اکوسیستم وردپرس با رایج شدن افشای مسئولانه ایمن‌تر می‌شود

گزارش امنیتی Wordfence 2022 از وضعیت امنیت وردپرس در ۲۴ ژانویه ۲۰۲۳ منتشر شد. یکی از حوزه‌هایی که در این گزارش بررسی شده، آسیب‌پذیری‌های افشا شده در سال ۲۰۲۲ است. در نظر داشته باشید که برخی از آسیب‌پذیری‌ها بر چندین پلاگین، تم و هسته وردپرس تأثیر گذاشته است. طبق این خبر ۲۳۷۰ آسیب‌پذیری در سال ۲۰۲۲ گزارش شده است. پنج دسته اصلی آنها عبارت‌اند از: جعل درخواست بین‌سایتی (CSRF)، دورزدن مجوز، تزریق اسکریپت از طریق وبگاه(SQLi)  و افشای اطلاعات.

از طرفی این گزارش برخی از شباهت‌ها و تفاوت‌ها را با سال پیش را نشان می‌دهد؛ زیرا هنگام توسعه هسته، پلاگین و تم‌های وردپرس، همواره کدهای قدیمی به همراه کدهای جدیدتر به‌روز می‌شود. این امر می‌تواند منجر به افزایش تعداد آسیب‌پذیری‌های بالقوه یا راه‌هایی برای ایجاد آن شود.

علاوه بر تغییرات در کد، یکی از عوامل اصلی افزایش گزارش‌های آسیب‌پذیری در سال ۲۰۲۲ احتمالاً این واقعیت است که گزارش آسیب‌پذیری‌ آسان‌تر شده است. این بدان معناست که نقاط تماس بیشتری برای ارسال آسیب‌پذیری‌های تازه کشف‌شده و پهنای باند بیشتری برای پردازش گزارش‌های آسیب‌پذیری وجود دارد.

۲۰۲۲ – سال رشد در امنیت وردپرس

وقتی به انواع آسیب‌پذیری‌هایی که ردیابی می‌شوند نگاه می‌کنیم، تفاوت چندانی بین رایج‌ترین یا کم‌ترین گزارش‌ها در سال‌های ۲۰۲۱ و ۲۰۲۲ وجود ندارد. تنها چیزی که به طور قابل‌توجهی تغییر کرده حجم آسیب‌پذیری‌های گزارش شده است. حجم هر دسته به جز باگ open redirects از ۲۰۲۱ تا ۲۰۲۲ افزایش‌یافته است (تنها یک عدد کاهش‌یافته بود).

از سال ۲۰۲۱ تا ۲۰۲۲، تغییراتی در پنج دسته آسیب‌پذیری فاش شده که در بالا می‌بینید، رخ داد. مهم‌تر از همه، بخش افشای اطلاعات (information disclosure) از آپلود فایل‌ها (file uploads) با داشتن رتبه پنجم پیشی گرفت و اهمیت داده‌های محافظت شده و حساس را برجسته کرد. تغییر دیگر در بخش آسیب‌پذیری‌های CSRF است که بیش از دوبرابر نسبت به تغییرات آسیب‌پذیری‌های دورزدن مجوز (authorization bypass) افزایش‌یافته و تقریباً دوبرابر شده است.

آسیب‌پذیری‌های مربوط به آپلود فایل (File upload) جزو پنج برتر سال ۲۰۲۱ است که در گزارش ۲۰۲۲ مورد بحث قرار نگرفت. این در حالی است که این آسیب‌پذیری در سال ۲۰۲۲ از ۴۲ گزارش به ۴۸ گزارش افزایش‌یافته است. این آسیب‌پذیری یک نوع آسیب‌پذیری رایج برای سوءاستفاده باقی می‌ماند، زیرا به مهاجمان احتمالی اجازه می‌دهد هر فایل متناسب با عملکرد دلخواهشان را آپلود کنند که معمولاً توابعی شامل اجرای کد هستند. آنها شامل webshellهایی می‌شود که به آن‌ها اجازه می‌دهد دستورات را روی سرور اجرا، فایل‌ها را مدیریت و به طور بالقوه سایر وظایف مدیریتی را انجام دهند؛ بنابراین صرفاً به دلیل این که بین انواع آسیب‌پذیری‌ها برتر آورده نشده است، به این معنی نیست که توسعه‌دهندگان باید هنگام کار بر روی تم‌، افزونه‌ها یا حتی هسته وردپرس جدید بر روی آن تمرکز نکنند.

آسیب پذیری های ترند در سال ۲۰۲۲

با نگاهی به تفکیک مکان‌هایی که آسیب‌پذیری‌ها در آنها گزارش شده‌، مشخص می‌شود که افزونه‌ها بیشترین گزارش را شامل می‌شوند. البته باید این واقعیت را نیز در نظر بگیریم که تعداد افزونه‌ها بسیار بیشتر از تم‌ها است. به‌هرحال این نشان می‌دهد که هسته وردپرس بسیار امن‌تر است و نگرانی در مورد امنیت اکوسیستم وردپرس بیشتر مربوط به پلاگین‌ها و تم‌ها ست.

از بین آسیب‌پذیری‌های فاش شده در سال ۲۰۲۲، همه آنها به جز ۸۲۴ مورد، patcheهایی را دریافت کردند. این بدان معناست که حدود دو سوم از آسیب‌پذیری‌ها برای جلوگیری از سوء اصلاح شده‌اند. یک‌سوم آسیب‌پذیری‌های باقی‌مانده در افزونه‌هایی هستند که بسته شده‌ یا هرگز اصلاح نشده‌اند و در صورت نصب باید حذف شوند. به همین دلیل داشتن آگاهی از اینکه کدام نرم‌افزار می‌تواند دارای آسیب‌پذیری باشد، راهی برای ایمن‌تر نگه‌داشتن وب‌سایت است. چه برای به‌روزرسانی نرم‌افزار هنگام آپدیت patche چه برای حذف آن به دلیل patche نشدن، به‌روز ماندن در مورد آسیب‌پذیری‌ها به جلوگیری از حملات موفقیت‌آمیز به وب‌سایت کمک می‌کند.

در طول سال ۲۰۲۲، برای هسته  وردپرس ۲۲ آسیب‌پذیری گزارش شده که در مجموع، علاوه بر هسته وردپرس، ۲۳۴۵ افزونه و تم دارای آسیب‌پذیری وجود داشته است. از این تعداد، ۵۶۲ مورد بیش از یک آسیب‌پذیری گزارش شده در طول سال داشتند.

یکی دیگر از ملاحظات هنگام بررسی آسیب‌پذیری‌ها، سطح دسترسی آن است. در سال ۲۰۲۲، ۶۱۴ آسیب‌پذیری وجود داشت که برای دسترسی نیاز به امتیازات سطح بالا، ۵۵۳ موردنیاز به امتیازات سطح پایین و ۱۲۰۳ آسیب‌پذیری نیاز به هیچ امتیازی نداشتند. در یک وب‌سایت وردپرس، منظور از امتیازات سطح بالا، امتیازاتی است که مهاجم را ملزم به دسترسی در سطح ویرایشگر یا سرپرست وب می‌کند، درحالی‌که امتیازات سطح پایین معادل مشترک، مشارکت‌کننده یا نویسنده است.

از آسیب‌پذیری‌هایی که نیازی به احراز هویت در یک وب‌سایت آسیب‌پذیر نداشتند، ۸۸۸ مورد از آنها شامل اسکریپت بین سایتی (XSS) یا جعل درخواست بین سایتی (CSRF) بودند. این آسیب‌پذیری‌ها برای سو استفاده نیاز به تعامل با کاربر نیاز دارند، مانند متقاعدکردن کاربر برای کلیک‌کردن روی یک پیوند مخرب ساخته شده. ۳۱۵ آسیب‌پذیری باقی‌مانده که به دسترسی تأیید شده نیاز ندارند، آنهایی هستند که نیازی به تعامل با کاربر ندارند.

۲۰۲۳ چگونه خواهد بود؟

سال ۲۰۲۳ بسیار شبیه به سال ۲۰۲۲ است. اسکریپت بین سایتی (XSS)، بای‌پس احراز هویت، جعل درخواست بین سایتی (CSRF) و تزریق SQL (SQLi) رایج‌ترین آسیب‌پذیری گزارش شده خواهند بود. البته ممکن است آسیب‌پذیری‌های افشای اطلاعات به دلیل بازگشت آسیب‌پذیری‌های پیمایش دایرکتوری و آپلود فایل در سال جاری کمتر قابل‌توجه باشد.

اصلی‌ترین چیزی که می‌توانیم برای سال ۲۰۲۳ روی آن حساب کنیم این است که آسیب‌پذیری‌های بیشتری گزارش می‌شود. در واقع گزارش آسیب‌پذیری‌ها آسان‌تر از همیشه شده و این چیز خوبی است؛ زیرا به این معنی است که آسیب‌پذیری‌های بیشتری اصلاح خواهند شد.

نتیجه

افزایش آسیب‌پذیری‌های گزارش شده، اهمیت به‌روز نگه‌داشتن وب‌سایت‌ها طبق آخرین به‌روزرسانی‌های امنیتی را نشان می‌دهد. افزایشی که در گزارش‌های آسیب‌پذیری مشاهده می‌شود بیش از هر زمان دیگری وردپرس را ایمن ساخته است، اما این بدان معناست که اجزاء نیز به‌دفعات بیشتری به‌روزرسانی شوند. هسته، تم و افزونه‌های وردپرس باید همیشه پس از انتشار نسخه جدید دراسرع‌وقت به‌روز شوند تا اطمینان حاصل شود که آسیب‌پذیری‌ها اصلاح شده و شانس موفقیت عوامل تهدیدکننده به حداقل برسد. علاوه بر به‌روز نگه‌داشتن وب‌سایت‌ها، پیاده‌سازی راه‌حلی مانند پشتیبانی وبسایت وردپرس داده چین برای محافظت از وب‌سایت شما در برابر حملات و بدافزارها نیز مهم است.