ينشر WordPress تحديثًا أمنيًا إجباريًا لخلل خطير في البرنامج المساعد الشهير

اتخذ فريق أمان WordPress خطوة نادرة الأسبوع الماضي واستخدم قدرة داخلية أقل شهرة لدفع تحديث أمني قسريًا لمكوِّن إضافي شائع.

تم تحديث مواقع WordPress التي تشغل المكون الإضافي Loginizer قسريًا هذا الأسبوع إلى إصدار Loginizer 1.6.4.

احتوى هذا الإصدار على إصلاح أمني لخلل حقن SQL خطير كان من الممكن أن يسمح للقراصنة بالسيطرة على مواقع WordPress التي تشغل إصدارات أقدم من المكون الإضافي Loginizer .

يعد Loginizer واحدًا من أكثر ملحقات WordPress شيوعًا اليوم ، مع قاعدة تثبيت تضم أكثر من مليون موقع.

يوفر المكون الإضافي تحسينات أمنية لصفحة تسجيل الدخول إلى WordPress. وفقًا لوصفه الرسمي ، يمكن لـ Loginizer إدراج عنوان IP في القائمة السوداء أو القائمة البيضاء من الوصول إلى صفحة تسجيل الدخول إلى WordPress ، أو إضافة دعم للمصادقة الثنائية ، أو يمكنه إضافة اختبارات CAPTCHA بسيطة لمنع محاولات تسجيل الدخول التلقائية ، من بين العديد من الميزات الأخرى.

 اكتشاف حقن SQL في برنامج تسجيل الدخول

هذا الأسبوع ، كشف الباحث الأمني ​​Slavco Mihajloski عن ثغرة خطيرة في المكون الإضافي Loginizer.

وفقًا للوصف الذي توفره قاعدة بيانات WPScan WordPress للثغرات الأمنية ، فإن الخطأ الأمني ​​موجود في آلية الحماية من القوة الغاشمة لـ Loginizer ، والتي يتم تمكينها افتراضيًا لجميع المواقع التي تم تثبيت Loginizer عليها.

لاستغلال هذا الخطأ ، يمكن للمهاجم محاولة تسجيل الدخول إلى موقع WordPress باستخدام اسم مستخدم WordPress مشوه حيث يمكنه تضمين عبارات SQL.

عندما تفشل المصادقة ، سيقوم المكون الإضافي Loginizer بتسجيل هذه المحاولة الفاشلة في قاعدة بيانات موقع WordPress ، إلى جانب اسم المستخدم الفاشل.

ولكن كما أوضح Slavco و WPScan ، لا يقوم المكون الإضافي بتعقيم اسم المستخدم ويترك عبارات SQL كما هي ، مما يسمح للمهاجمين عن بُعد بتشغيل التعليمات البرمجية ضد قاعدة بيانات WordPress - فيما يشير إليه باحثو الأمن على أنه هجوم حقن SQL غير مصدق.

"إنه يسمح لأي مهاجم غير مصدق بخرق موقع WordPress بالكامل" ، كما قال رايان ديوهورست ، المؤسس والرئيس التنفيذي لشركة WPScan ، في رسالة بريد إلكتروني اليوم.

أشار Dewhurst أيضًا إلى أن Mihajloski قدم نصًا بسيطًا لإثبات المفهوم في كتابة مفصلة نُشرت في وقت سابق اليوم.

قال ديوهورست: "هذا يسمح لأي شخص لديه بعض مهارات سطر الأوامر الأساسية بخرق موقع WordPress بشكل كامل".

يتلقى التحديث الإجباري PLUGIN ردة فعل علنية

يعد الخطأ أحد أسوأ مشكلات الأمان التي تم اكتشافها في مكونات WordPress الإضافية في السنوات الأخيرة ، ولهذا السبب يبدو أن فريق أمان WordPress قد قرر دفع التصحيح Loginizer 1.6.4 بالقوة إلى جميع المواقع المتأثرة.

Dewhurst أن ميزة "التحديث الإجباري للمكوِّن الإضافي" كانت موجودة في قاعدة بيانات WordPress منذ الإصدار 3.7 ، الذي تم إصداره في عام 2013 ؛ ومع ذلك ، فقد تم استخدامه نادرًا جدًا.

قال Dewhurst: "تم تحديث الثغرة التي اكتشفتها بنفسي في المكون الإضافي Yoast SEO WordPress الشهير في عام 2015. على الرغم من أن النقطة التي اكتشفتها لم تكن بنفس خطورة تلك التي اكتشفتها في المكون الإضافي Loginizer WordPress".

وأضاف مؤسس WPScan: "لست على علم بأي [حالات أخرى تتعلق بتحديثات إضافية للمكونات الإضافية] ، ولكن من المحتمل جدًا وجود حالات أخرى".

ولكن هناك سبب لعدم استخدام فريق أمان WordPress لهذه الميزة لجميع نقاط الضعف في المكونات الإضافية ويستخدمها فقط للأخطاء السيئة.

بمجرد أن بدأ التصحيح Loginizer 1.6.4 في الوصول إلى مواقع WordPress الأسبوع الماضي ، بدأ المستخدمون في الشكوى على منتدى المكون الإضافي في مستودع WordPress.org.

سأل أحد المستخدمين الساخطين "تم تحديث برنامج تسجيل الدخول من 1.6.3 إلى 1.6.4 تلقائيًا على الرغم من أنني لم أقم بتنشيط خيار WordPress الجديد هذا. كيف يكون ذلك ممكنًا؟"

قال آخر "لدي نفس السؤال أيضًا. لقد حدث ذلك في 3 مواقع ويب أتابعها ولم يتم تعيين أي منها على التحديث التلقائي".

شوهدت ردود فعل سلبية مماثلة في عام 2015 عندما رأى Dewhurst لأول مرة ميزة التحديث القسري للمكون الإضافي التي يتم نشرها بواسطة فريق WordPress.

يعتقد Dewhurst أن الميزة لا يتم استخدامها على نطاق واسع لأن فريق WordPress يخشى "مخاطر دفع تصحيح مكسور للعديد من المستخدمين".

قال Samuel Wood مطور WordPress الأساسي هذا الأسبوع إن الميزة تم استخدامها "عدة مرات" لكنه لم يقدم تفاصيل حول الحالات الأخرى التي تم استخدامها فيها. في عام 2015 ، قال مطور WordPress آخر إن ميزة التحديث الإجباري للمكون الإضافي تم استخدامها خمس مرات فقط منذ إطلاقها في 2013 ، مما يؤكد أن هذه الميزة تستخدم فقط للأخطاء الحرجة فقط ، تلك التي تؤثر على ملايين المواقع ، وليس فقط أي ثغرة في المكونات الإضافية.