ثغرة أمنية خطيرة بإضافة الحماية لشركة SiteGround

ثغرة أمنية خطيرة بإضافة الحماية لشركة SiteGround

شاهد في المقالة

مقدمة عامة

في 10 مارس 2022، بدأ فريق Wordfence Threat Intelligence عملية الكشف المسؤولة عن ثغرة أمنية خطيرة اكتشفت في “SiteGround Security“، وهي إضافة لبرنامج WordPress تم تثبيتها على أكثر من 400000 موقع. هذا الخلل يجعل من الممكن للمهاجمين الحصول على وصول إداري للمستخدم على المواقع المعرضة للخطر عندما يتم تمكين المصادقة الثنائية (2FA) ولكن لم يتم تكوينها بعد للمسؤول.

تلقت Wordfence Premium وWordfence Care وWordfence Response مجموعة من قواعد جدار الحماية في 10 مارس 2022 لتوفير الحماية ضد أي مهاجمين يحاولون استغلال هذه الثغرة الأمنية. سيتلقى مستخدمو Wordfence Free هذه الحماية نفسها بعد 30 يومًا في 9 أبريل 2022 بعد إرسال تفاصيل الكشف الكاملة إلى فريق أمان SiteGround في 10 مارس 2022.

تصحيح الثغرة

تم إصدار تصحيح في اليوم التالي في 11 مارس 2022. بينما تم تصحيح الإضافة جزئيًا على الفور، لم يتم تصحيحه بشكل مثالي حتى 7 أبريل 2022. تم تحديث المواقع المستضافة على منصة SiteGround تلقائيًا إلى الإصدار المصحح بينما تتطلب المواقع المستضافة في مكان آخر تحديثًا يدويًا، إذا لم يتم تمكين التحديثات التلقائية للإضافة. نوصي في تجهيز بشدة تحديث موقعك إلى أحدث إصدار مصحح من “SiteGround Security”، وهو الإصدار 1.2.6 في وقت هذا المنشور.

تفاصيل الثغرة

ثغرة أمنية خطيرة بإضافة siteground

SiteGround Security إضافة مصممة لتحسين أمان تثبيتات WordPress عبر العديد من الميزات مثل أمان تسجيل الدخول بما في ذلك 2FA، وتقوية WordPress العامة، ومراقبة النشاط، من الجدير بالذكر أيضًا أنه يأتي مثبتًا مسبقًا على جميع مواقع WordPress المستضافة في SiteGround.

لسوء الحظ، تم تنفيذ وظيفة 2FA الخاصة بالإضافة بشكل غير آمن مما جعل من الممكن للمهاجمين غير المصادق عليهم الوصول إلى الحسابات المميزة. عند تمكين المصادقة ذات العاملين، فإنها تتطلب من جميع المستخدمين الإداريين والمحررين إعداد مصادقة ثنائية. يتم تشغيل هذا المطلب عندما يقوم المسؤولون والمحررون بالموقع بتسجيل الدخول إلى الموقع لأول مرة بعد تمكين المصادقة الثنائية (2FA) وفي ذلك الوقت يُطلب منهم تكوين المصادقة الثنائية لحساباتهم.
ثغرة أمنية خطيرة بإضافة سايت جراوند للحمايةهذا يعني أنه ستكون هناك فترة زمنية بين تمكين المصادقة الثنائية (2FA) على الموقع وكل مستخدم يقوم بتكوينه للحساب. خلال هذه الفترة المؤقتة، يمكن للمهاجمين اختطاف عملية إعداد المصادقة الثنائية (2FA). يحتوي المكون الإضافي على عيب جعله حتى يتمكن المهاجمون من تجاوز الخطوة الأولى للمصادقة تمامًا، والتي تتطلب اسم مستخدم وكلمة مرور، والوصول إلى صفحة إعداد 2FA للمستخدمين الذين لم يقوموا بتكوين 2FA حتى الآن.

توصية تجهيز

نحن نوصي في تجهيز دوت كوم بسرعة تحديث الإضافات دائمًا لأحدث إصدار لعدم التعرض لأي ثغرة أمنية خطيرة وذلك بعد الاطلاع على وصف التحديث لرؤية ما تم تحديثه أو إضافته أو حذفه من قبل المتخصص المسؤول عن إدارة موقعك أو من قبلك أنت.. لذا حافظ دائما على موقعك محدث.. إن كنت تظن أن موقعك به مشكلة أمنية ويصعب عليك حلها بمفردك قم بطلب خدمة حماية المواقع الإلكترونية من تجهيز دوت كوم لبدأ فحص موقعك وتأمينه بشكل مثالي.

التايم لاين

» 10 مارس 2022 – اختتام تحليل المكون الإضافي الذي أدى إلى اكتشاف ثغرتين في تجاوز المصادقة في مكون WordPress الإضافي “SiteGround Security”.

» 11 مارس 2022 – يستجيب CTO في SiteGround مشيرًا إلى إصدار تصحيح. نقوم بمراجعة التصحيح ونبلغهم بأنه غير كاف. يطلقون تصحيحًا إضافيًا.

» 11 مارس 2022 – تم إصدار نسخة مصححة من البرنامج المساعد كإصدار 1.2.3. نقترح المزيد من التحسينات الأمنية على الوظيفة.

» 16 مارس 2022 – تم إجراء تحديث يقلل من أمان وظيفة 2FA، ونحن نتابع ذلك مرة أخرى لاقتراح تحسينات أمنية أفضل للوظيفة.

» 6 أبريل 2022 – تم إصدار نسخة مصححة بالكامل وعلى النحو الأمثل من المكون الإضافي كإصدار 1.2.6.

» 9 أبريل 2022 – يتلقى مستخدمو Wordfence Free قواعد جدار الحماية.

طريقة عمل تجهيز

عند مراسلة تجهيز..

  1. نبدأ أولًا بسماع العميل حتى يفرغ من المتطلبات فإذا كان لا يملك الخبرة الكافية لوصف مشروعه ساعدناه من واقع خبرتنا وتجاربنا السابقة بأسئلة تعينه على الوصف حتي تضح لنا الصورة كاملة بعد ذلك.
  2. البدأ بتحليل المتطلبات وعمل خطة كاملة بها الأدوات والتقنيات المستخدمة وبها تكلفة المشروع المقدرة ومدة التسليم على هيئة مراحل كل مرحلة بها مدتها الزمنية ليتسنى لعميلنا معرفة ماذا نفعل في أيام المشروع الطويلة/القصيرة.
  3. إرسال خطة العمل على هيئة PDF للعميل مع إيضاح الخصومات والعروض في حالة توفرها وانتظار تعليقه عليها.
  4. البدء في النقاش مع العميل حول المصطلحات أو الجمل الغير مفهومة من وجهة نظره بحيث يتضح له كل حرف.
  5. البدأ باستلام المشروع وإكماله عبر بنود وسياسات تجهيز.
  6. هناك تفاصيل أخرى لم ندونها خاصة بعملاءنا فقط.

ليه أطلب من تجهيز

تعتمد الشركات على مبدأ الدعاية والتسويق فتقوم بإبراز بعض الخدمات للعميل لقاء أثمان زهيدة وإخفاء الخدمات الأصلية الهامة عنه، بحيث أنه سيحتاجها لا محالة فحينها يتوجب عليه الدفع لقاء هذه الخدمات.. ما يرفع من سعر الاستضافة بشكل مهيب.. ولا يخفى عن عميلي أن خدمات كالحماية والصيانة والتحديثات لا غنى عنهم بعد إنتهاء المشروع وبهذه الخدمات يستمر الموقع باستقرار وأمان.. هذه الخدمات تحديدًا هي مجرد كلمات تكتب في باقات الشركات للعميل ولا تنفذ مطلقًا وتكون بقيمة إضافية.. أما في تجهيز.. فصيانة موقعك وحمايته وتحديثه طوال مكوثك في الاستضافة مجانًا دون أي مقابل ولا أي أسعار خفية.

أعلن واربح مع تجهيز

نحن في تجهيز نحب أن يستفيد الجميع.. لذا قررنا أن كل عملية حجز عن طريق أي معلن له نسبة معلومة مسبقًا ومحددة في باقات استضافاتنا بالموقع وتترواح بقيم مختلفة تصل إلى 300 دولار للحجز الواحد وهي أعلى قيمة موجودة بين كافة شركات الاستضافات.. تصفح باقات تجهيز الخاصة بالاستضافات فائقة السرعة.

أحتاج استضافة

يمكنك التواصل مباشرة عبر: 6128 1088 2010+ | أو من خلال البريد الخاص بنا: contact@tghez.com أو من خلال التواصل المباشر مع مدير الموقع: المهندس أحمد أسامة عبر: 6128 4366 2011+

شارك المقالة عبر

فيسبوك
غرد
تليجرام
البريد
لينكدإن
واتساب

مقالات ذات صلة

عن الكاتب

مدير موقع تجهيز
مدير موقع تجهيز
تجهيز كافة خدمات البرمجيات الخاصة بتصميم وتطوير وحماية المواقع الإلكترونية وتوزيع الاستضافات بمختلف الأحجام والأنواع وخدمات التصميم وإنشاء الهويات التجارية للمؤسسات والأفراد

شاركنا رأيك

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.

جميع الحقوق محفوظة© 2022 - موقع تجهيز

You cannot copy content of this page

انتقل إلى أعلى