في 10 مارس 2022، بدأ فريق Wordfence Threat Intelligence عملية الكشف المسؤولة عن ثغرة أمنية خطيرة اكتشفت في “SiteGround Security“، وهي إضافة لبرنامج WordPress تم تثبيتها على أكثر من 400000 موقع. هذا الخلل يجعل من الممكن للمهاجمين الحصول على وصول إداري للمستخدم على المواقع المعرضة للخطر عندما يتم تمكين المصادقة الثنائية (2FA) ولكن لم يتم تكوينها بعد للمسؤول.
تلقت Wordfence Premium وWordfence Care وWordfence Response مجموعة من قواعد جدار الحماية في 10 مارس 2022 لتوفير الحماية ضد أي مهاجمين يحاولون استغلال هذه الثغرة الأمنية. سيتلقى مستخدمو Wordfence Free هذه الحماية نفسها بعد 30 يومًا في 9 أبريل 2022 بعد إرسال تفاصيل الكشف الكاملة إلى فريق أمان SiteGround في 10 مارس 2022.
تم إصدار تصحيح في اليوم التالي في 11 مارس 2022. بينما تم تصحيح الإضافة جزئيًا على الفور، لم يتم تصحيحه بشكل مثالي حتى 7 أبريل 2022. تم تحديث المواقع المستضافة على منصة SiteGround تلقائيًا إلى الإصدار المصحح بينما تتطلب المواقع المستضافة في مكان آخر تحديثًا يدويًا، إذا لم يتم تمكين التحديثات التلقائية للإضافة. نوصي في تجهيز بشدة تحديث موقعك إلى أحدث إصدار مصحح من “SiteGround Security”، وهو الإصدار 1.2.6 في وقت هذا المنشور.
SiteGround Security إضافة مصممة لتحسين أمان تثبيتات WordPress عبر العديد من الميزات مثل أمان تسجيل الدخول بما في ذلك 2FA، وتقوية WordPress العامة، ومراقبة النشاط، من الجدير بالذكر أيضًا أنه يأتي مثبتًا مسبقًا على جميع مواقع WordPress المستضافة في SiteGround.
لسوء الحظ، تم تنفيذ وظيفة 2FA الخاصة بالإضافة بشكل غير آمن مما جعل من الممكن للمهاجمين غير المصادق عليهم الوصول إلى الحسابات المميزة. عند تمكين المصادقة ذات العاملين، فإنها تتطلب من جميع المستخدمين الإداريين والمحررين إعداد مصادقة ثنائية. يتم تشغيل هذا المطلب عندما يقوم المسؤولون والمحررون بالموقع بتسجيل الدخول إلى الموقع لأول مرة بعد تمكين المصادقة الثنائية (2FA) وفي ذلك الوقت يُطلب منهم تكوين المصادقة الثنائية لحساباتهم.
هذا يعني أنه ستكون هناك فترة زمنية بين تمكين المصادقة الثنائية (2FA) على الموقع وكل مستخدم يقوم بتكوينه للحساب. خلال هذه الفترة المؤقتة، يمكن للمهاجمين اختطاف عملية إعداد المصادقة الثنائية (2FA). يحتوي المكون الإضافي على عيب جعله حتى يتمكن المهاجمون من تجاوز الخطوة الأولى للمصادقة تمامًا، والتي تتطلب اسم مستخدم وكلمة مرور، والوصول إلى صفحة إعداد 2FA للمستخدمين الذين لم يقوموا بتكوين 2FA حتى الآن.
نحن نوصي في تجهيز دوت كوم بسرعة تحديث الإضافات دائمًا لأحدث إصدار لعدم التعرض لأي ثغرة أمنية خطيرة وذلك بعد الاطلاع على وصف التحديث لرؤية ما تم تحديثه أو إضافته أو حذفه من قبل المتخصص المسؤول عن إدارة موقعك أو من قبلك أنت.. لذا حافظ دائما على موقعك محدث.. إن كنت تظن أن موقعك به مشكلة أمنية ويصعب عليك حلها بمفردك قم بطلب خدمة حماية المواقع الإلكترونية من تجهيز دوت كوم لبدأ فحص موقعك وتأمينه بشكل مثالي.
» 10 مارس 2022 – اختتام تحليل المكون الإضافي الذي أدى إلى اكتشاف ثغرتين في تجاوز المصادقة في مكون WordPress الإضافي “SiteGround Security”.
» 11 مارس 2022 – يستجيب CTO في SiteGround مشيرًا إلى إصدار تصحيح. نقوم بمراجعة التصحيح ونبلغهم بأنه غير كاف. يطلقون تصحيحًا إضافيًا.
» 11 مارس 2022 – تم إصدار نسخة مصححة من البرنامج المساعد كإصدار 1.2.3. نقترح المزيد من التحسينات الأمنية على الوظيفة.
» 16 مارس 2022 – تم إجراء تحديث يقلل من أمان وظيفة 2FA، ونحن نتابع ذلك مرة أخرى لاقتراح تحسينات أمنية أفضل للوظيفة.
» 6 أبريل 2022 – تم إصدار نسخة مصححة بالكامل وعلى النحو الأمثل من المكون الإضافي كإصدار 1.2.6.
» 9 أبريل 2022 – يتلقى مستخدمو Wordfence Free قواعد جدار الحماية.
عند مراسلة تجهيز..
تعتمد الشركات على مبدأ الدعاية والتسويق فتقوم بإبراز بعض الخدمات للعميل لقاء أثمان زهيدة وإخفاء الخدمات الأصلية الهامة عنه، بحيث أنه سيحتاجها لا محالة فحينها يتوجب عليه الدفع لقاء هذه الخدمات.. ما يرفع من سعر الاستضافة بشكل مهيب.. ولا يخفى عن عميلي أن خدمات كالحماية والصيانة والتحديثات لا غنى عنهم بعد إنتهاء المشروع وبهذه الخدمات يستمر الموقع باستقرار وأمان.. هذه الخدمات تحديدًا هي مجرد كلمات تكتب في باقات الشركات للعميل ولا تنفذ مطلقًا وتكون بقيمة إضافية.. أما في تجهيز.. فصيانة موقعك وحمايته وتحديثه طوال مكوثك في الاستضافة مجانًا دون أي مقابل ولا أي أسعار خفية.
نحن في تجهيز نحب أن يستفيد الجميع.. لذا قررنا أن كل عملية حجز عن طريق أي معلن له نسبة معلومة مسبقًا ومحددة في باقات استضافاتنا بالموقع وتترواح بقيم مختلفة تصل إلى 300 دولار للحجز الواحد وهي أعلى قيمة موجودة بين كافة شركات الاستضافات.. تصفح باقات تجهيز الخاصة بالاستضافات فائقة السرعة.
يمكنك التواصل مباشرة عبر: 6128 1088 2010+ | أو من خلال البريد الخاص بنا: contact@tghez.com أو من خلال التواصل المباشر مع مدير الموقع: المهندس أحمد أسامة عبر: 6128 4366 2011+
شارك المقالة عبر
عن الكاتب
شاركنا رأيك
You cannot copy content of this page
Javascript not detected. Javascript required for this site to function. Please enable it in your browser settings and refresh this page.