ظهرت ثغرة أمنية خطيرة في إضافة WordPress Popular Posts؛ والتي أثرت على أكثر من 100 ألف موقع. تكمن خطورة الثغرة في إتاحة حقن كود قصير (Shortcode) عشوائي من قبل المهاجمين دون الحاجة إلى حساب مستخدم على الموقع؛ ما يجعل الثغرة مُعرضة للاستغلال من أي مخترق على الإنترنت.
تفاصيل الثغرة
قيمت ووردفينس مستوى خطورة الثغرة بـ7.3 من 10، ,التي تؤثر على جميع إصدارات الإضافة حتى 7.1.0. وتعود أسباب الثغرة إلى طريقة استخدام وظيفة الكود القصير في ووردبريس، وتحديدًا دالة do_shortcode(). وهي الدالة المسؤولة عن معالجة وتنفيذ الأكواد القصيرة.
ولكن لا تكمن المشكلة في الدالة نفسها، بل في كيفية استخدام الإضافة لها. فالإضافة لم تُطبق الإجراءات الأمنية اللازمة لاستخدام الدالة؛ ما تسبب في وجود الثغرة واستغلالها من قبل المهاجمين. وتتضمن هذه الإجراءات الأمنية ضرورة فحص أي مدخلات قبل تنفيذها للتأكد من صحة وأمان الأكواد.
إضافة Popular Posts
تُقدم إضافة Popular Posts مزايا إنشاء قوائم للمنشورات أو المنتجات الشائعة على الموقع خلال فترة زمنية مُحددة، وتدعم أكثر من 16 لغةً مختلفةً. وتتضمن الإضافة لوحة تحكم لعرض إحصائيات الموقع ومتابعة المنشورات الرائجة. كما تتيح إمكانية ترتيب المنشورات الرائجة داخل القوائم وفقًا لعدد التعليقات أو عدد الزيارات.
ماذا يجب أن تفعل؟
إذا كنت تستخدم إضافة Popular Posts يجب تحديثها فورًا إلى إصدار 7.2.0 الذي أصلح هذه الثغرة الأمنية. وتأكد دائمًا من متابعة تحديث الإضافات بانتظام لتعزيز الأمان وتقليل مخاطر التعرض لأي ثغرات. وعمومًا، ننصح دائمًا بتقليل أعداد الإضافات التي تستخدمها في موقعك على ووردبريس.
