أكثر من مليون موقع ووردبرس للخطر بسبب العيوب في المكوّن الإضافي لمحركات البحث الاجتماعي الأكثر شعبية

أكثر من مليون موقع WordPress التي تستخدم مكونًا شائعًا إضافيًا لتحسين نتائج محرك البحث معرضة لخطر الاختراق إذا لم يتم تطبيق تصحيح تم إصداره مؤخرًا.

يحتوي المكوّن الإضافي SEO لـ WordPress الذي طورته شركة Yoast الهولندية لتحسين المواقع على ثغرة أمنية تسمح للمهاجمين بالتعامل مع قاعدة بيانات الموقع وإضافة حسابات إدارية مارقة.

تم اكتشاف ما يعرف باسم ثغرة حقن SQL المكفولة بواسطة Ryan Dewhurst ، وهو أمان الباحث والمطور المشترك للثغرة الأمنية WPScan. يؤثر الخلل في الإصدارات 1.7.3.3 والأقدم من SEO من WordPress بواسطة Yoast.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

نظريًا ، يتطلب استغلال الخلل المصادقة. ومع ذلك ، نظرًا لعدم وجود حماية للتزوير عبر المواقع (CSRF) ، يمكن للمهاجم استغلال الثغرة من خلال خداع مسؤول أو مشرف محرر أو كاتب موثوق به يشبه المستخدم ، انقر على رابط تم إعداده خصيصًا أو لزيارة صفحة ضارة ، وقال Dewhurst في تقرير استشاري.

هجوم CSRF ينطوي على إجبار متصفح المستخدم لتنفيذ إجراء غير مصرح به على موقع طرف ثالث عندما يزور المستخدم صفحة الويب التي يسيطر عليها مهاجم. يجب أن تقوم مواقع الويب بتطبيق آليات حماية خاصة لمنع مثل هذه الهجمات.

خاطب يوست العيب يوم الأربعاء بإصدار الإصدار 1.7.4 من المكوّن الإضافي SEO و WordPress المجاني والإصدار 1.5.3 من المتغير التجاري للمنتج ، والذي تأثر أيضًا.

تم تنزيل المكوّن الإضافي الإضافي SEO من WordPress أكثر من 14.2 مليون مرة. ووفقًا لإحصاءات WordPress الرسمية ، فإن لديها أكثر من مليون منشأة نشطة ، مما يجعلها ليست واحدة فقط من أشهر المكونات الإضافية لمحرك البحث الأمثل (SEO) ، ولكنها واحدة من أكثر المكونات الإضافية الشائعة في WordPress.