر است چند روزی صبر کنید تا این مشکل نیز به طور کامل حل گردد.

مطالب مرتبط

هکرها ۵۰۰ هزار رمز عبور تجهیزات شبکه و اینترنت اشیاء را فاش کردند

اخیرا هکری ناشناس لیستی متشکل از ۵۱۵ هزار آدرس IP به همراه نام‌کاربری و کلیدواژه کاربران تل نت را افشا کرده است. محتویات این لیست، شامل سرورها، روترهای خانگی و گجت‌های اینترنت اشیاء است.با کمک داده‌های افشا شده که در این لیست موجود است، هر شخصی می‌تواند از راه دور آن‌ها را کنترل کرده و... ادامه مطلب

آسیب‌پذیری خطرناک پلاگین وردپرس کنترل سایت را در اختیار هکرها قرار می‌دهد

باگ پلاگین Database Reset وردپرس آنقدر ابتدایی است که هکر به سادگی می تواند کنترل سایت های آسیب پذیر را در دست گرفته و وبمسترها را به دردسر بیندازند.پلاگین Database Reset به کاربران اجازه می دهد بدون نیاز به پروسه های استاندارد وردپرس پایگاه داده را به صورت کامل یا بر اساس جداول خاصی بازنشانی... ادامه مطلب

چرا اینترنت کوانتومی را باید در فضا توسعه داد؟

اینترنت کوانتومی یکی از رؤیاهای طرفداران تکنولوژی بوده و در آن با بهره برداری از خصوصیات کوانتومی عجیب فوتون ها و الکترون ها، پیام ها به شکل کاملاً امن ارسال می شوند.خصوصیت فوق سبب می شود تا دولت ها، ارتش ها، بانک ها و مؤسسات مالی برای امن کردن تمام امورات خود از جمله قراردادها... ادامه مطلب

دلیل افشای تصاویر دوربین های امنیتی شیائومی چه بود؟

دوربین های امنیتی شیائومی به واسطه کارایی مطلوب و قیمت مقرون به صرفه طرفداران زیادی برای خود دست و پا کرده اند اما اخیرا باگ های وحشتناکی در آن ها رویت شد که امنیت این دستگاه ها را زیر سوال می برد.یکی از کاربران ردیت تصاویری را در این سایت پست کرده که حاکی از... ادامه مطلب

گوگل دسترسی محصولات شیائومی به نست هاب را به خاطر باگ امنیتی قطع کرد

گوگل پس از گزارش یکی از کاربران مبنی بر مشاهده تصاویری از خانه افراد غریبه، دسترسی دیوایس های شیائومی به گوگل نست هاب و گوگل اسیستنت را قطع کرد.یکی از کاربران سایت ردیت گزارش کرد که حین تلاش برای استریم ویدیو از دوربین نظارتی Xiaomi Mijia 1080p Smart IP به گوگل نست هاب، با تصاویری... ادامه مطلب

مایکروسافت 50 دامنه مربوط به هکرهای کره شمالی را از دسترس خارج کرد

مایکروسافت 50 دامنه را که توسط هکرهای کره شمالی برای اقدامات خرابکارانه مورد استفاده قرار می گرفتند از دسترس خارج کرد.غول نرم افزاری می گوید یک گروه هکری به نام Thallium (که با نام APT37 نیز شناخته می شود)، از 50 دامنه مذکور برای حملات سایبری استفاده می کرده است. مایکروسافت ادامه می دهد که... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟