Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
أخبار التقنية

تم تثبيت مكون WordPress الإضافي على أكثر من مليون موقع وكلمات مرور للنص العادي


GettyImages

أصدر All-In-One Security ، وهو مكون إضافي للأمان في WordPress مثبت على أكثر من مليون موقع ويب ، تحديثًا أمنيًا بعد أن تم اكتشافه قبل ثلاثة أسابيع وهو يسجل كلمات مرور نص عادي ويخزنها في قاعدة بيانات يمكن لمسؤولي مواقع الويب الوصول إليها.

قال مطور AIOS يوم الخميس ، إنه تم تسجيل كلمات المرور عندما قام مستخدمو موقع يستخدم المكون الإضافي ، والذي يُختصر عادةً باسم AIOS ، بتسجيل الدخول. قال المطور إن التسجيل كان نتيجة خطأ تم تقديمه في مايو في الإصدار 5.1.9. الإصدار 5.2.0 الذي تم إصداره يوم الخميس يصلح الخطأ وأيضًا “يحذف البيانات التي بها مشكلات من قاعدة البيانات”. كانت قاعدة البيانات متاحة للأشخاص الذين لديهم وصول إداري إلى الموقع.

انتهاك امني كبير

كتب ممثل AIOS في رسالة بريد إلكتروني أن “الحصول على أي شيء من هذا العيب يتطلب تسجيل الدخول بأعلى مستوى من الامتيازات الإدارية ، أو ما يعادلها. على سبيل المثال ، يمكن استغلالها من قبل مسؤول مارق يمكنه بالفعل القيام بمثل هذه الأشياء لأنه مشرف “.

ومع ذلك ، لطالما نصح ممارسو الأمن المشرفين بعدم تخزين كلمات المرور مطلقًا في نص عادي ، نظرًا للسهولة النسبية التي يتمتع بها المتسللون لعقود من الزمن في اختراق مواقع الويب والاستيلاء على البيانات المخزنة عليها. في هذا السياق ، فإن كتابة كلمات مرور ذات نص عادي لأي نوع من قواعد البيانات – بغض النظر عمن لديه حق الوصول إليها – يمثل انتهاكًا أمنيًا كبيرًا.

الطريقة الوحيدة المقبولة لتخزين كلمات المرور لأكثر من عقدين هي تجزئة التشفير التي يتم إنشاؤها باستخدام ما يوصف غالبًا بأنه خوارزمية بطيئة ، مما يعني أنه يتطلب وقتًا وموارد حوسبة أعلى من المتوسط ​​ليتم اختراقها. هذا الاحتياط بمثابة بوليصة تأمين من نوع ما. في حالة اختراق قاعدة البيانات ، سيحتاج ممثلو التهديد إلى موارد الوقت والحوسبة لتحويل التجزئة إلى نص عادي مطابق ، مما يمنح المستخدمين الوقت لتغييرها. عندما تكون كلمات المرور قوية – بمعنى ما لا يقل عن 12 حرفًا ، يتم إنشاؤها عشوائيًا وفريدة من نوعها لكل موقع – فمن غير المجدي عمومًا لمعظم الجهات الفاعلة في التهديد كسرها عند تجزئتها باستخدام خوارزمية بطيئة.

غالبًا ما تستخدم عمليات تسجيل الدخول من بعض الخدمات الكبيرة أنظمة تحاول حماية محتويات النص العادي حتى من الموقع نفسه. ومع ذلك ، لا يزال من الشائع بالنسبة للعديد من المواقع الوصول لفترة وجيزة إلى محتويات النص العادي قبل تمريرها إلى خوارزمية التجزئة.

ظهر خطأ تسجيل كلمة المرور منذ ثلاثة أسابيع على الأقل في منتدى WordPress ، عندما اكتشف المستخدم السلوك وقلق في إحدى المشاركات ، فقد يؤدي ذلك إلى فشل المؤسسة في مراجعة أمنية قادمة من قبل مدققي الامتثال التابعين لجهات خارجية. في نفس اليوم ، رد ممثل AIOS ، “هذا خطأ معروف في الإصدار الأخير.” ذهب الممثل إلى تقديم برنامج نصي كان من المفترض أن يمسح البيانات المسجلة. أبلغ المستخدم أن البرنامج النصي لا يعمل.

سأل المستخدم أيضًا عن سبب عدم قيام AIOS بإجراء إصلاح متاح بشكل عام في ذلك الوقت ، فكتب:

هذا هو مشكلة كبيرة. أي شخص ، مثل المقاول ، لديه حق الوصول إلى اسم المستخدم وكلمات المرور لجميع مسؤولي الموقع الآخرين.

علاوة على ذلك ، كما تم توثيق اختبار pentesting الخاص بنا ، فإن المقاول ومصممي المواقع لديهم ممارسات كلمة مرور سيئة للغاية. بيانات اعتماد عقدنا هي نفسها التي يستخدمونها في جميع مواقع عملائهم الأخرى (و Gmail و Facebook).

تقدم AIOS في الغالب إرشادات كلمة مرور سليمة

نص تحذير يوم الخميس: “كان من المهم تصحيح هذه المشكلة ونحن نعتذر عن السقوط” ، ومضت لتكرار النصائح القياسية ، بما في ذلك:

  • تأكد من تحديث AIOS وأي مكونات إضافية أخرى تستخدمها. يضمن هذا تصحيح أي ثغرات تم تحديدها بواسطة المطورين أو المجتمع ، مما يساعد في الحفاظ على أمان موقعك. يمكنك معرفة إصدار المكون الإضافي الذي تستخدمه داخل لوحة التحكم. سيتم إخطارك بأي تحديثات معلقة داخل شاشة البرنامج المساعد على لوحة معلومات WordPress. تتوفر هذه المعلومات أيضًا في قسم تحديثات لوحة معلومات WordPress. يمكن أن يساعدك أحد المكونات الإضافية مثل “Easy Updates Manager” في أتمتة هذه العملية
  • قم بتغيير كل كلمات المرور بانتظام ، خاصة إذا كنت تعتقد أن كلمة المرور الخاصة بك قد تم اختراقها. سيؤدي هذا إلى منع أي شخص لديه معلومات تسجيل الدخول الخاصة بك من التسبب في تلف موقعك أو الوصول إلى بياناتك.
  • قم دائمًا بتمكين المصادقة الثنائية على حساباتك (WordPress وغير ذلك). تعمل طبقة الحماية الإضافية هذه عن طريق التحقق من تسجيل الدخول الخاص بك من خلال جهاز ثانٍ مثل هاتفك المحمول أو جهازك اللوحي. إنها واحدة من أبسط الطرق وأكثرها فعالية لإبقاء بياناتك بعيدًا عن أيدي المتسللين: باستخدام المصادقة ذات العاملين ، لا تزال كلمة المرور المسروقة لا تسمح للمهاجم بتسجيل الدخول إلى حساب. يتضمن AIOS وحدة مصادقة ثنائية لحماية مواقع WordPress الخاصة بك.

في حين أن معظم النصائح سليمة ، فإن التوصية بتغيير كلمات المرور بانتظام أصبحت قديمة. في السنوات الأخيرة ، خلص ممارسو الأمن إلى أن تغيير كلمة المرور يمكن أن يضر أكثر مما ينفع عندما لا يكون هناك سبب للشك في اختراق الحساب. السبب: تشجع التغييرات المنتظمة لكلمات المرور المستخدمين على اختيار كلمات مرور أضعف. وصفت مايكروسوفت هذه الممارسة بأنها “قديمة وعفا عليها الزمن”.

يجب على أي شخص يستخدم AIOS تثبيت التحديث في أقرب وقت ممكن عمليًا والتأكد من أن حذف السجل يعمل كما هو موضح. يجب على المستخدمين النهائيين أو المسؤولين الذين يشتبهون في أن كلمة المرور الخاصة بهم قد تم التقاطها بواسطة موقع ويب يستخدم AIOS ، يجب عليهم تغييرها على هذا الموقع ، وفي حالة استخدامهم لنفس كلمة المرور على مواقع أخرى ، فإن تلك المواقع الأخرى أيضًا.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

What Are the Secrets Behind Billy Gardell’s Weight Loss in 2024? 5 Scientifically-Backed Ways to Lose Weight Best Appetite Suppressants for Hunger Control and Weight Loss in 2022 Top 5 Christina Aguilera Weight Loss Secrets: What Worked for Her Do Keto ACV Gummies Really Work? A Comprehensive Look Honest and Comprehensive Review of Biopure Keto Gummies Where to Buy Keto Gummies: Your Guide to the Best Products Your Guide to Walmart Keto ACV Gummies: Benefits, Reviews, and More! How Slim Plus Keto ACV Gummies Can Transform Your Weight Loss Journey Transform Your Body with Ripped Results Keto Gummies: The Tasty Way to Keto Success The Ultimate Guide to Total Fit Keto ACV Gummies for Weight Loss The Ultimate Guide to 1st Choice Keto + ACV Gummies The Ultimate Guide to Optimal Keto + ACV Gummies: Benefits and Usage Unraveling the Truth Behind ProFast Keto ACV Gummies: A Comprehensive Review Why You Need Keto and ACV Gummies: Discover Their Benefits Is the Keto + ACV Gummies Scam Real? Let’s Investigate! How Jonah Hill’s Weight Loss Journey Transformed in 2024 Why Anant Ambani’s Weight Loss Approach Worked: Detailed Insights and Methods How Jelly Roll’s 2024 Weight Loss Journey Transformed His Life Kelly Clarkson Weight Loss Secrets: How She Did It in 2024 Simple and Easy Tips from Melissa McCarthy’s Weight Loss Success Best Peptides for Weight Loss in 2024: Easy Choices, Proven Solutions, and Benefits How Lizzo’s Weight Loss Journey Evolved in 2024: Facts and Insights How Rebel Wilson Achieved Her Weight Loss Goals: Steps and Secrets Ultimate Facts About Weight Loss Drugs for Alzheimer’s: Latest 2024 Analysis Berberine Weight Loss: Latest Insights & Benefits for 2024 Why Semaglutide Dosage Matters for Effective Weight Loss: Tips and Insights Leanbean Review 2022: Ingredients, Effectiveness, and Side Effects