تعرضت إضافة Happy Addons إلى حادثة أمنية خطيرة حيث هددت ثغرة برمجية من نوع (Stored XSS) أكثر من 400 ألف موقع من المواقع التي تستخدم الإضافة..
تسمح الثغرة للمُخترقين برفع الملفات البرمجية الخبيثة على المواقع التي تستخدم الإضافة، ذلك ليتمكنوا من اختراق الموقع والحصول على البيانات الحساسة المُسجلة بداخله. وقد أصدرت إدارة Happy Addons حلًا سريعًا لهذه المشكلة في تحديث 3.12.6.
تهديد Happy addons المكملة لـ Elementor
وقعت الثغرة منذ أيام على مواقع ووردبريس التي تعتمد على إضافة Happy Addons التي تقوم بإضافة مكونات لإضافة Elementor المخصصة لبناء مواقع ووردبريس؛. وتُعد هذه الإضافة ضمن أشهر إضافات Elementor المخصصة لبناء المواقع، إذ يبلغ عدد المواقع التي تستخدمها أكثر من 400 ألف موقع.
توفر إضافة Happy Addons لمستخدمي Elementor مجموعة من الأدوات والخصائص المختلفة، مثل خاصية الأنيميشن، وأقسام المراجعات، وقوالب مُعدة مُسبقًا لأقسام التجارة الإلكترونية، وغيرها من الأدوات المتنوعة.
ورغم أن الخطأ بدأ تحديدًا في إضافة Happy Addons؛ لا يُمكن إعفاء أداة Elementor من المسؤولية. فمن الضروري أن تهتم الأداة بجودة الإضافات الموجودة على منصتها من الناحية الأمنية، خاصةً وأن وصول أحد المخُترقين إلى هذه الثغرة بمواقع التجارة الإلكترونية قد يُسبب أضرارًا كارثيةً على عملاء الموقع.
ثغرة XSS في إضافة Happy Addons
وقعت ثغرة Stored XSS بسبب قصور في فلترة المُدخلات أو الطلبات الواردة إلى الإضافة؛ إذ سمحت الإضافة باستقبال طلبات غير آمنة إلى الموقع. ولهذا، يُمكن للقراصنة استغلال الثغرة في رفع ملفاتهم البرمجية الخبيثة إلى الموقع، التي تُمكنهم من سرقة ملفات تعريف الارتباط (Cookies) وكشف البيانات الحساسة لزوار وعملاء الموقع، كما يُمكن أيضًا إعادة توجيه الزوار إلى مواقع خبيثة تابعة للمُخترقين.
ظهرت الثغرة تحديدًا في أداة مقارنة الصورة (Image Comparison Widget)، تحديدًا في العنصر before_label، وذلك في كافة إصادرات الإضافة حتى إصدار رقم 3.12.5. وتحتاج الثغرة إلى مستخدم بصلاحيات «مُساهم» ليتمكن من استغلالها لحقن الملفات البرمجية الخبيثة. والثغرة الآن مُسجلة تحت اسم CVE-2024-10538 في نظام CVE الشهير لرصد وتتبع الثغرات الأمنية.
حصلت الثغرة على تقييم «متوسط الخطوة» طبقًا لمؤسسة Wordfence المُتخصصة في أمن وحماية أنظمة ووردبريس؛ إذ يبلغ تقييم الثغرة 6.4/10 وفقًا لمعيار CVSS العالمي لتقييم الثغرات الأمنية.
ما هي ثغرة XSS وكيف تؤمن موقعك؟
تُعد ثغرة XSS ضمن أقدم الثغرات البرمجية التي أصبح مهندسو الأمن السيبراني على دراية واسعة بطرق التعامل معها. ويرجع تاريخ تسمية الثغرة بهذا الاسم إلى عام 2000 بواسطة مهندسي الأمن السيبراني في ميكروسوفت، لكن تُقيد التقارير بوجود هذه الثغرة على الإنترنت واستغلالها من قبل القراصنة منذ تسعينيات القرن الماضي.
وهنا نتسائل كيف تغفل أداة Elementor عن ثغرة قديمة يرجع تاريخها إلى أكثر من ربع قرن؟ فهذه السقطة تضع أداة Elementor وإضافة Happy Addons في موضع إهمال أمام العملاء والمستخدمين؛ إهمال قد يتسبب في أضرار كارثية بالبيانات الحساسة للعملاء، كأرقام البطاقات البنكية المسجلة على مواقع التجارة الإلكترونية.
سارعت Happy Addons بغلق الثغرة في تحديث سريع يحمل رقم إصدار 3.12.6؛ ولهذا يجب أن ننوه بضرورة الاهتمام بتنصيب آخر التحديثات بشكل مستمر على جميع الإضافات والأدوات التي تستخدمها؛ كي تضمن أمان موقعك ضد أي أخطاء برمجية مُحتملة.
نصيحة بشأن استخدام أدوات إنشاء المواقع
يعتمد الكثير من أصحاب مواقع ووردبريس على أدوات إنشاء المواقع باستخدام قوالب جاهزة وأدوات السحب والإفلات مثل Elementor. وغالبًا ما يتطلب ذلك إضافة ملحقات مثل Happy Addons لتعزيز الإمكانات الأساسية للأداة، مما يؤدي إلى زيادة التعقيد نتيجة استخدام العديد من الإضافات.
إذا كنت ترغب في إنشاء موقع أعمال بسيط فمن الأفضل التفكير في حل متكامل مثل منصة سنديان، حيث توفر المنصة تجربة إنشاء مواقع متميزة دون الحاجة لتثبيت إضافات متعددة أو التعامل مع مشاكل الصيانة والأمان.
تمتاز المنصة بكونها منصة عربية تقدم خدماتها بسعر تنافسي يبدأ من 35$ للسنة الأولى، متضمنة الاستضافة وتأمين الموقع. لذلك، أرى أن سنديان تمثل خيارًا مثاليًا لمن يسعى لبناء موقع إلكتروني احترافي دون الحاجة إلى الاعتماد على تقنيات مكلفة ومتعددة.
