سایت برتر

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

wp-statistics-sql-injection

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

حدودا 2 روز پیشتر در برخی از وب سایت های خارجی وردپرسی شایعه مشکل امنیتی افزونه WP Statistics مشاهده می شد.

مشکل چنین بیان شد که در قسمت آماری این افزونه و در توابع استفاده شده، می توان نفوذ SQL Injection انجام داد و اطلاعات وب سایت وردپرسی را مورد حمله قرارداد.

از قضا این موضوع برای من جالب آمد و بعد از تحقیق بسیار، نتیجه چنین شد :متاسفانه، صحت دارد !

 

SQL Injection چیست؟

تزریق به پایگاه داده (به انگلیسی: SQL injection) نوعی فن تزریق کد است که نقص امنیتی نرم‌افزار وب‌سایت را اکسپلویت می‌کند. به این صورت که نفوذگر با یک سری دستورهای اس‌کیوال، عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وب‌سایت آسیب‌پذیر انجام می‌دهد. “منبع : ویکی پدیا”

 

کشف مشکل SQL Injection در افزونه

این مشکل حاد توسط تیم امنیتی Sucuri کشف شد و در وب سایت خود قرار داد.

از بابت نوع مشکل کشف شده، چنین بیان شده است :

نوع مشکل: خطرناک

سطح دسترسی به مشکل : ساده/از راه دور

میزان خطر: 7/10

نوع نفوذ: SQL Injection

نسخه مشکل دار افزونه: 12.0.8

 

نحوه کشف این مشکل نیز از طریق نتایج جستوجوی Sucuri Firewall صورت گرفته شده است.

 

تابع ()wp_statistics_searchengine_query

یکی از توابع که نفوذ از آن صورت گرفته شده است، تابع : ()wp_statistics_searchengine_query می باشد.

مشکل این تابع آنجاست که سطوح دسترسی نقش کاربری (Role) را بررسی نمی کند و اجازه دسترسی به کد کوتاه را می دهد!

 

جلوگیری از ایجاد مشکل امنیتی

برای جلوگیری و بروز مشکل در وب سایت خود، هرچه سریعتر افزونه آمار بازدید وردپرس wp statistics به نسخه 12.0.9 را، همین امروز به روز رسانی کنید !

 

موفق باشید.

راستی! برای دریافت مطالب جدید در کانال تلگرام یا پیج اینستاگرام میهن وردپرس عضو شوید.

اطلاعاتی دارید که تکمیل‌کننده این مقاله باشد؟ ارسال کنید.

لطفا در این بخش، تنها اطلاعات تکمیلی در رابطه با موضوع فوق ارسال کنید. به منظور افزایش کیفیت محتوا، سوالات و متن ارسالی خارج از موضوع این مقاله، تایید نمی‌شوند. اگر سوالی دارید می‌توانید از بخش جامعه ارسال بفرمایید. متخصصان وردپرس پاسخگوی شما هستند.

سوال دارم

  1. کاربر مهمان ۱۶ آذر ۱۳۹۸

    سلام و درود
    من الان در این افزونه آماری با مشکل عدم نمایش مجموع ورودی در برگه ها و نوشته ها روبرو هستم. درحالیکه ورودی سایت را نمایش می دهد. لطفا راهنمایی بفرمایید.
    اگر افزونه جایگذین هم هست معرفی کنید.

  2. کاربر مهمان ۱۳ مهر ۱۳۹۶

    سلام
    در جایی خوندم این افزونه روی منابع هاست فشار زیادی وارد میکنه یعنی منابع زیادی از هاست رو مصرف میکنه. این موضوع صحت داره؟؟؟
    اگر نه که همین الان نصب کنم اگر آره یک افزونه دیگه برای آمار گیری از سایت معرفی کنید لطفا
    با تشکر از تلاش همگی شما و سایت خوبتون

  3. U7097 ۱۴ تیر ۱۳۹۶

    سلام من همین الان از کانال میهن وردپرس این مقاله رو دیدم
    من هم نسخه ۱۲.۰.۸ داشتم همین الان در حال بروزرسانی به ۱۲.۰.۹ هست
    همگی تیم میهن وردپرس دستتون طلا
    خداقوت