وردپرس اخیراً به اجبار وصله ای را روی بیش از پنج میلیون وب سایت نصب کرده است تا آنها را از یک نقص جدید و با شدت بالا در امان نگه دارد.
این نقص در Jetpack، یکی از محبوبترین افزونههای سازنده وبسایت معروف، که امنیت، عملکرد و قابلیتهای مدیریت وبسایت بیشتری را ارائه میدهد، پیدا شد.
طبق گفته شرکت مادر وردپرس Automattic، این افزونه بیش از پنج میلیون نصب فعال دارد و مدیران از آن برای پشتیبانگیری از سایتهای خود، محافظت در برابر حملات brute-force، اسکن حملات بدافزار و موارد دیگر استفاده میکنند.
اکثر سایت های وردپرس ایمن شده اند
جرمی هرو، مهندس روابط توسعهدهنده خودکار، گفت:
در طول ممیزی امنیت داخلی، ما یک آسیبپذیری در API موجود در Jetpack از نسخه 2.0 که در سال 2012 منتشر شد، پیدا کردیم. این آسیبپذیری میتواند توسط نویسندگان یک سایت برای دستکاری هر فایلی در نصب وردپرس استفاده شود.
طبق دادههای رسمی وردپرس، از 30 می، Jetpack 12.1.1 در بیش از 4،350،000 وبسایت دانلود و نصب شد. این تقریباً 45٪ از کل اکوسیستم وردپرس را تشکیل می دهد. به این معنی که تقریباً 55٪ بدون محافظت باقی می ماند. برای جلوگیری از سردرگمی، این شامل نصبهای فعال و غیرفعال میشود. به نظر می رسد اکثر وب سایت های فعال وصله شده اند.
هرو گفت که هیچ مدرکی مبنی بر سوء استفاده از این نقص در طبیعت وجود ندارد. و همچنین اظهار داشت که اکنون احتمالاً زمانی که آسیبپذیری در معرض عموم قرار گیرد، تغییر خواهد کرد..
ما هیچ مدرکی مبنی بر سوء استفاده از این آسیب پذیری در طبیعت نداریم. با این حال، اکنون که این به روز رسانی منتشر شده است، ممکن است کسی سعی کند از این آسیب پذیری سوء استفاده کند.
لطفاً نسخه Jetpack خود را در اسرع وقت به روز کنید تا از امنیت سایت خود اطمینان حاصل کنید. برای کمک به شما در این فرآیند، ما از نزدیک با تیم امنیتی WordPress.org همکاری کرده ایم تا نسخه های اصلاح شده هر نسخه از Jetpack را از نسخه 2.0 منتشر کنیم. بیشتر وبسایتها بهطور خودکار به یک نسخه امن بهروزرسانی میشوند یا به زودی بهروزرسانی میشوند.
آخرین آپدیت اجباری
آخرین باری که وردپرس یک بهروزرسانی بزرگ را به اجبار نصب کرد، تقریباً یک سال پیش بود. در ژوئن 2022، زمانی که یک نقص شدید در فرمهای نینجا را برطرف کرد. این افزونه که در آن زمان بیش از یک میلیون نصب داشت، به عوامل تهدید بالقوه اجازه داد تا به طور کامل یک وب سایت آسیب پذیر را تصرف کنند.
محققان در آن زمان می گفتند برخلاف آسیب پذیری Jetpack، نقص Ninja Forms در طبیعت مورد سوء استفاده قرار می گرفت. از کاربران خواسته شد مطمئن شوند که افزونه آنها به نسخه 3.6.11 به روز شده است. در صورتی که به هر دلیلی به روز رسانی خودکار ناموفق باشد.