كُشف مؤخرًا عن ثغرة أمنية شديدة الخطورة في إضافة Really Simple Security (المعروفة سابقًا باسم Really Simple SSL) المختصة بحماية مواقع WordPress، والتي تُستخدم على نطاق واسع في ملايين المواقع. تُقدم الإضافة ميزات عديدة، مثل إعداد SSL، حماية تسجيل الدخول، التحقق بخطوتين (2FA)، وفحص الأمان الفوري.
الثغرة، التي تحمل الرمز CVE-2024-10924، تتيح للمهاجمين تجاوز أنظمة الحماية والحصول على صلاحيات مدير الموقع. وتؤثر على النسخ المجانية والمدفوعة من الإضافة، مما يُعرّض هذه المواقع لخطر كبير. الثغرة موجودة في الإصدارات من 9.0.0 إلى 9.1.1.1 من الإضافة، سواء كانت مجانية أو مدفوعة.
هذا يعني أن القراصنة يمكنهم:
- السيطرة الكاملة على المواقع المتضررة.
- تعديل محتوى المواقع أو تعطيلها.
- سرقة البيانات الحساسة الخاصة بالمستخدمين.
- استخدام أدوات آلية Bots لاستهداف أعداد كبيرة من المواقع دفعة واحدة وبشكل تلقائي.
تفاصيل الثغرة
الثغرة ناتجة عن خلل في معالجة طلبات التحقق بخطوتين (2FA) داخل الإضافة:
- وظيفة تُسمى check_login_and_get_user() تفشل في رفض محاولات تسجيل الدخول غير الصحيحة.
- عندما يُدخل المستخدم رمزًا خاطئًا (login_nonce)، تمنح الإضافة صلاحية الدخول عن طريق الخطأ باستخدام مُعرف المستخدم فقط.
- هذا الخلل يجعل ميزة التحقق بخطوتين، التي من المفترض أن تُعزز الأمان، نقطة ضعف خطيرة.
كيف تحمي موقعك؟
- قم بتحديث الإضافة فورًا إلى الإصدار 9.1.2 أو الإصدارات الأحدث.
- راجع قاعدة بيانات الموقع وسجلات النشاط للتأكد من عدم وجود أي نشاط مريب.
- إذا كنت تستخدم إصدارًا قديمًا من الإضافة، ففكر في تعطيل خاصية التحقق بخطوتين مؤقتًا حتى إتمام التحديث.
- احرص على الاحتفاظ بنسخ احتياطية محدثة من موقعك بشكل دوري.
تُبرز هذه الثغرة أهمية تحديث الإضافات بانتظام ومراقبة أمان الموقع بشكل دائم. إذا لم تكن لديك الخبرة التقنية الكافية لإتمام عملية التحديث، يمكنك الاستعانة بمزود خدمة الاستضافة أو مختص WordPress لضمان حماية موقعك.
