یکی از محققان در یک پروژه تحقیقاتی جذاب ، پلاگین های رها شده در مخزن وردپرس را به طور دقیق تری مورد بررسی قرار داد. نتیجه این تحقیق شد 22 پلاگین وردپرسی که مدت ها از آخرین به روز رسانی آنها می گذرد و مشکلات امنیتی در آنها می تواند برای هر وب سایتی خطرناک باشد.
در صورتی یک پلاگین رها شده است که به مدت چندین سال به روز رسانی نشده باشد. براساس پستی که توسط Isabel منتشر شده ، پلاگین های متعددی وجود دارند که دارای تعداد نصب زیادی هستند اما مدت زمان طولانی است که به روز رسانی نشده اند:
پلاگین “Exec – PHP” که توسط Soren Weber منتشر شده ، دارای بیش از 100 هزار نصب فعال است اما از ماه ژوئن سال 2009 تاکنون به روز رسانی نشده است . افزونه “Category Order” که توسط Wessly Roche تولید شده است نیز بیش از 90 هزار نصب فعال دارد ، با این وجود آخرین به روز رسانی آن در ماه مه سال 2008 بوده است. پلاگین “Ultimate Google Analytics” که توسط Wilfred van der deijl ارائه شده، بیش از 80 هزار نصب دارد اما بیش از 9 سال از آخرین به روز رسانی آن گذشته است!
ما پس از دقت در مخزن پلاگین ها، به نکاتی رسیدیم که در ذیل آورده شده اند:
- در حال حاضر، مجموعا 37300 پلاگین وردپرسی در مخزن wordpress.org وجود دارد.
- 17383 عدد از این افزونه ها، از 2 سال گذشته تاکنون به روز رسانی نشده اند.
- 13655 عدد پلاگین دارای برچسب x هستند (یعنی با نسخه 3 وردپرس سازگار هستند) و این درحالی است که نسخه 4 وردپرس در ماه سپتامبر سال 2014 ارائه شد.
- 3990 پلاگین وردپرسی از سال 2010 تاکنون به روز رسانی نشده اند، یعنی تاکنون بیش از هفت سال از آخرین به روزرسانی آن ها می گذرد.
- تعداد 29892 پلاگین وردپرسی اضافی در مخزن سورس کد پلاگین ها وجود دارند که در مخزن اصلی پلاگین ها در org نمایش داده نشده اند.
پلاگین های رها شده و آسیب پذیری های آن ها
ما در حین تجزیه و تحلیل ها ، متوجه شدیم در حال حاضر 18 پلاگین وردپرسی رها شده وجود دارند که از سایت اصلی وردپرس قابل دریافت هستند و به نظر می رسد دارای آسیب هایی باشند که تاکنون برطرف نشده اند. در هر مورد، پلاگین از 2 سال گذشته یا حتی قبل تر از آن ، به روز رسانی نشده است. برخی از آن ها، هزاران نصب فعال دارند. همچنین توانستیم 4 پلاگین پیدا کنیم که آسیب های خود را برطرف کرده اند ، اما کاربران به نسخه آپدیت شده دسترسی پیدا نکرده اند. در هر کدام از این 4 مورد ، نویسنده پلاگین ، مشکل را بر طرف کرده اما شماره نسخه آن را افزایش نداده و یا آن را در مخزن اصلی وردپرس به درستی تگ نکرده است. همین باعث شده کاربران متوجه به روز رسانی افزونه نشوند و همچنان آسیب پذیر باقی بمانند.
جدول زیر، فهرست پلاگین هایی که یافته ایم را به همراه تعداد نصب های فعال و جزئیاتی درباره هر یک از آسیب پذیری ها، نشان می دهد. تعدادی پلاگین وردپرسی ، چندین مرتبه در فهرست آورده شده اند زیرا بارها در مورد آسیب پذیری های آن ها گزارش هایی ارائه شده است.
این نکته را متذکر می شویم که تمام آسیب پذیری هایی که در این جا ارائه شده اند ، به مدت 2 تا 3 سال است که برای عموم شناخته شده هستند. تمامی این موارد، آسیب های قدیمی هستند که به طور علنی فاش شده اند ولی تاکنون توسط نویسنده پلاگین برطرف نشده اند. لطفا پس از مشاهده جدول زیر – که حاوی کارهایی است که یک نویسنده پلاگین و یک کاربر پلاگین باید انجام دهد – پیشنهادات ما را نیز مشاهده بفرمایید.
اگر یکی از پلاگین های بالا در سایت وردپرسی شما نصب است باید چه کار کنید؟
اگر پلاگینی که استفاده می کنید در جدول با ستاره مشخص نشده باشد ، پیشنهاد می کنیم این پلاگین را غیرفعال کنید و آن را از سیستم خود حذف کنید. سپس تلاش کنید برای آن جایگزین پیدا کنید و یا با نویسنده پلاگین وردپرسی تماس بگیرید و از او بخواهید در مورد میزان آسیب پذیری آن ، به طور واضح توضیح دهد. همچنین می توانید نویسنده پلاگین را به طور مستقیم به این مطلب سایت خوب که حاوی اقدامات پیشنهادی برای نویسندگان پلاگین می باشد، مرتبط سازید. برای شروع می توانید در فروم پشتیبانی افزونه که در سایت wordpress.org وجود دارد عضو شوید.
اگر پلاگین با یک ستاره مشخص شده باشد، شما می توانید آن را غیرفعال و حذف کنید. سپس آن را مجددا نصب کرده و سعی کنید نسخه جدیدتری از آن را داشته باشید.
درصورتی که نویسنده یکی از افزونه های جدول فوق می باشید ، باید چه کار کنید ؟
اگر شما نویسنده یکی از پلاگین های فوق می باشید و آسیب های گزارش شده را برطرف نکرده اید ، پیشنهاد می کنیم این کار را به سرعت انجام دهید و نسخه آپدیت شده و پایدار را به مشتریان خود ارائه دهید. سپس مراحلی که در ادامه آمده است را دنبال کنید.
اگر پلاگین شما با یک ستاره مشخص شده باشد، پیشنهاد می کنیم بخشی که در مورد به روزرسانی کردن پلاگین در مستندات وردپرس موجود است را مطالعه بفرمایید. سپس نسخه جدید پلاگین وردپرسی خود را ارائه دهید تا بدین ترتیب کاربران موجود به نسخه ثابتی به روزرسانی شوند و این نسخه ارائه شده را به درستی در مخزن پلاگین های وردپرس برچسب گذاری کنید و مراحل بعدی پیشنهاد ما را که در ادامه مطلب آورده شده اند دنبال کنید.
اگر پلاگین شما در جدول بالا موجود است اما آسیب آن را برطرف کرده اید این به آن دلیل است که رفع مشکل را در بخش تغییرات پلاگین اعلام نکرده اید و در نتیجه ، تغییرات مذکور در وب سایت wpvulndb.com نیز ثبت نشده است.
پیشنهاد می کنیم اقدامات ذیل را انجام دهید :
- بخش تغییرات را به روزرسانی کنید و آسیبی که برطرف شده است را در آن ذکر کرده و مشخص کنید که چه آسیبی را برطرف کرده اید.
- با وب سایت wpvulndb تماس بگیرید و از آن ها درخواست کنید پایگاه داده خود را به روزرسانی کنند تا نشان دهد که مشکل پلاگین شما برطرف شده است. در حال حاضر پایگاه داده آن ها درباره نسخه ای از پلاگین شما که آسیب ها در آن برطرف شده، هیچ اطلاعاتی نشان نمی دهد. همچنین باید از منبع اطلاعات سایت wpvulndb دیدن کنید. در این لیست می توانید محققی که آسیب پلاگین شما را کشف کرده پیدا کنید. شما باید با ارسال یک متن به آن ها اعلام کنید که آن آسیب برطرف شده است.
اعتبارسنجی یک پلاگین وردپرسی
اگر شما دارنده یک سایت وردپرسی هستید ، مهم است که قبل از نصب هر افزونه وردپرس ، آن را به درستی و بادقت ارزیابی کنید. بررسی کنید چه مدت از آخرین زمان به روز رسانی آن گذشته است. اگر بیش از 2 سال از آن گذشته باشد، باید قبل از نصب آن ، بیشتر فکر کنید زیرا مدت زمان زیادی است که این پلاگین آپدیت نشده است. بهتر است که با نویسنده آن پلاگین تماس بگیرید یا این که با ارسال پستی در فروم پشتیبانی ، درباره آن پلاگین اطلاعات بیشتری کسب کنید.
یکی از بهترین مزیت های وردپرس ، مخزن پلاگین ها می باشد زیرا شما را بی نیاز از بسیاری از کدنویسی ها می کند و همچنین تعداد بسیار زیادی از برنامه هایی که باعث گسترش وردپرس می شود را نیز ارائه می دهد. همچنین این مخزن، کاملا باز است و هرکسی می تواند در آن مشارکت و همکاری نماید. زمانی که یک پلاگین ارائه می شود، فرایندی برای بررسی کدهای آن وجود ندارد و تجزیه و تحلیلی بر روی آن انجام نمی گیرد. همچنین برای نسخه های بعدی آن نیز هیچ فرایند بررسی مداومی وجود ندارد.
روزانه تعداد بیشماری از به روزرسانی های پلاگین ها در مخزن وردپرس ارائه می شوند. به همین دلیل مهم است که قبل از نصب یک پلاگین ، شما حداقل یک شناخت ابتدایی از فردی که در پشت آن پلاگین است ، داشته باشید .درادامه مطلب، مراحلی آورده شده که با کمک آن ها، می توانید یک پلاگین خاص را ارزیابی کنید و در مورد انتخاب آن بهتر تصمیم بگیرید :
- میانگین رتبه پلاگین را بررسی کنید.
- آخرین زمان به روزرسانی آن را بررسی کنید.
- بررسی کنید که آیا این پلاگین با نسخه درحال حاضر وردپرس سازگار می باشد یا خیر.
- تعداد نصب های فعالی که این پلاگین دارا می باشد را بررسی کنید. برخی از پلاگین های قابل اعتماد و کاربردی ، تعداد نصب بسیار اندکی دارند اما اگر یک پلاگین دارای تعداد نصب کمی باشد( کمتر از 1000 نصب فعال )، بهتراست حتما آن را با دقت امتحان کنید. ممکن است رها شده باشد.
شما می توانید تمامی این اطلاعات را در زمانی که پلاگین را به سایت وردپرسی خود اضافه می کنید، به دست آورید. روال کار به این صورت است که به آسانی روی عنوان پلاگین کلیک کرده و بدین ترتیب موارد ذیل را خواهید یافت. ما آن بخش هایی که شما باید توجه بیشتری به آن داشته باشید را در تصویر مشخص کرده ایم :
نتیجه گیری
افزونه ها قادرند به سادگی قابلیت هایی را به وبسایت شما اضافه کنند که بخش اعظمی از محبوبیت پلت فرم وردپرس نیز به همین دلیل است. مخزن پلاگین ها در سایت wordpress.org یک منبع باورنکردنی است، اما همانطوری که در قسمت های بالا نشان داده شد ، این مخزن شامل پلاگین های آزاد و پلاگین هایی که حاوی آسیب هستند می باشد. هر پلاگینی که به وبسایت خود اضافه می کنید، خطرات امنیتی سایت شما را افزایش می دهد و حتما باید آن ها را ارزیابی کنید تا مطمئن شوید که به درستی نگهداری شده است.
از همراهی شما تا پایان این مطلب، سپاسگزاریم. منتظر شنیدن نظرات و پیشنهادات شما هستیم.
منبع: wordfence.com