آسیب‌ پذیرترین افزونه‌های وردپرس

در بستر وردپرس محبوب‌ترین افزونه‌ها (پلاگین) بیشترین میزان سوءاستفاده توسط هکرها را دارند؛ زیرا هرچه افزونه محبوب‌تر باشد، سایت‌های بیشتری از آن استفاده می‌کنند، در نتیجه هکرها با یافتن این آسیب پذیری‌ها و هک تعداد سایت بیشتر، موفقیت بزرگتری را برای خود رقم زده اند. 

شما به عنوان مدیر سایت برای محافظت از وبسایت خود باید افزونه‌های آسیب پذیر وردپرس را بشناسید و از انواع آسیب پذیری‌ها نیز اطلاع داشته باشید. به همین منظور ما لیستی از افزونه‌های محبوب و آسیب پذیر وردپرس را جمع آوری کرده‌ایم که در این مقاله با آن‌ها آشنا خواهید شد.

نکته مهم: اگر برای وبسایت وردپرسی خود از افزونه وردپرس استفاده می‌کنید باید بدانید که افزونه‌ها آسیب پذیری سایت شما را در برابر هک شدن بیشتر می‌کنند. هر افزونه‌ای آسیب پذیری مخصوص به خود را دارد، پس بهتر است ماهیت این آسیب پذیری‌ها را بشناسید و عملکرد وبسایت خود را دربرابر آن‌ها  با استفاده از راه حل‌هایی مثل MalCare ایمن سازید.

لیست افزونه‌های آسیب پذیر پرطرفدار

در اینجا لیستی از 10 افزونه‌ی محبوب را برای شما تهیه کرده ایم که یا آسیب پذیرند، یا به دلیل پرطرفدار بودن آسیب پذیری‌ها را شناسایی می‌کنند. تیم توسعه دهندگان (developers) این افزونه‌ها معمولا بلافاصله پس از شناسایی آسیب پذیری، درصدد رفع آن بر می‌آیند و برای آن پچ (Patch) منتشر می‌کنند؛ بنابراین اگر روی وبسایت خود، یک یا چند مورد از این افزونه‌ها را نصب کرده‌اید، سریعا آن را به آخرین نسخه ارتقا (update) دهید.

نکته: آسیب پذیر بودن افزونه‌ها به معنای ناکارامدی و عدم اعتماد به آن‌ها نیست. بعضی افزونه‌ها مانند Contact Form7 و NextGen Gallery به این دلیل که پراستفاده و محبوب هستند هک می‌شوند. اما تیم سازنده‌ی آن‌ها به محض پیدا کردن ایرادها بلافاصله پچ آن را برای ترمیم آسیب پذیری منتشر می‌کنند. 

(برای تمامی افزونه های معرفی شده در این لیست اطلاعات زیر ارائه شده است: حوزه‌ی کارایی پلاگین، آسیب های پیدا شده، تاثیر روی وبسایت، وجود یا عدم وجود پچ برای رفع آسیب پذیری)

1- افزونه Yoast SEO

این افزونه با بیش از 5 میلیون نصب روی سایت های فعال، برای بهینه سازی وبسایت طراحی شده است. Yoast در حال حاضر محبوب ترین افزونه در زمینه‌ی سئوی سایت است. دلیل آن نیز توانایی و قابلیت زیاد در کمک به سایت‌ها برای کسب رتبه‌ی بهتر در سرچ گوگل است. اما این سایت‌ها مدت زیادی در رتبه های بالای کسب شده باقی نمی‌مانند؛ زیرا آسیب پذیری های Yoast، سایت های استفاده کننده از آن را نیز تحت تاثیر قرار می‌دهد.

افزونه‌ی Yoast SEO ، مانند هر افزونه دیگری، نسبت به حملات اسکریپت نویسی متقابل (Cross-site  scripting یا XSS) آسیب پذیر است. آخرین تاریخی که در آن وجود این آسیب پذیری گزارش شد، آگوست 2021 بود. این حملات XSS می‌توانند شامل هر نوع عملی شوند، مانند: ساخت اکانت ادمین جدید، نصب web shell، تغییر مسیر (ریدایرکت) اختیاری و در اختیار گرفتن کامل سایت.

خوشبختانه این ایراد در نسخه‌ی 5.0.4 برطرف شد؛ بنابراین هرچه سریعتر افزونه‌ی خود را بروزرسانی کنید.

2- افزونه SEOPress

با بیش از 100هزار نصب فعال، SEOPress نیز یکی از محبوب ترین افزونه‌ها برای بهینه سازی سایت است. اما در تاریخ آگوست 2021 شرکت WordFence مقاله‌ای را انتشار داد و در آن از یک آسیب پذیری در XSS صحبت کرد. این آسیب پذیری تمام وبسایت‌های استفاده کننده را تحت تاثیر قرار می‌داد و می‌توانست منجر به در اختیارگیری کل سایت شود. 

خوشبختانه WordFwnce قبل از انتشار جزئیات این ایراد، آن‌ها را با SeoPress درمیان گذاشت و گروه پشتیبانی SEOPress نیز بی درنگ ایراد را رفع و نسخه‌ی جدیدی منتشر کردند. از جمله نسخه های آسیب پذیر، نسخه‌ی 5.0.0 و 5.0.3 است؛ بنایراین حتما افزونه‌ی خود را به نسخه‌ی 5.0.4 ارتقا دهید.

3- افزونه WooCommerce

این افزونه بیش از 5 میلیون بار نصب شده و روی بیش از 40% از وبسایت های تجاری وردپرسی در حال استفاده است. متاسفانه این آمار، این افزونه را هدف بزرگی برای هکرهایی می‌کند که سود زیاد با در اختیارگیری این وبسایت‌ها دستگیرشان می‌شود.

ووکامرس یک eCommerce solution متن باز است و برای انواع مختلف وبسایت‌های تجاری مناسب است. بدین سان، با داشتن ابزارهای زیاد و افزونه‌های ضمیمه، می‌توان شخصی‌سازی‌ و مطابقت زیادی با نیازمندی‌ها انجام داد. کاربرها نیز می‌توانند نحوه‌ی پرداخت و ارسال را انتخاب کنند و میزان مالیات و موارد بیشتری را کنترل کنند.

بیشتر حمله های انجام شده روی WooCommerce شامل موارد زیر است: XSS، PHP Object Injection، حذف فایل، و بارگذاری (آپلود) فایل دلخواه. آخرین گزارش کشف آسیب پذیری مربوط به جولای 2021 است. این ایراد باعث می‌شد که سایت‌های استفاده کننده از این افزونه مستعد حمله‌یinjection  SQL شوند.

در اثر حمله‌های cross-site scripting، هکرها می‌توانند به وب سرور شما دسترسی کامل داشته باشند. این امر نتایج ناگوار متعددی دارد، از جمله‌ی آن، این است که می‌تواند تا تعطیلی کامل وبسایت شما پیش رود. از جمله خطرات دیگری که سایت را تهدید می‌کند، هک شدن حساب‌های کاربران توسط crafted images، افزایش زیاد دسترسی‌ها با استفاده تزریق کد، حذف فایل index.php، و موارد دیگری از همین دست است.

این ایرادات در نسخه‌ی 5.2.2 ویرایش شدند. تمامی نسخه های قبل از آن دارای ایرادهای گفته شده در بالا هستند. پس حتما افزونه‌ی خود را به آخرین نسخه ارتقا دهید.

4- افزونه W3 Total Cache

افزونه‌ی محبوب دیگری در میان افرادی که می‌خواهند تجربه‌ی بهتری برای سئو داشته باشند، با 1 میلیون نصب فعال، افزونه‌ی W3 Total Cache است. بر اساس پایگاه داده WP Scan vulnerability، این افزونه یکی از 10 افزونه‌ی آسیب‌پذیر در میان افزونه‌هایی است که بیشترین آسیب‌پذیری را دارند.

آسیب پذیری‌های اخیر گزارش شده درمورد W3 Total Cache، نشان داده‌اند که این افزونه مستعد حملات RCE و XSS است. این آسیب‌پذیری‌ها در ژوئن 2021 رفع شدند و نسخه‌ی 2.5.1 برای استفاده امن تر منتشر شد. بنابراین حتما افزونه‌ی خود را به روزرسانی کنید.

5- افزونه Elementor

این افزونه‌ی سایت‌ساز (Builder) وردپرس بیش از 5 میلیون نصب فعال دارد؛ به همین دلیل یکی از پرسودترین اهداف برای هکرها محسوب می‌شود. با توجه به سهولت ساخت یک وب سایت با قابلیت کشیدن و رها کردن (Drag-and-Drop)، Elementor یکی از رایج‌ترین افزونه‌های مورد استفاده در وردپرس است.

در مارس سال 2021 محققان امنیت شرکت WordFence، آسیب‌پذیری‌ XSS را در سایت‌هایی که با المنتور ساخته شده بودند پیدا کردند. این آسیب‌پذیری‌ها به هکرها اجازه‌ی کنترل و تصاحب سایت را می‌دادند.

المنتور بلافاصله پچ این آسیب‌پذیری را برای بیش از 7 میلیون سایتی که دارای آن بودند، منتشر کرد. اگر برای وبسایت خود از المنتور استفاده می‌کنید سریعا به نسخه‌ی 31.4 ارتقا دهید.

6- افزونه WP Statistics

این افزونه با بیش از 600 هزار نصب فعال، به شما امکان می‌دهد که بدون در اختیار گذاشتن اطلاعات کاربران خود با سایت‌ها و ابزارهای واسطه، آمار سایت خود را به دست بیاورید. WP Statistics ، داده‌ها و آمار سایت شما را به صورت ویژوال و دیداری در اختیارتان قرار می‌دهد تا فهم و دریافتتان از آن‌ها آسان تر شود. 

در مارس 2021 مشخص شد که هر بازدید کننده‌ی سایت می‌تواند داده‌ها را با استفاده از SQL injection استخراج کند. تیم WP Statistics به سرعت این ایراد را رفع کردند و نسخه‌ی امن 13.0.8 را منشر نمودند.

7- افزونه Ninja Forms

بیش از 1میلیون نصب فعال دارد. همانطور که از اسم آن برمی‌آید، این افزونه برای سایت هایی ساخته شده که نیاز به پر کردن فرم دارند. این افزونه‌ی فرم‌ساز وبسایت که قابلیت کشیدن و رها کردن دارد، بسیار محبوب بوده و میلیون‌ها دانلود و کاربر دارد.

این فرم‌ساز با قابلیت‌های جذاب زیادی از جمله کشیدن و رها کردن فیلدها، چند برگی و فرم‌های شرطی، سفارشی‌سازی چیدمان سطرها و ستون‌ها، و.. به شکل افزونه‌ی وردپرس موجود است.

Ninja Forms ، به دلیل محبوبیت زیاد، یک هدف رایج برای حمله‌ی هکرها است؛ بنابراین بسیار ضروری است که افزونه را مدام به روزرسانی کنید.

یکی از مهم‌ترین آسیب پذیری‌های نسخه‌های قدیمی نینجا فرمز، اجازه‌ی حمله‌های XSS است. حمله‌ی اسکریپت نویسی متقابل برای نینجا فرم بسیار خطرناک است؛ چرا که حمله کننده می‌تواند برای خود دسترسی ادمین ایجاد کند و حتی کنترل سایت را به دست بگیرد. تنها با تزریق یک فرم آلوده‌ی جاوا اسکریپتی و جابجا کردن آن با یک فرم موجود، هکرها می‌توانند سطح دسترسی بالایی برای خود ایجاد کنند.

در ژانویه‌ی 2021، چهار ایراد مختلف در افزونه یافت شد. خوشبختانه در حال حاضر این ایرادها با انتشار نسخه‌ی جدید 3.4.34.1 تعمیر شدند. پس هرچه زودتر نسخه‌ی خود را به روززسانی نمایید.

8- افزونه NextGen Gallery

بیش از 700 هزار نسخه‌ی فعال دارد. NextGen Gallery به افزونه‌ی گالری استاندارد وردپرس معروف است. این افزونه در میان سایت های عکاسی بسیار پرطرفدار است.

در دسامبر 2020 شرکت WordFence ایرادهای مختلفی از این افزونه را منتشر کرد که شامل Cross-Site Request Forgery (CSRF)، remote code execution(RCE) و آسیب‌پذیری‌های XSS است.

شرکت سازنده‌ی افزونه‌ی NextGen Gallery طی یک روز نسخه‌ی اصلاح شده‌ای برای رفع ایرادات را منتشر کرد و کاربران را ایمن ساخت. اگر از این افزونه استفاده می‌کنید مطمئن شوید که به نسخه‌ی 3.5.0 آن را ارتقا داده‌اید.

9- افزونه Contact Form 7

Contact Form 7 یکی از پراستفاده‌ترین افزونه‌های فرم است که به دلیل محبوبیت‌اش، مداوم مورد حمله قرار می‌گیرد. با بیش از 5 میلیون کاربر، هدفی نسبتاً پرسود برای مهاجمان است. اما تیم پشتیبانی این افزونه برای افزایش ایمنی آن همواره در تلاشند. نسخه های اصلاح شده به محض پیدا شدن ایراد در آن، ارائه می‌شود. 

در دسامبر 2020 مشخص شد که Contact Form 7  دارای آسیب‌پذیری ارتقای سطح دسترسی یا Privilege escalation است که توسط بلاگ WP Hacked بسیار خطرناک و مهم گزارش شد. این آسیب‌پذیری موجب می‌شود که هر وبسایتی که از این افزونه استفاده می‌کند در معرض خطر دسترسی کامل توسط هکر قرار بگیرد. 

تیم افزونه بلافاصله نسخه‌ی رفع اشکال شده را ارائه کردند؛ بنابراین اگر از کاربران هستید آن را به نسخه‌ی 5.3.2 یا بالاتر ارتقا دهید.

10- افزونه WordFence

بیش از 4 میلیون نصب فعال دارد. افزونه‌های امنیتی که دارای آسیب پذیری هستند باعث دلسردی کاربران می‌شوند، اما همه‌ی آن‌ها طبق اصول دیگر افزونه‌ها کار می‌کنند. افزونه‌های امنیتی با هدف دسترسی به مدیریت سایت توسط هکرها مورد حمله قرار می‌گیرند.

WordFence بیش از 4 میلیون کاربر فعال دارد و یکی از محبوب ترین راه حل های امنیتی برای کاربران وردپرس است. اما تا به امروز 11 ایراد از آن گزارش شده است که آخرین آن‌ها در سال 2019 و ایراد XSS بوده است.

وردفنس به سرعت نسخه‌ی رفع ایراد شده‌ی خود را منتشر کرد و با این کار دیگر خطری وبسایت‌های استفاده کننده را تهدید نمی‌کند. بنابراین افزونه‌ی خود را به روز رسانی نمایید.

در این مقاله متوجه شدید کدام افزونه های پرطرفدار دارای ایراد هستند. در مقاله بعد خواهیم فهمید چه آسیب هایی آن‌ها را تهدید می‌کند. فهم این آسیب پذیری‌ها به درک عمیقی از تهدیدهای امنیتی و خطر استفاده از آن‌ها کمک می‌کند.