اغلب افزونه های WordPress آسیب پذیر هستند
از نرم افزار WordPress که یک “سیستم مدیریت محتوی” (Content Management System – CMS) است، بر روی نزدیک به 60 میلیون سایت استفاده می شود. این میزان یعنی 18 درصد از کل سایت های اینترنتی در جهان.
یکی از امتیازات Word Press “متن باز” (Open Source) بودن آن و داشتن افزونه های (Plug-ins) متنوع است که توسط اشخاص و موسسات ثالث تهیه و منتشر شده اند. با بکارگیری این افزونه ها می توان قابلیت های مختلف و امکانات پیچیده ای را به WordPress اضافه کرد.
در یک تحقیق که اخیراً توسط شرکت Checkmarx صورت گرفته، مشخص شده که از 50 افزونه برتر و پرطرفدار WordPress بیش از 20 درصد آنها آسیب پذیر بوده و دارای نقاط ضعف امنیتی هستند. این میزان افزونه آسیب پذیر تاکنون نزدیک به 8 میلیون بار دریافت (Download) و نصب شده اند.
شرکت Checkmarx راه حل های خودکار برای کنترل کیفیت و بازنگری برنامه (Source Code) نرم افزار تهیه و عرضه می کند.
متاسفانه اغلب نقاط ضعف این افزونه ها به قدری ساده و ابتدایی هستند که با رایج ترین روش های نفوذ، نظیر SQL Injection و Cross-Site Scripting قابل سوء استفاده توسط نفوذگران می باشند.
البته افزونه های WordPress دائماً در حال ارتقاء هستند و نسخه های جدیدی از آنها منتشر می شود. ولی در شش ماه گذشته، تنها نقاط ضعف شش افزونه به طور کامل برطرف و ترمیم شده است.
چند توصیه به مدیران سایت که از WordPress استفاده می کنند:
– افزونه های مورد نیاز خود را همواره از سایت ها و منابع معتبر و شناخته شده، دریافت کنید. سایت WordPress.org بهترین محل برای دریافت افزونه ها است.
– از به روز بودن افزونه های مورد استفاده خود مطمئن شوید. هشدارهای به روز رسانی و انتشار نسخه های جدید را نادیده نگرفته و در اولین فرصت اقدام به ارتقاء و به روز رسانی افزونه ها کنید.
– افزونه هایی را که دیگر لازم ندارید و از آنها استفاده نمی کنید، حذف نمایید.
گزارش کامل شرکت Checkmarx را درباره آسیب پذیری افزونه های WordPress می توانید اینجا مطالعه کنید.
