ویژگی WSOD در نسخه ۵.۱ وردپرس و آسیب پذیری آن

5

نسخه ۵.۱ وردپرس که قرار است در بهار پیش رو به صورت رسمی عرضه شود همراه با تغییراتی است که یکی از این تغییرات اضافه شدن ویژگی امنیتی WSOD است،دراین ویژگی که مخفف White Screen Of Death است به معنای صفحه سفید مرگ در وردپرس که نقش Safe Mode را اجرا می کند.

این ویژگی قرار است برای پیدا کردن خطاهای مهلک PHP در قالب و افزونه های سایت به مدیران سایت ها کمک کند.ویژگی WSOD قالب و پلاگینی که دچار مشکل شده است را متوقف می کند و به مدیر سایت اجازه می دهده تا به پنل بک اند ( مدیریت سایت ) وب سایت دسترسی داشته و مشکل را برطرف نمایند.

اما به گفته مختصصان امنیتی این ویژگی باعث متوقف شدن پلاگین های امنیتی سایت شده و احتمال آسیب رسانی به سایت های وردپرسی را افزایش می دهد.

ویژگی صفحه سفید مرگ به این منظور به وردپرس اضافه شده که مدیران سایت های وردپرسی بتوانند با استفاده از این ویژگی مشکلات که در نسخه PHP 7.X اتفاق می افتد را مدیریت و رفع کنند.طبق این بررسی توسعه دهندگان وردپرس به این نتیجه رسیدند که از این ویژگی می توان برای بررسی خطاهای موجود در پلاگین و قالب سایت ها هم استفاده نمود.

اما مشکل اینجاست که هکرها با استفاده از این ویژگی به سایت های وردپرسی آسیب می رسانند به این صورت که با حمله به قالب و افزونه ای خاص و ایجاد خطاهای PHP صفحه سفید مرگ را روی سایت فعال کنند.البته این موضوع به همین جا ختم نمی شود و با استفاده از این ویژگی می توانند فایروال،تایید دومرحله ای و دیگر ویژگی های پلاگین های امنیتی نصب شده روی سایت وردپرسی را غیرفعال کنند.

🏆 مقاله کاربردی : آموزش افزونه All In One WP Security & Firewall

به نقل از zdent مت روزناک معاون شرکت امنیتی Wordfence هم این آسیب پذیری را تایید کرده و همچنین طبق گفته ی این کارشناس ممکن است مشکلات دیگری هم در پی داشته باشد که به شرح زیر می باشند:

  • یک پلاگین امنیتی ممکن است به خاطر استفاده استفاده بیش از حد دیگر پلاگین ها از منابع سرور از دسترس خارج شده و غیرفعال شود.
  • وجود باگ یا آسیب پذیری در هریک از پلاگین ها و قالب به هکرها اجازه می دهد تا دیگر پلاگین های سایت را از کار بیاندازند.
  • ممکن است max_execation_time مشکل مشابه memory_limit داشته باشد

اما طبق بررسی و اعلام تیم توسعه وردپرس این ویژگی قابل غیرفعال کردن است و از طریق فایل wp-config.php می توان ویژگی WSOD را با استفاده از مقدار WP_DISABLE_FATAL_ERROR_HANDLER غیرفعال کرد،اما در حال حاظر معلوم نیست که هنگام عرضه نسخه ۵.۱ وردپرس این ویژگی به صورت پیش فرض فعال است یا نه!

توصیه می کنم هنگام عرضه نسخه ۵.۱ وردپرس از این ویژگی تنها زمانی استفاده کنید که قصد دارید نسخه PHP هاست را بروز کنید و در غیراینصورت از این ویژگی استفاده کنید.

اسماعیل یک مدرس و نویسنده خلاق است،همچنین مدیر و توسعه دهنده لرن دی ال

نظرات شما را با گوش دل می شنویم

ارسال دیدگاه

19 − سیزده =