ویژگی محافظتی جدید WSOD در معرض خطر
متخصصان امنیتی در رابطه با ویژگی جدید حافظتی WSOD که همراه با نسخه*ی بعدی مدیریت محتوای وردپرس عرضه خواهد شد هشدار داده*اند
به گزارش بخش فناوری سایت خبرهای فوری، متخصصان امنیتی در رابطه با ویژگی جدید محافظتی WSOD که همراه با نسخه*ی بعدی مدیریت محتوای وردپرس عرضه خواهد شد هشدار داده*اند چرا که می*تواند منجر به متوقف شدن پلاگین*های امنیتی وبسایت*ها و وبلاگ*های وردپرس شود و آن*ها را آسیب پذیر نماید.

این ویژگی یعنی حفاظت WSOD مخفف White screen of death به معنی «صفحه*ی سفید مرگ» است و در وردپرس نقش Safe Mode را ایفا می*کند. ویژگی یاد شده قرار است از نسخه*ی ۵.۱ در وردپرس در دسترس قرار بگیرد و انتظار می*رود بهار پیش رو عرضه شود.
«فلیکس آرنتز» توسعه دهنده*ی وردپرس گفته این ویژگی به وردپرس اجازه می*دهد تا خطا*های مهلک PHP را شناسایی کرده و مشخص نماید که کدام پلاگین یا تم باعث ایجادش شده است.

ویژگی حفاظت WSOD پلاگین و تمی که باعث بروز مشکل شده را متوقف می*کند و به مدیر وبسایت اجازه می*دهد تا به پنل بک اند وبسایت دسترسی داشته باشد و بتواند مشکل را پیدا کرده و آن*ها را حل نماید.
تیم وردپرس از ماه*ها پیش کار روی ویژگی یاد شده را آغاز کرده*اند. حفاظت WSOD بخشی از برنامه ریزی بزرگیست که به صاحبان وبسایت*ها اجازه می*دهد تا بتوانند به راحتی PHP سرور*های نسخه*ی ۵ خود را به نسخه*ی ۷ بروزرسانی نمایند.

ویژگی صفحه*ی سفید مرگ در ابتدا به این منظور طراحی شده بود که به صاحبان وبسایت*ها اجازه دهد تا در صورت بروز مشکل در نسخه*ی PHP 7.x بتوانند به راحتی آن*ها را مدیریت کرده و اصلاح نمایند. اما توسعه دهندگان وردپرس متوجه شدند که این موضوع می*تواند برای یافتن ارور*های موجود در تم*ها یا پلاگین*ها نیز مورد استفاده قرار بگیرد.
همزمان با پیشبرد این رویکرد و تکمیل شدن ویژگی یاد شده برخی از متخصصان امنیتی متوجه شدند که این ویژگی در کنار همه*ی ویژگی*های مثبت می*تواند خطرناک هم باشد.



در یک پست که در همین هفته منتشر شد، «اسلاوکو میهایلوسکی» اعلام کرد که مهاجمین سایبری می*توانند با حمله به برخی پلاگین*ها در یک وبسایت و ایجاد یک ارور مهلک PHP ویژگی محافظت WSOD در وبسایت*ها را فعال نمایند.

از آنجایی که حفاظت WSOD برای متوقف کردن اجرای پلاگین*ها مورد استفاده قرار می*گیرد، میهایلوسکی معتقد است مهاجمین سایبری می*توانند با استفاده از این ترفند فایروال، تایید هویت دو مرحله*ای، محافظت از حمله*ی جستجوی فراگیر و دیگر پلاگین*های امنیتی نصب شده در وبسایت را غیر فعال نمایند.

نگرانی*های مطرح شده توسط میهایلوسکی همچنین توسط «مت روزناک» معاون WordFence نیز به اشتراک گذاشته شد و علاوه بر مطالب ذکر شده توسط میهالوسکی نگرانی*های خود را نیز به این موضوع اضافه کرد و اعلام نمود که ممکن است مشکلات دیگری نظیر موارد زیر نیز اتفاق بیفتد:

یک پلاگین امنیتی ممکن است به خاطر مصرف بیش از حد حافظه* پلاگینی دیگر از کار بیفتد.
وجود آسیب پذیری در هرکدام از پلاگین یا تم ها می*تواند به مهاجمین اجازه دهد تا بسیاری از پلاگین*های دیگر را از کار بیاندازند.
ممکن است max_execution_time مشکلاتی مشابه با memory_limit داشته باشد

تیم وردپرس در این باره پاسخ روزناک را داده و اعلام کرده که قصد دارد در فایل wp-config.php دستوری قرار دهند که از این طریق کاربران بتوانند این ویژگی را غیر فعال نمایند. نام این گزینه WP_DISABLE_FATAL_ERROR_HANDLER خواهد بود.

هنوز مشخص نیست که حفاظت WSOD به صورت پیش فرض در هنگام عرضه*ی وردپرس ۵.۱ فعال خواهد بود یا خیر، اما به هر ترتیب این ویژگی به نظر خطرناک می*رسد. متخصصان امنیتی در این باره به صاحبان وبسایت*ها توصیه کرده*اند که ویژگی یاد شده را تنها زمان به روزرسانی سرور PHP فعال کنند و پس از آن نسبت به غیر فعال کردن آن اقدام نمایند. /دیجیاتو