ستساعدك المقالة التالية: ثغرة أمنية في WooCommerce تؤثر على الملايين من مواقع WordPress
أعلنت WooCommerce أنها قامت بتصحيح ثغرة أمنية خطيرة تؤثر على ملايين المستخدمين. نحث بشدة الناشرين الذين يستخدمون المكون الإضافي WooCommerce أو المكون الإضافي WooCommerce Blocks على تحديث المكونات الإضافية الخاصة بهم إذا لم يتم تحديثها تلقائيًا بالفعل.
التحديث التلقائي القسري لـ WooCommerce
تعتبر الثغرة الأمنية المعروفة باسم “الثغرة الأمنية لحقن SQL” خطيرة للغاية لدرجة أن WooCommerce يدفع التحديث تلقائيًا إلى الناشرين المتأثرين.
على الرغم من أن التحديثات تلقائية، إلا أن بعض الناشرين أبلغوا أن بعض مواقعهم لم تتلق التحديث بعد.
لذلك من المهم التحقق والتحديث يدويًا إذا لم يتم تحديث الموقع بعد إلى الإصدار الأعلى من فرع إصدار WooCommerce لديك.
بشكل عام، حقن SQL عبارة عن ثغرة أمنية تسمح للمتسلل الضار بالتأثير على قاعدة البيانات بطريقة تجعلها تعرض المعلومات أو تتصرف بشكل مختلف بطرق ليس من المفترض أن تفعلها، كما هو الحال بشكل عام، على سبيل المثال، القدرة على التعامل مع البيانات قاعدة البيانات في الكشف عن كلمة المرور.
وفقًا لموقع ووكومرس:
“إذا تأثر أحد المتاجر، فستكون المعلومات المكشوفة محددة لما يخزنه هذا الموقع ولكن يمكن أن تشمل معلومات الطلب والعملاء والمعلومات الإدارية.”
أشار إعلان WordFence إلى أن هذه ثغرة أمنية لحقن SQL العمياء.
وأوضح WordFence التأثير:
“سمحت هذه الثغرة الأمنية للمهاجمين غير المصادقين بالوصول إلى البيانات التعسفية في قاعدة بيانات المتجر عبر الإنترنت.
تمكن فريق Wordfence Threat Intelligence من تطوير إثباتات المفهوم للحقن العمياء المستندة إلى الوقت والقائمة على المنطق وأصدر قاعدة جدار الحماية الأولية لعملائنا المميزين في غضون ساعات من التصحيح.
هل تعرضت مواقع WooCommerce للاختراق؟
لا يوجد حاليًا أي دليل على وجود هجمات واسعة النطاق تهدد مواقع WooCommerce.
ذكر WordFence:
“لقد عثرت خدمة Wordfence Threat Intelligence على أدلة محدودة للغاية على هذه المحاولات، ومن المحتمل أن تكون هذه المحاولات مستهدفة بشكل كبير.”
فروع إصدار برنامج WooCommerce
والمقصود بفرع الإصدار هو الرقم المرتبط بالإصدار الذي يستخدمه الناشر.
يمكن للناشر أن يستخدم إصدارًا قديمًا جدًا 3.x، وإصدار 4.x وأحدث إصدار 5.x. كل من هذه الإصدارات 3 و 4 و 5 تعتبر فرعا.
يُطلق على الإصدارين 4.x و5.x من WooCommerce اسم فروع البرنامج ويعتبر الإصدار 5 بمثابة خطوة كبيرة مقارنة بالإصدار 4.
قد يجد بعض الناشرين صعوبة في التحديث من الإصدار 4.x إلى 5.x.
لاستيعاب هؤلاء الناشرين، أصدرت WooCommerce تصحيحًا يعمل على إغلاق الثغرة الأمنية لكل فرع.
لذا، إذا كان الموقع يحتوي على الإصدار 4.x من WooCommerce، فإننا ننصحه بالتحديث إلى الإصدار 4.8.1 على الأقل، وهو الإصدار الأحدث من فرع 4.x WooCommerce.
ومع ذلك، على الرغم من تصحيح أحدث إصدار من الفروع القديمة، يوصي الإعلان الرسمي بالتحديث إلى أحدث إصدار من WooCommerce، الإصدار حاليًا 5.5.1.
وأشار الإعلان إلى:
“…ما زلنا نوصيك بشدة بالتأكد من أنك تستخدم أحدث الإصدارات من WooCommerce وWooCommerce Blocks (5.5.1).”
ربما تسبب هذا البيان عن غير قصد في حدوث ارتباك بسيط بشأن المدى الذي يجب على الناشرين فرع الإصدار تحديثه.
كان بعض الناشرين يتساءلون عما إذا كانوا يستخدمون الإصدار 4.x، وما إذا كان آمنًا أم أنه يجب عليهم التحديث إلى أحدث إصدار من أعلى فرع في WooCommerce، الإصدار حاليًا 5.5.1؟
هذا ما سأله أحدهم في قسم التعليقات من الإعلان الرسمي:
“هل إصدار Woocommerce 4.8.1. آمن الآن أم لا؟”
أجاب شخص من WooCommerce بالبيان التالي:
“نظرًا لأن هذه الثغرة الأمنية الخطيرة تتعلق بالمكون الإضافي WooCommerce، فإننا نوصي بشدة بالتأكد من تحديث هذا أولاً.
يحتوي الإصدار الذي ذكرته، 4.8.1، على تصحيح الأمان، لذا ليس هناك أي شيء آخر عليك القيام به هنا حتى تصبح جاهزًا للتحديث إلى الإصدار الأحدث (5.5.1).”
اقتباسات
إعلان WooCommerce الرسمي
تم اكتشاف ثغرة أمنية خطيرة في WooCommerce في 13 يوليو 2021 – ما تحتاج إلى معرفته
تقرير WordFence وتحليل الثغرة الأمنية
تم تصحيح ثغرة أمنية خطيرة في حقن SQL في WooCommerce
