سایت برتر

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

wp-statistics-sql-injection

مشکل امنیتی افزونه WP Statistics و نفوذ SQL Injection

حدودا 2 روز پیشتر در برخی از وب سایت های خارجی وردپرسی شایعه مشکل امنیتی افزونه WP Statistics مشاهده می شد.

مشکل چنین بیان شد که در قسمت آماری این افزونه و در توابع استفاده شده، می توان نفوذ SQL Injection انجام داد و اطلاعات وب سایت وردپرسی را مورد حمله قرارداد.

از قضا این موضوع برای من جالب آمد و بعد از تحقیق بسیار، نتیجه چنین شد :متاسفانه، صحت دارد !

 

SQL Injection چیست؟

تزریق به پایگاه داده (به انگلیسی: SQL injection) نوعی فن تزریق کد است که نقص امنیتی نرم‌افزار وب‌سایت را اکسپلویت می‌کند. به این صورت که نفوذگر با یک سری دستورهای اس‌کیوال، عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وب‌سایت آسیب‌پذیر انجام می‌دهد. “منبع : ویکی پدیا”

 

کشف مشکل SQL Injection در افزونه

این مشکل حاد توسط تیم امنیتی Sucuri کشف شد و در وب سایت خود قرار داد.

از بابت نوع مشکل کشف شده، چنین بیان شده است :

نوع مشکل: خطرناک

سطح دسترسی به مشکل : ساده/از راه دور

میزان خطر: 7/10

نوع نفوذ: SQL Injection

نسخه مشکل دار افزونه: 12.0.8

 

نحوه کشف این مشکل نیز از طریق نتایج جستوجوی Sucuri Firewall صورت گرفته شده است.

 

تابع ()wp_statistics_searchengine_query

یکی از توابع که نفوذ از آن صورت گرفته شده است، تابع : ()wp_statistics_searchengine_query می باشد.

مشکل این تابع آنجاست که سطوح دسترسی نقش کاربری (Role) را بررسی نمی کند و اجازه دسترسی به کد کوتاه را می دهد!

 

جلوگیری از ایجاد مشکل امنیتی

برای جلوگیری و بروز مشکل در وب سایت خود، هرچه سریعتر افزونه آمار بازدید وردپرس wp statistics به نسخه 12.0.9 را، همین امروز به روز رسانی کنید !

 

موفق باشید.

راستی! برای دریافت مطالب جدید در کانال تلگرام یا پیج اینستاگرام میهن وردپرس عضو شوید.

نظر شما در این‌باره چیست؟

  1. کاربر مهمان ۱۶ آذر ۱۳۹۸

    سلام و درود
    من الان در این افزونه آماری با مشکل عدم نمایش مجموع ورودی در برگه ها و نوشته ها روبرو هستم. درحالیکه ورودی سایت را نمایش می دهد. لطفا راهنمایی بفرمایید.
    اگر افزونه جایگذین هم هست معرفی کنید.

  2. کاربر مهمان ۱۳ مهر ۱۳۹۶

    سلام
    در جایی خوندم این افزونه روی منابع هاست فشار زیادی وارد میکنه یعنی منابع زیادی از هاست رو مصرف میکنه. این موضوع صحت داره؟؟؟
    اگر نه که همین الان نصب کنم اگر آره یک افزونه دیگه برای آمار گیری از سایت معرفی کنید لطفا
    با تشکر از تلاش همگی شما و سایت خوبتون

  3. U7097 ۱۴ تیر ۱۳۹۶

    سلام من همین الان از کانال میهن وردپرس این مقاله رو دیدم
    من هم نسخه ۱۲.۰.۸ داشتم همین الان در حال بروزرسانی به ۱۲.۰.۹ هست
    همگی تیم میهن وردپرس دستتون طلا
    خداقوت

یک پیشنهاد خوب
اگر می‌خواهید وب‌سایت خود را اصولی مدیریت کنید، دوره جامع سایت برتر را از دست ندهید. اطلاعات بیشتر... ممنون. این پیام را ببند

اگر می‌خواهید وب‌سایت خود را اصولی مدیریت کنید، دوره جامع سایت برتر را از دست ندهید.

اطلاعات بیشتر...

تخفیف ۶۰ درصدی برای شرکت در دوره جامع سایت برتر ۲۰۲۱

فقط 0 روز و 0 ساعت و 0 دقیقه و 0 ثانیه