آسیب پذیری پلاگین MonsterInsights Google Analytics در وردپرس !

پایگاه داده ملی آمریکا  اعلام کرد که  افزونه محبوبِ MonsterInsights Google Analytics  که در بیش از 3 میلیون دستگاه نصب فعال دارد ، حاوی حملات XSS یا اسکریپت نویسی متقابل است که این نشان دهنده آسیب پذیری این پلاگین است . احتمالا برایتان سوال شده اسکریپت نوبسی متقابل یا حملات XSS چیست و چرا باعث کاهش امنیت می شود. در ادامه به بررسی چرایی این قضیه می پردازیم.

اسکریپت نویسی متقابل چیست؟ 

حمله (XSS)  یا اسکریپت نویسی متقابل معمولاً زمانی اتفاق می‌افتد که بخشی از وب‌سایت که اجازه ورود به کاربر را  می دهد ، ناامن است و اجازه ورودی‌های پیش‌بینی نشده مانند اسکریپت‌ها یا لینک ها را می‌دهد. 

آسیب‌پذیری XSS می‌تواند برای دسترسی غیرمجاز به یک وب‌سایت مورد استفاده قرار گیرد و می‌تواند منجر به سرقت اطلاعات کاربر یا تصرف کامل سایت شود. پس اسکریپت نویسی متقابل فوق العاده خطرناک است. و این باعث آسیب پذیری پلاگین گوگل آنالیتیکس شده بود.

پروژه امنیت نرم‌افزاری تحت وب  نحوه عملکرد آسیب پذیر XSS را اینگونه شرح می دهد:

«یک مهاجم می‌تواند از XSS برای ارسال یک اسکریپت مخرب به یک کاربر استفاده کند. مرورگرِ کاربر نهایی توانایی تشخیص امن بودن اسکریپت را  ندارد و اسکریپت را اجرا می کند. 

از آنجایی مرورگر فکر می‌کند اسکریپت از یک منبع مطمئن آمده ،دسترسی هایی را به فایل اسکریپت می دهد. که اسکریپت مخرب می‌تواند به کوکی‌های مرورگر ، یا سایر اطلاعات حساسی که توسط مرورگر ذخیره شده ، دسترسی داشته باشد.

نوعی از XSS ها ، قابلیت ذخیره سازی در سرور های وب سایت را دارند که نوع بسیار مخربی از XSS ها هستند. 

افزونه MonsterInsights Google Analytics ، نسخه ی ذخیره پذیر XSS را درون خود دارد که این قضیه ، پلاگین MonsterInsights Google Analytics را بسیار آسیپ پذیر می کند.

داشبورد گوگل آنالیتیکس آسیب‌پذیر در وردپرس

پلاگین MonsterInsights Google Analytics در بیش از سه میلیون وب سایت نصب شده است. که این نگرانی ها را در مورد آسیب پذیر بودن آن بیشتر میکند.

یک شرکت امنیتی وردپرس، این آسیب پذیری را کشف کرده است وجزئیاتی را در این خصوص انتشار داده است:

این پلاگین می‌تواند به یک بدافزار اجازه دهد تا اسکریپت‌های مخرب مانند انواع ریدایرکت (بهتر بگوییم ریدایرکت های ناخواسته ) ، تبلیغات پاپ آپ و سایر کدهای HTML را به وب‌سایت شما تزریق کند. که این کدهای مخرب ، هنگام بازدید کاربر از وبسایت شما به اشکال مختلف ظاهر می شوند. 

البته خوشبختانه این آسیب پذیری در نسخه 8.14.1 رفع شده است.

در مخزن پلاگین وردپرس در بخش تغییرات پلاگینِ MonsterInsights Google Analytics توضیحی تا حدودی مبهم از تغیرات امنیتی ارائه شده که بصورت زیر است  :

“اصلاح شد: ما یک خطای هشدار PHP را رفع کردیم و مقاوم سازی های امنیتی را بهبود بخشیدیم .”

حالا مقاوم سازی امنیتی چیست ؟ “مقاوم سازی امنیتی” اصطلاحی است که می تواند برای بسیاری از وظایف مربوط به کاهش بردارهای حمله مانند حذف شماره نسخه به کار رود.

وبسایت رسمی وردپرس یک نوشته کامل در مورد مقاوم سازی امنیتی منتشر کرده است که پیشنهاد می کنیم ، به مطالعه آن بپردازید.

راه حل پیشنهادی برای جلوگیری از آسیب پذیری پلاگین MonsterInsights Google Analytics 

متخصصان توصیه می کند که همه کاربران پلاگین MonsterInsights Google Analytics خود را فوراً به آخرین نسخه یا حداقل نسخه 8.14.1 به روز کنند.

ادامه مطلب