
۲۷ آسیبپذیری جدید کشفشده در افزونههای وردپرس (۲۰۲۲)
در این مقاله میخوانید
این روزها حملات سایبری به پدیدهای عادی تبدیل شده است و تقریباً هرهفته سرتیتر اخبار قرار میگیرد. گاهی اوقات، گروههای بزرگ یا سازمانها فهرستی از آسیبپذیریهای سازمانهای دیگر مانند وردپرس را منتشر میکنند. بیشتر وقتها نیز، ممکن است گروهی از هکرها CMSهای محبوب یا ابزارهای آنها را هدف قرار دهند. حتی اسکریپتی کوچک با استفاده از ابزارهای آنلاین میتواند از آسیبپذیریهای کشفشده سوءاستفاده کند و به زیرساختهای شما صدمه بزند. کاربران و سیستمهای متنباز مانند وردپرس ازجمله اهداف عمومی این هکرها هستند.
با افزایش آسیبپذیریهای وردپرس و افزونههای آن، تأمین امنیت از هر زمان دیگری اهمیت بیشتری پیدا کرده است. در این مقاله، گزارش کاملی از آسیبپذیریهای وردپرس در ماههای اخیر را جمعآوری و ارائه کردهایم. اگر به امنیت وردپرس خود اهمیت میدهید، پیشنهاد میکنیم تا پایان مقاله با ما همراه باشید.
دلیل اصلی آسیبپذیری وردپرس چیست؟
افزونهها و پوستههای آسیبپذیر دلیل اصلی هکشدن وبسایتهای وردپرسی هستند. گفتنی است که هر آسیبپذیریای درجه اهمیت کم، متوسط، زیاد یا بحرانی دارد. افشای گزارش آسیبپذیریهای وردپرس بخشی جداییناپذیر از ایمن نگهداشتن وردپرس است. درادامه مقاله، برخی از آسیبپذیریهای وردپرس را معرفی میکنیم.
آسیبپذیریهای اصلی وردپرس
۱. هسته وردپرس
- آسیبپذیری: حمله Cross-Site Scripting یا XSS در بخش ورود به وردپرس و ثبتنام در آن و ورود SQLi ازطریق لینک API
- درجه اهمیت: کم
- رفعشده در نسخه: ۶.۰۲
- توضیحات: این آسیبپذیری اصلاح شده است. حتماً وردپرس خود را به نسخه ۶.۰۲ یا جدیدتر بهروزرسانی کنید. در این نسخه ۱۲ مشکل مرتبط با هسته و ۵ مشکل مرتبط با ویرایشگر بلوک و ۳ مشکل مرتبط با امنیت رفعشده است. بهروزرسانی یادشده از نوع بهروزرسانیهای امنیتی است.
۲. حذف پشتیبانی امنیتی برای نسخه ۳.۷ تا ۴.۰ وردپرس
- آسیبپذیری: بهروزرسانینشدن امنیتی برای نسخههای ۳.۷ تا ۴.۰
- درجه اهمیت: زیاد
- توضیحات: وردپرس دیگر برای نسخههای ۳.۷ تا ۴.۰ بهروزرسانی امنیتی منتشر نمیکند و درصورت مشاهده، مشکل امنیتی دیگر رفع نخواهد شد. مطمئن شوید که نسخه وردپرس شما جدیدتر از ۴.۰ باشد.

آسیبپذیریهای وردپرس شامل چه مواردی هستند؟
آسیبپذیری افزونههای وردپرس
در این بخش، جدیدترین آسیبپذیریهای افزونههای وردپرس را آوردهیم. هر آسیبپذیری شامل اطلاعات کاملی درباره نوع آسیبپذیری، نصبهای فعال، نسخه آسیبپذیر و اصلاحشده است.
۱. افزونه Wordfence
- افزونه: Wordfence Security – Firewall & Malware Scan
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۴میلیون بار
- رفعشده در نسخه: ۷.۶.۱
- توضیحات: این آسیبپذیری در نسخه ۷.۶.۱ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مشکل افزونه وردفنس چیست؟
۲. افزونه BackupBuddy
- افزونه : BackupBuddy
- آسیبپذیری: دسترسی غیرمجاز به فایلها
- درجه اهمیت: زیاد
- رفعشده در نسخه: ۸.۷.۵
- توضیحات: این آسیبپذیری در نسخه ۸.۷.۵ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آسیپپذیری افزونه وردپرس BackupBuddy چیست؟
۳. افزونه Booking Calendar
- افزونه: Booking Calendar
- آسیبپذیری: بهروزرسانی دلخواه مفسر CSRF
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۶۰هزار بار
- رفعشده در نسخه: ۹.۲.۲
- توضیحات: این آسیبپذیری در نسخه ۹.۲.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

نصب Booking Calendar چه مشکلی بهوجود میآورد؟
۴. افزونه DSGVO All in one for WP
- افزونه: DSGVO All in one for WP
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۲۰هزار بار
- رفعشده در نسخه: ۴.۲
- توضیحات: این آسیبپذیری در نسخه ۴.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آیا نصب پلاگین DSGVO All in one for WP برای وبسایت خطرناکه؟
۵. افزونه WP Socializer
- افزونه: WP Socializer – Simple & Easy Social Media Share Icons
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۴میلیون بار
- رفعشده در نسخه: ۷.۳
- توضیحات: این آسیبپذیری در نسخه ۷.۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

چرا باید WP Socializer را نصب نکنیم؟
۶. افزونه Goolytics – Simple Google Analytics
- افزونه: Goolytics – Simple Google Analytics
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۷هزار بار
- رفعشده در نسخه: ۱.۱.۲
- توضیحات: این آسیبپذیری در نسخه ۱.۱.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آیا افزونه Goolytics خوبه؟
۷. افزونه Donation Thermometer
- افزونه: Donation Thermometer
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۳هزار بار
- رفعشده در نسخه: ۲.۱.۳
- توضیحات: این آسیبپذیری در نسخه ۲.۱.۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مشکلات افزونه Donation Thermometer چیست؟
۸. افزونه Frontend File Manager
- افزونه: Frontend File Manager Plugin
- آسیبپذیری: تغییر نام فایلها و آپلود خودسرانه آنها
- درجه اهمیت: بحرانی
- تعداد نصب: بیش از ۲هزار بار
- رفعشده در نسخه: ۲۱.۳
- توضیحات: این آسیبپذیری در نسخه ۲۱.۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

Frontend File Manager نام فایل را خودبهخود تغییر میدهد!
۹. افزونه Zephyr Project Manager
- افزونه: Zephyr Project Manager
- آسیبپذیری: فراخوانی غیرمجاز AJAX با XSS ذخیرهشده
- درجه اهمیت: زیاد
- تعداد نصب: بیش از هزار بار
- رفعشده در نسخه: ۳.۲.۵۵
- توضیحات: این آسیبپذیری در نسخه ۳.۲.۵۵ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونه مدیریت پروژه زفایر
۱۰. افزونه SVG Support
- افزونه: SVG Support
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش نویسندگان
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۱میلیون بار
- رفعشده در نسخه: ۲.۵
- توضیحات: این آسیبپذیری در نسخه ۲.۵ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونه SVG Support برای اضافهکردن فایل SVG
۱۱. افزونه NinjaForms
- افزونه: Ninja Forms Contact Form – The Drag and Drop Form Builder for WordPress
- آسیبپذیری: مشکل PHP Objection Injection در بخش Admin
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۹۰۰هزار بار
- رفعشده در نسخه: ۳.۶.۱۳
- توضیحات: این آسیبپذیری در نسخه ۳.۶.۱۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونه نینجا فرم برای چیست؟
۱۲. افزونه Post SMTP
- افزونه: Post SMTP Mailer/Email Log
- آسیبپذیری: SSRF در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۳۰هزار بار
- رفعشده در نسخه: ۲.۱.۷
- توضیحات: این آسیبپذیری در نسخه ۲.۱.۷ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آسیبپذیری وردپرس با افزونه Post SMTP
۱۳. افزونه Beaver Builder
- افزونه: Beaver Builder – WordPress Page Builder
- آسیبپذیری: آسیبپذیری XSS ازطریق ویرایشگر متن، XSS ازطریق احراز هویت، XSS ازطریق Caption On Hover و XSS ازطریق URL تصاویر
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۲۰هزار بار
- رفعشده در نسخه: ۲.۵.۵.۳
- توضیحات: این آسیبپذیری در نسخه ۲.۵.۵.۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مشکلات افزونه Beaver Builder
۱۴. افزونه Download Manager
- افزونه: Download Manager
- آسیبپذیری: دسترسی به File/Folder ازطریق Path Traversal در بخش Admin
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۱۰۰هزار بار
- رفعشده در نسخه: ۳.۲.۵۵
- توضیحات: این آسیبپذیری در نسخه ۳.۲.۵۵ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونه دانلود منیجر وردپرس چه آسیبپذیری دارد؟
۱۵. افزونه Restricted Site Access
- افزونه: Restricted Site Access
- آسیبپذیری: آسیبپذیری Bypass ازطریق IP Spoofing
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۲۰هزار بار
- رفعشده در نسخه: ۷.۳.۲
- توضیحات: این آسیبپذیری در نسخه ۷.۳.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونه محدودسازی سطح دسترسی کاربران چه مشکلاتی بهوجود میآورد؟
۱۶. افزونه Image Hover Effects Ultimate
- افزونه: Image Hover Effects Ultimate (Image Gallery, Effects, Lightbox, Comparison or Magnifier
- آسیبپذیری: حمله XSS
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۲۰هزار بار
- رفعشده در نسخه: ۹.۸.۰
- توضیحات: این آسیبپذیری در نسخه ۹.۸.۰ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

حمله XSS در افزونه هاور تصاویر وردپرس
۱۷. افزونه Simple File List
- افزونه: Simple File List
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۵هزار بار
- رفعشده در نسخه: ۴.۴.۱۲
- توضیحات: این آسیبپذیری در نسخه ۴.۴.۱۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مشکل Cross-Site Scripting در افزونه ایجاد لیست (Simple File List)
۱۸. افزونه Slider Hero
- افزونه: Slider Hero with Animation, Video Background
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۴هزار بار
- رفعشده در نسخه: ۸.۴.۴
- توضیحات: این آسیبپذیری در نسخه ۸.۴.۴ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آسیبپذیریهای کشفشده افزونه Slider Hero
۱۹. افزونه Generate PDF using Contact Form 7
- افزونه: Generate PDF using Contact Form 7
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- تعداد نصب: بیش از ۲هزار بار
- رفعشده در نسخه: ۳.۶
- توضیحات: این آسیبپذیری در نسخه ۳.۶ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

رایجترین آسیبپذیری وردپرس چیست؟
۲۰. افزونه CM Download Manager
- افزونه: CM Download Manager
- آسیبپذیری: آپلود فایل دلخواه در بخش Admin
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۵۰۰ بار
- رفعشده در نسخه: ۲.۸.۶
- توضیحات: این آسیبپذیری در نسخه ۲.۸.۶ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مسائل امنیتی در وردپرس
۲۱. افزونه OAuth client Single Sign On for WordPress
- افزونه: OAuth client Single Sign On for WordPress ( OAuth 2.0 SSO
- آسیبپذیری: نقص Bypass در احراز هویت برای دورزدن آن
- درجه اهمیت: بحرانی
- تعداد نصب: بیش از ۱۰۰ بار
- رفعشده در نسخه: ۳.۰.۴
- توضیحات: این آسیبپذیری در نسخه ۳.۰.۴ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آسیبپذیری افزونههای وردپرس
۲۲. افزونه WP Cerber Security
- افزونه: WP Cerber Security, Anti-spam & Malware Scan
- آسیبپذیری: نقص Bypass ازطریق نام کاربری
- درجه اهمیت: متوسط
- تعداد نصب: بیش از هزار بار
- رفعشده در نسخه: ۹.۱
- توضیحات: این آسیبپذیری در نسخه ۹.۱ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

مهمترین آسیبپذیریهای اخیر وردپرس
۲۳. افزونه Wordlift
- افزونه: WordLift – AI powered SEO – Schema
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- رفعشده در نسخه: ۳.۳۷.۲
- توضیحات: این آسیبپذیری در نسخه ۳.۳۷.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

افزونههای آسیبپذیر وردپرس
۲۴. افزونه Ldap WP Login / Active Directory Integration
- افزونه: Ldap WP Login / Active Directory Integration
- آسیبپذیری: نقص Bypass در سیستم احراز هویت برای دورزدن آن
- درجه اهمیت: بحرانی
- رفعشده در نسخه: ۳.۰.۲
- توضیحات: این آسیبپذیری در نسخه ۳.۰.۲ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

نقص Bypass در سیستم احراز هویت پلاگین Ldap WP Login / Active Directory Integration
۲۵. افزونه Scripts Organize
- افزونه: Scripts Organize
- آسیبپذیری: نقص فایلهای آپلودشده
- درجه اهمیت: بحرانی
- رفعشده در نسخه: ۳.۰
- توضیحات: این آسیبپذیری در نسخه ۳.۰ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

پلاگین Scripts Organize قوانین فایلهای آپلودشده را نقض میکند!
۲۶. افزونه All-in-One WP Migration
- افزونه: All-in-One WP Migration
- آسیبپذیری: نقص XSS ازطریق احراز هویت
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۴میلیون بار
- رفعشده در نسخه: ۷.۶۳
- توضیحات: این آسیبپذیری در نسخه ۷.۶۳ اصلاح شده است. لطفاً افزونه خود را بهروزرسانی کنید.

آسیبپذیری XSS در پلاگین All-in-One WP Migration
آسیبپذیریهای اصلاحنشده وردپرس
این بخش آسیبپذیریهایی را بیان میکند که هیچ راهحلی برایشان وجود ندارد. تا زمانیکه بهروزرسانی برای این آسیبپذیریها منتشر نشود، نمیتوان از آن افزونهها استفاده کرد.
۱. افزونه Ketchup Restaurant Reservations
- افزونه: Ketchup Restaurant Reservations
- آسیبپذیری: XSS ذخیرهشده و احراز هویت نشده و SQLi تأییدنشده
- درجه اهمیت: زیاد
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۲. افزونه CallRail Phone Call Tracking
- افزونه: CallRail Phone Call Tracking
- آسیبپذیری: مشکل XSS ازطریق ذخیره CSRF
- درجه اهمیت: متوسط
- تعداد نصب: بیش از ۲۰هزار بار
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۳. افزونه MP3 jPlayer
- افزونه: MP3-jPlayer
- آسیبپذیری: CSRF چندگانه
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۴. افزونه SEO Smart Links
- افزونه: SEO Smart Links
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS در بخش Admin
- درجه اهمیت: کم
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۵. افزونه Easy Org Chart
- افزونه: Easy Org Chart
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۶. افزونه WP Popup Builder
- افزونه: WP Popup Builder – Popup Forms , Marketing PoPuP & Newsletter
- آسیبپذیری: حذف خودسرانه پنجرههای پاپآپ و مشکل Cross-Site Scripting یا XSS
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۷. افزونه Bitcoin / Altcoin Faucet
- افزونه: Bitcoin / Altcoin Faucet
- آسیبپذیری: بهروزرسانی تنظیمات CSRF ازطریق XSS
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۸. افزونه Login Block IPs
- افزونه: Login Block IPs
- آسیبپذیری: بهروزرسانی تنظیمات دلخواه ازطریق CSRF
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
۹. افزونه Simple Bitcoin Faucets
- افزونه: Bitcoin Satoshi Tools : Faucets, Visitor Rewarder, Satoshi Games, Referral Program
- آسیبپذیری: مشکل Cross-Site Scripting یا XSS
- درجه اهمیت: متوسط
- توضیحات: این آسیبپذیری اصلاح نشده است و از افزونه دیگر نمیتوان استفاده کرد؛ ازاینرو، باید آن را غیرفعال و حذف کنید.
جمعبندی
وردپرس سیستمی جهانی است که بهشدت درمعرض حمله هکرها قرار دارد. افزونهها و هسته وردپرس نیز از این قاعده مستثنا نیستند و روزانه با حمله هکرها مواجه میشوند. درمقابل، نکته مهم این است که افزونهها و هسته وردپرس دائماً در حال بهروزرسانی و مقابله با آسیبپذیریها هستند. در این مقاله از آموزش وردپرس، فهرستی از آسیبپذیریهای وردپرس را آورداهیم. شما باید به نوع آسیبپذیریها و نسخههای اصلاحشده آنها دقت کنید و وبسایتتان را بهروز نگه دارید تا درمعرض حمله هکرها قرار نگیرید.
سؤالات متداول
۱. آسیبپذیریهای وردپرس چیست؟
برخی از وبسایتهای وردپرسی دربرابر حملات آسیبپذیر هستند و افزونهها و تمها و نرمافزار اصلی قدیمی ممکن است دلیل هکشدن یا آسیبپذیربودن وبسایت شما باشند.
۲. رایجترین آسیبپذیریهای وردپرس چیست؟
- رمزهای عبور ضعیف
- بدافزار
- اسکریپت بینسایتی (XSS)
- نرمافزارها و افزونهها و پوستههای قدیمی
- حملات انکار سرویس توزیعشده (DDoS)
- تزریق ساختار کوئری (SQL)
- بهینهسازی موتورهای جستوجو (SEO) هرزنامه
۳. آیا وردپرس خطر امنیت دارد؟
پلتفرم وردپرس سیستمی امن است که دائماً در حال بهروزرسانی است؛ بنابراین، توصیه میکنیم که وردپرس خود را دائماً بهروزرسانی کنید و از افزونههای قدیمی و غیرکاربردی نیز استفاده نکنید.
۴. آیا وردپرس بهراحتی هک میشود؟
تمام وبسایتهای موجود در اینترنت دربرابر حملات هکرها آسیبپذیرند. دلیل اینکه وبسایتهای وردپرس ازجمله اهداف رایج هستند، این است که وردپرس محبوبترین سازنده وبسایت در جهان است؛ بهطوریکه بیش از صدهامیلیون وبسایت در جهان از وردپرس استفاده میکنند.