توسعهدهندگان وردپرس نسخهی ۴.۷.۲ این سامانهی مدیریت محتوا را منتشر کردند تا ۳ آسیبپذیری موجود در نسخهی قبلی برطرف شود.
اولین آسیب پذیری، تزریق SQL در کلاس WP_Query بود. این کلا س، پیچیدگیها و ریزه کاریهای مربوط به ارسال یک پست بر روی وبلاگ را مدیریت میکند. این آسیبپذیری توسط توسعهدهندهای به نام محمد جنگدا گزارش شده و زمانی که داده های ناامنی به عنوان ورودی به این کلاس وارد شود، قابل بهره برداری است. درحالی که این آسیب پذیری، هستهی وردپرس را تحت تأثیر قرار نداده ولی بهبودهایی در آن ایجاد شده تا به طور اتفاقی مشکلی برای هستهی وردپرس و افزونه ها پیش نیاید.
دومین آسیب پذیری که در نسخهی ۴.۷.۲ وصله شده، آسیبپذیری XSS است که در جدول فهرست پست ها وجود داشت و توسط یکی از اعضای گروه امنیتی وردپرس کشف شد.
دیوید هر را محقق امنیتی دیگری است که یک آسیبپذیری کنترل دسترسی را در وردپرس کشف کرد. او متوجه شد در بخش تعیین اصطلاحات طبقهبندی، این اطلاعات حتی به کاربرانی که هیچ مجوزی ندارند نیز نمایش داده میشود.
هرچند وردپرس در توضیحات خود اعلام کرده هیچ یک از این آسیبپذیریها حیاتی و مهم نیستند با اینحال US-CERT مشاوره نامهای منتشر کرده و گفته است: «یک مهاجم از راه دور میتواند از این آسیبپذیریها بهرهبرداری کرده و کنترل وبگاه آسیبپذیر را دست بگیرد.»
نسخهی ۴.۷.۲ وردپرس کمتر از دو هفته بعد از انتشار ۴.۷.۱ منتشر شد. در این نسخهی جدید ۶۲ اشکال و ۸ حفرهی امنیتی برطرف شد. این حفرههای امنیتی شامل اشکالات افشای اطلاعات، اجرای کد از راه دور، CSRF، XSS و اشکالات مربوط به رمزنگاری بود.
وردپرس در حال حاضر یکی از مهم ترین سامانههای مدیریت محتواست که هدف حملات نفوذگران قرار گرفته است. به گزارش شرکت امنیت وب SUCURI، اکثریت وبگاههایی که در سال گذشته مورد نفوذ قرار گرفتهاند بر روی وردپرس اجرا میشدند. اخیراً تحقق جامعی توسط مؤسسهی فناوری RIPS انجام شد که نشان میداد ۸۸۰۰ مورد از افزونههای موجود بر روی وبگاه رسمی وردپرس، حداقل دارای یک آسیبپذیری هستند.
شبنم منفرد