میزبان فا

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

  • دسته بندی: امنیت وردپرس بلاگ
  • 3 نظر
  • منتشر شده در تاریخ 4 جولای 2017
  • آپدیت شده در تاریخ

wp-statistics-sql-injection

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

حدودا 2 روز پیشتر در برخی از وب سایت های خارجی وردپرسی شایعه مشکل امنیتی افزونه WP Statistics مشاهده می شد.

مشکل چنین بیان شد که در قسمت آماری این افزونه و در توابع استفاده شده، می توان نفوذ SQL Injection انجام داد و اطلاعات وب سایت وردپرسی را مورد حمله قرارداد.

از قضا این موضوع برای من جالب آمد و بعد از تحقیق بسیار، نتیجه چنین شد :متاسفانه، صحت دارد !

 

SQL Injection چیست؟

تزریق به پایگاه داده (به انگلیسی: SQL injection) نوعی فن تزریق کد است که نقص امنیتی نرم‌افزار وب‌سایت را اکسپلویت می‌کند. به این صورت که نفوذگر با یک سری دستورهای اس‌کیوال، عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وب‌سایت آسیب‌پذیر انجام می‌دهد. “منبع : ویکی پدیا”

 

کشف مشکل SQL Injection در افزونه

این مشکل حاد توسط تیم امنیتی Sucuri کشف شد و در وب سایت خود قرار داد.

از بابت نوع مشکل کشف شده، چنین بیان شده است :

نوع مشکل: خطرناک

سطح دسترسی به مشکل : ساده/از راه دور

میزان خطر: 7/10

نوع نفوذ: SQL Injection

نسخه مشکل دار افزونه: 12.0.8

 

نحوه کشف این مشکل نیز از طریق نتایج جستوجوی Sucuri Firewall صورت گرفته شده است.

 

تابع ()wp_statistics_searchengine_query

یکی از توابع که نفوذ از آن صورت گرفته شده است، تابع : ()wp_statistics_searchengine_query می باشد.

مشکل این تابع آنجاست که سطوح دسترسی نقش کاربری (Role) را بررسی نمی کند و اجازه دسترسی به کد کوتاه را می دهد!

 

جلوگیری از ایجاد مشکل امنیتی

برای جلوگیری و بروز مشکل در وب سایت خود، هرچه سریعتر افزونه آمار بازدید وردپرس wp statistics به نسخه 12.0.9 را، همین امروز به روز رسانی کنید !

 

موفق باشید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.

پکیج های آموزشی

نظرات کاربران

avatar
مرتب سازی براساس:   جدیدترین | قدیمی ترین
علیرضا علیمردانی
علیرضا علیمردانی

سلام
در جایی خوندم این افزونه روی منابع هاست فشار زیادی وارد میکنه یعنی منابع زیادی از هاست رو مصرف میکنه. این موضوع صحت داره؟؟؟
اگر نه که همین الان نصب کنم اگر آره یک افزونه دیگه برای آمار گیری از سایت معرفی کنید لطفا
با تشکر از تلاش همگی شما و سایت خوبتون

محمد قاسمی
محمد قاسمی

درود.

بله، منابع زیادی مصرف می شود.

رسول
رسول

سلام من همین الان از کانال میهن وردپرس این مقاله رو دیدم
من هم نسخه ۱۲.۰.۸ داشتم همین الان در حال بروزرسانی به ۱۲.۰.۹ هست
همگی تیم میهن وردپرس دستتون طلا
خداقوت

wpDiscuz