ظهرت ثغرة أمنية خطيرة تتجاوز المصادقة الثنائية في إضافة الأمان Really Simple Security بووردبريس. تملك تلك الإضافة أكثر من 4 مليون عملية تثبيت؛ كما تؤثر على الإصدارات المجانية والمدفوعة، ما عرض ملايين المواقع إلى خطر الاختراق.
تكمن خطورة الثغرة في أنها قد تمنح المهاجم وصولًا إداريًا كاملًا على المواقع المُتأثرة. ووصف Wordfence تلك الثغرة بأنها واحدة من أخطر الثغرات التي أُبلغ عنها خلال تاريخ ووردفينس الممتد لـ12 عامًا كمزود أمني للمواقع.
تُعد الإضافات – Plugins في ووردبريس أداة قيّمة لمصمم المواقع؛ إذ تقدم أدوات ومزايا مُخصصة ليتمكن كل مُستخدم من تخصيص موقعه وفقًا لاحتياجاته. لكن لا تأتي غالبية تلك الإضافات من ووردبريس نفسه، بل من مطورين خارجيين مسؤولين عن تطويرها والحفاظ على أمانها من الثغرات.
ثغرة أمنية حرجة لإضافة أمان بووردبريس!
أبلغت Wordfence عن تلك الثغرة في Really Simple Security والتي قيمت درجة خطورتها بـ9.8 من 10؛ يوضح ذلك التقييم مدى سهولة استغلال تلك الثغرة والخطورة الناتجة عنها. تتمثل الثغرة في دالة تُسمى check_login_and_get_user، المسؤولة عن التحقق من المُستخدم عند تفعيل خاصية المصادقة الثنائية.
يظهر الخلل البرمجي في تلك الدالة فقط عند تفعيل المصادقة الثنائية، ورغم أنها مُعطلة افتراضيًا في إضافة الأمان؛ فإن تفعيلها يجعل الموقع عرضة للاختراق بسهولة. وذلك من خلال استغلال الثغرة عبر إرسال المخترق طلب بسيط للوصول إلى حساب المستخدم المُستهدف.
فتحت الثغرة المُعرفة بـ CVE-2024-10924 بابًا من الممارسات الخطيرة؛ والتي تتضمن الحصول على كامل صلاحيات الموقع، حقن برمجيات خبيثة، إجراء تغييرات غير مصرح بها على المحتوى، شن هجمات على زوار الموقع، بالإضافة إلى استخدام الموقع في نشاطات إجرامية.
وأشار الباحث الأمني – إستفان مارتون – إلى أن تلك الثغرة يمكن برمجتها والتحكم بها آليًا؛ وذلك من خلال كتابة سكربتات أو أدوات آلية يمكنها استغلال الثغرة دون تدخل يدوي كبير من قِبل المخترقين.
ونتيجة لمستوى الخطورة المرتفع، تعاون الفريق المطور للإضافة مع WordPress.org لدفع تحديث إجباري للإضافة إلى المواقع التي تستخدم إصدارًا يتضمن الثغرة، وهي الإصدارات من 9.0.0 إلى 9.1.1.1، إذ تم تلقائيًا تحديث الإضافة إلى الإصدار 9.1.2 الذي أصلح الخلل، وذلك حتى في المواقع التي أوقفت التحديثات التلقائية.
ما هي إضافة Really Simple Security؟
تُعرف إضافة Really Simple Security على إنها إضافة «لتأمين مواقع ووربرديس»، وتتمتع بكونها خفيفة، حيث أنها لا تحتوي على أكواد زائدة أو مزايا غير ضرورية، بالإضافة إلى أنها سهلة الاستخدام؛ إذ يمكن إعدادها في أقل دقيقة. كما تقدم الإضافة أدوات قوية موجهة للأمان دون التأثير على أداء وسرعة الموقع.
وتوفر الإضافة مزايا الأمان الأساسية، كشهادة SSL التي تتيح تحويل الموقع إلى بروتوكول HTTPS بسهولة. كما تعمل الإضافة على تعزيز أمان الموقع بعدة إجراءات، منها منع تنفيذ الأكواد الضارة في مجلدات التحميل، وفرض قيود على أسماء المستخدمين، مثل منع اسم “admin”.
تحتوي الإضافة أيضًا على أداة تنبيه لكشف الثغرات الأمنية في الإضافات والقوالب أو منصة ووردبريس الأساسية. كما أنها تقدم حماية عالية لعملية تسجيل الدخول لنسخة Really Simple Security Pro المدفوعة، والتي تمكنت الثغرة منها أيضًا. والتي تتضمن «المصادقة الثنائية» وفرض كلمات مرور قوية، وتقييد عدد محاولات تسجيل الدخول مع إمكانية إضافة CAPTCHA بعد عدة محاولات فاشلة.
ماذا يجب أن تفعل؟
إذا كنت تستخدم Really Simple Security في موقعك، ننصحك بالتأكد من تحديثها إلى الإصدار الأخير 9.1.2 الذي تم فيه معالجة الثغرة، ثم بعد ذلك، فإذا كنت تستخدم الإضافة من أجل إضافة شهادة SSL، فيفضل أن تستغني عنها وتكوِّن SSL عبر إعدادات الاستضافة أو الخادم أو تعتمد على استضافة تتضمن شهادة SSL مدمجة مثل Cloudways.
وفي حال كنت تستخدم الإضافة لأغراض الحماية من الثغرات الأمنية وتحسين الأمان عبر جدار الحماية، فتستطيع الاستمرار باستخدامها حاليًا دون قلق، لكن في حال اكتشاف أي ثغرات إضافية حرجة كهذه مستقبلًا، فسيكون من الأفضل أن تبحث وتعتمد إضافة أخرى ذات تاريخ أنظف أمنيًا مثل أحد البدائل التي راجعناها في مقال (مراجعة أفضل إضافات حماية ووردبريس بناءًا على تجارب الخبراء).
عمومًا من الأنسب دائمًا تقليل عدد الإضافات المستخدمة في ووردبريس، والحرص على اعتماد أكثر الإضافات أمانًا من مصادر موثوقة، مثل المستودع الرسمي، إذ سيضمن ذلك تقليل عدد الثغرات الأمنية في موقعك إلى الحد الأدنى، ويسمح لك بتلقي التحديثات الأمنية بسرعة.