اکوسیستم وردپرس با رایج شدن افشای مسئولانه ایمن‌تر می‌شود

گزارش امنیتی Wordfence 2022 از وضعیت امنیت وردپرس در 24 ژانویه 2023 منتشر شد. یکی از حوزه‌هایی که در این گزارش بررسی شده، آسیب‌پذیری‌های افشا شده در سال 2022 است. در نظر داشته باشید که برخی از آسیب‌پذیری‌ها بر چندین پلاگین، تم و هسته وردپرس تأثیر گذاشته است. طبق این خبر 2370 آسیب‌پذیری در سال 2022 گزارش شده است. پنج دسته اصلی آنها عبارت‌اند از: جعل درخواست بین‌سایتی (CSRF)، دورزدن مجوز، تزریق اسکریپت از طریق وبگاه(SQLi)  و افشای اطلاعات.

از طرفی این گزارش برخی از شباهت‌ها و تفاوت‌ها را با سال پیش را نشان می‌دهد؛ زیرا هنگام توسعه هسته، پلاگین و تم‌های وردپرس، همواره کدهای قدیمی به همراه کدهای جدیدتر به‌روز می‌شود. این امر می‌تواند منجر به افزایش تعداد آسیب‌پذیری‌های بالقوه یا راه‌هایی برای ایجاد آن شود.

علاوه بر تغییرات در کد، یکی از عوامل اصلی افزایش گزارش‌های آسیب‌پذیری در سال 2022 احتمالاً این واقعیت است که گزارش آسیب‌پذیری‌ آسان‌تر شده است. این بدان معناست که نقاط تماس بیشتری برای ارسال آسیب‌پذیری‌های تازه کشف‌شده و پهنای باند بیشتری برای پردازش گزارش‌های آسیب‌پذیری وجود دارد.

2022 – سال رشد در امنیت وردپرس

وقتی به انواع آسیب‌پذیری‌هایی که ردیابی می‌شوند نگاه می‌کنیم، تفاوت چندانی بین رایج‌ترین یا کم‌ترین گزارش‌ها در سال‌های 2021 و 2022 وجود ندارد. تنها چیزی که به طور قابل‌توجهی تغییر کرده حجم آسیب‌پذیری‌های گزارش شده است. حجم هر دسته به جز باگ open redirects از 2021 تا 2022 افزایش‌یافته است (تنها یک عدد کاهش‌یافته بود).

از سال 2021 تا 2022، تغییراتی در پنج دسته آسیب‌پذیری فاش شده که در بالا می‌بینید، رخ داد. مهم‌تر از همه، بخش افشای اطلاعات (information disclosure) از آپلود فایل‌ها (file uploads) با داشتن رتبه پنجم پیشی گرفت و اهمیت داده‌های محافظت شده و حساس را برجسته کرد. تغییر دیگر در بخش آسیب‌پذیری‌های CSRF است که بیش از دوبرابر نسبت به تغییرات آسیب‌پذیری‌های دورزدن مجوز (authorization bypass) افزایش‌یافته و تقریباً دوبرابر شده است.

آسیب‌پذیری‌های مربوط به آپلود فایل (File upload) جزو پنج برتر سال 2021 است که در گزارش 2022 مورد بحث قرار نگرفت. این در حالی است که این آسیب‌پذیری در سال 2022 از 42 گزارش به 48 گزارش افزایش‌یافته است. این آسیب‌پذیری یک نوع آسیب‌پذیری رایج برای سوءاستفاده باقی می‌ماند، زیرا به مهاجمان احتمالی اجازه می‌دهد هر فایل متناسب با عملکرد دلخواهشان را آپلود کنند که معمولاً توابعی شامل اجرای کد هستند. آنها شامل webshellهایی می‌شود که به آن‌ها اجازه می‌دهد دستورات را روی سرور اجرا، فایل‌ها را مدیریت و به طور بالقوه سایر وظایف مدیریتی را انجام دهند؛ بنابراین صرفاً به دلیل این که بین انواع آسیب‌پذیری‌ها برتر آورده نشده است، به این معنی نیست که توسعه‌دهندگان باید هنگام کار بر روی تم‌، افزونه‌ها یا حتی هسته وردپرس جدید بر روی آن تمرکز نکنند.

آسیب پذیری های ترند در سال 2022

با نگاهی به تفکیک مکان‌هایی که آسیب‌پذیری‌ها در آنها گزارش شده‌، مشخص می‌شود که افزونه‌ها بیشترین گزارش را شامل می‌شوند. البته باید این واقعیت را نیز در نظر بگیریم که تعداد افزونه‌ها بسیار بیشتر از تم‌ها است. به‌هرحال این نشان می‌دهد که هسته وردپرس بسیار امن‌تر است و نگرانی در مورد امنیت اکوسیستم وردپرس بیشتر مربوط به پلاگین‌ها و تم‌ها ست.

از بین آسیب‌پذیری‌های فاش شده در سال 2022، همه آنها به جز 824 مورد، patcheهایی را دریافت کردند. این بدان معناست که حدود دو سوم از آسیب‌پذیری‌ها برای جلوگیری از سوء اصلاح شده‌اند. یک‌سوم آسیب‌پذیری‌های باقی‌مانده در افزونه‌هایی هستند که بسته شده‌ یا هرگز اصلاح نشده‌اند و در صورت نصب باید حذف شوند. به همین دلیل داشتن آگاهی از اینکه کدام نرم‌افزار می‌تواند دارای آسیب‌پذیری باشد، راهی برای ایمن‌تر نگه‌داشتن وب‌سایت است. چه برای به‌روزرسانی نرم‌افزار هنگام آپدیت patche چه برای حذف آن به دلیل patche نشدن، به‌روز ماندن در مورد آسیب‌پذیری‌ها به جلوگیری از حملات موفقیت‌آمیز به وب‌سایت کمک می‌کند.

در طول سال ۲۰۲۲، برای هسته  وردپرس 22 آسیب‌پذیری گزارش شده که در مجموع، علاوه بر هسته وردپرس، ۲۳۴۵ افزونه و تم دارای آسیب‌پذیری وجود داشته است. از این تعداد، 562 مورد بیش از یک آسیب‌پذیری گزارش شده در طول سال داشتند.

یکی دیگر از ملاحظات هنگام بررسی آسیب‌پذیری‌ها، سطح دسترسی آن است. در سال 2022، 614 آسیب‌پذیری وجود داشت که برای دسترسی نیاز به امتیازات سطح بالا، 553 موردنیاز به امتیازات سطح پایین و 1203 آسیب‌پذیری نیاز به هیچ امتیازی نداشتند. در یک وب‌سایت وردپرس، منظور از امتیازات سطح بالا، امتیازاتی است که مهاجم را ملزم به دسترسی در سطح ویرایشگر یا سرپرست وب می‌کند، درحالی‌که امتیازات سطح پایین معادل مشترک، مشارکت‌کننده یا نویسنده است.

از آسیب‌پذیری‌هایی که نیازی به احراز هویت در یک وب‌سایت آسیب‌پذیر نداشتند، 888 مورد از آنها شامل اسکریپت بین سایتی (XSS) یا جعل درخواست بین سایتی (CSRF) بودند. این آسیب‌پذیری‌ها برای سو استفاده نیاز به تعامل با کاربر نیاز دارند، مانند متقاعدکردن کاربر برای کلیک‌کردن روی یک پیوند مخرب ساخته شده. 315 آسیب‌پذیری باقی‌مانده که به دسترسی تأیید شده نیاز ندارند، آنهایی هستند که نیازی به تعامل با کاربر ندارند.

2023 چگونه خواهد بود؟

سال 2023 بسیار شبیه به سال 2022 است. اسکریپت بین سایتی (XSS)، بای‌پس احراز هویت، جعل درخواست بین سایتی (CSRF) و تزریق SQL (SQLi) رایج‌ترین آسیب‌پذیری گزارش شده خواهند بود. البته ممکن است آسیب‌پذیری‌های افشای اطلاعات به دلیل بازگشت آسیب‌پذیری‌های پیمایش دایرکتوری و آپلود فایل در سال جاری کمتر قابل‌توجه باشد.

اصلی‌ترین چیزی که می‌توانیم برای سال 2023 روی آن حساب کنیم این است که آسیب‌پذیری‌های بیشتری گزارش می‌شود. در واقع گزارش آسیب‌پذیری‌ها آسان‌تر از همیشه شده و این چیز خوبی است؛ زیرا به این معنی است که آسیب‌پذیری‌های بیشتری اصلاح خواهند شد.

نتیجه

افزایش آسیب‌پذیری‌های گزارش شده، اهمیت به‌روز نگه‌داشتن وب‌سایت‌ها طبق آخرین به‌روزرسانی‌های امنیتی را نشان می‌دهد. افزایشی که در گزارش‌های آسیب‌پذیری مشاهده می‌شود بیش از هر زمان دیگری وردپرس را ایمن ساخته است، اما این بدان معناست که اجزاء نیز به‌دفعات بیشتری به‌روزرسانی شوند. هسته، تم و افزونه‌های وردپرس باید همیشه پس از انتشار نسخه جدید دراسرع‌وقت به‌روز شوند تا اطمینان حاصل شود که آسیب‌پذیری‌ها اصلاح شده و شانس موفقیت عوامل تهدیدکننده به حداقل برسد. علاوه بر به‌روز نگه‌داشتن وب‌سایت‌ها، پیاده‌سازی راه‌حلی مانند پشتیبانی وبسایت وردپرس داده چین برای محافظت از وب‌سایت شما در برابر حملات و بدافزارها نیز مهم است.