תוספי וורדפרס פרוצים, מסוכנים ופגיעים
דף זה נמצא כעת בבנייה. אנחנו עובדים על שיפורו!
עם למעלה מ-47 אלף תוספים במאגר וורדפרס הרשמי ואלפים נוספים זמינים בשווקים ואתרים שונים אחרים, למצוא את אלה שעובדים היטב היא משימה לא פשוטה. מציאת תוספי וורדפרס מאובטחים ולא יסכנו את האתר שלך היא משימה קשה עוד יותר בשל האופי המורכב של אבטחת וורדפרס ולעיתים קרובות תוספים מסיביים עם אלפי שורות קוד.
למרות שאיננו יכולים לעזור לך להימנע מכל תוסף רע, אנו יכולים לאתר את אלה שידעו, אישרו נקודות תורפה ובעיות אבטחה. אלא אם כן אתה יודע מה אתה עושה, אתה בודק משהו בהתקנה מקומית, או שאתה עוסק באבטחת וורדפרס, אל תשתמש בתוספים המסוכנים המפורטים למטה באתרי ייצור. הבעיות המוסברות בטבלה שלהלן ידועות ומתועדות, מה שמקל על כל מי שיש לו כוונות רעות לנצל את פרצות האבטחה הללו ולתקוף את האתר שלך.
בהצגת תוספים בדף זה, אנו מתכוונים לא לזלזל בהם או למחבריהם! אנו רק רוצים להזהיר משתמשים שלא להתקין גרסאות ספציפיות שיש להן בעיות אבטחה ידועות. אם אתה מרגיש שהפלאגין שלך רשום בתקלה או שאתה זקוק לעזרה בעדכון שלו, אנא צור איתנו קשר.
כיצד להשתמש בדף זה וברשימה של תוספים פגיעים?
אם אתה משתמש באחד מהתוספים הרשומים, בדוק שוב את מספר הגרסה ואשר שזוהי זו עם בעיות ידועות. אם כן - הסר את התוסף מיד! זה כולל השבתה ומחיקה. לא רק מנטרל. ניתן גם ליצור קשר עם המחבר ולשאול אותו אם הבעיות תוקנו ואם לא לדרבן אותו לעשות זאת.
סוגי פגיעות
תזכורת מהירה לחורי האבטחה והבעיות הנפוצות ביותר של תוספי וורדפרס. שים לב שרוב הבעיות הן שילוב של שני סוגים או יותר המפורטים להלן.
צפייה שרירותית בקבצים
במקום לאפשר צפייה רק במקור קובץ מסוים (לדוגמה תבניות תוספים), היעדר בדיקות בקוד מאפשר לתוקף להציג את המקור של כל קובץ, כולל אלה עם מידע רגיש כגון wp-config.php
העלאת קבצים שרירותית
היעדר סוג קבצים וסינון תוכן מאפשר העלאה של קבצים שרירותיים שיכולים להכיל קוד הפעלה שברגע ההפעלה יכול לעשות כמעט הכל באתר
הסלמת פריבילגיות
ברגע שלתוקף יש חשבון באתר, גם אם הוא רק מסוג מנוי, הוא יכול להסלים את ההרשאות שלו לרמה גבוהה יותר, כולל ניהול.
הזרקת SQL
על ידי אי בריחה וסינון נתונים שנכנסים לשאילתות SQL, ניתן להחדיר קוד זדוני לשאילתות ולמחוק נתונים, לעדכן או להכניס למסד הנתונים. זוהי אחת הפגיעות הנפוצות ביותר.
ביצוע קוד מרחוק (RCE)
במקום להעלות ולהפעיל קוד זדוני, התוקף יכול להפעיל אותו ממיקום מרוחק. הקוד יכול לעשות הכל, מחטיפת האתר ועד למחיקתו לחלוטין.
רשימת תוספי וורדפרס פרוצים, מסוכנים ופגיעים
האם אתר הוורדפרס שלך נפרץ?
אל תתייאשו; זה קורה לטובים שבינינו. קשה לתת עצות כלליות מבלי לעיין באתר שלך, אבל אם אתה עדיין יכול להתחבר למנהל ה-WP שלך, אנו מציעים להתקין את תוסף אבטחה נינג'ה בחינם. הוא יבצע בדיקות +40 באתר שלך, ועם תוסף Core, תוכל לאמת את תקינות קבצי הליבה שלך על ידי השוואתם לעותקי האב המאובטחים המאוחסנים ב-WordPress.org. זהו כלי שלא יסולא בפז עבור כל אתר וורדפרס!
מקורות
רשימת תוספי וורדפרס המסוכנים והפגיעים האחרונים מורכבת ממקורות שונים כולל:
