آسیب پذیری جدید افزونه LiteSpeed Cache 6

افزونه LiteSpeed Cache چیست؟

افزونه LiteSpeed Cache یک افزونه بهینه‌سازی عملکرد سایت است که بیش از 6 میلیون نصب فعال دارد. این افزونه با ذخیره نسخه‌ای ثابت از داده‌های مورد استفاده برای ایجاد یک صفحه وب، کمک می‌کند تا سرور برای هر درخواست مرورگر نیازی به دریافت مجدد همان عناصر از پایگاه‌داده نداشته باشد. در ایران وردپرس درباره این افزونه بیشتر بخوانید

ذخیره صفحات در حافظه موقت یا “کش” نه تنها بار سرور را کاهش می‌دهد، بلکه سرعت بارگذاری صفحات برای مرورگرها و خزنده‌های موتور جستجو را نیز افزایش می‌دهد. افزونه LiteSpeed Cache همچنین بهینه‌سازی‌های دیگری مانند فشرده‌سازی فایل‌های CSS و جاوا اسکریپت (minify)، و قرار دادن مهم‌ترین CSS‌ها برای رندر صفحه در کد HTML (inlined CSS) انجام می‌دهد که باعث بهبود سرعت سایت می‌شود.

ارتقاء سطح دسترسی بدون احراز هویت در افزونه کش لایت اسپید

آسیب‌پذیری ارتقاء سطح دسترسی بدون احراز هویت به هکرها اجازه می‌دهد بدون نیاز به ورود به عنوان کاربر، به سطح دسترسی‌های سایت دست یابند. این نوع آسیب‌پذیری نسبت به آسیب‌پذیری‌های احراز هویت شده (authenticated vulnerabilities) که در آن هکر ابتدا باید به یک سطح دسترسی خاص برسد، بسیار خطرناک‌تر است.

این نوع حملات معمولاً به دلیل نقص در افزونه یا پوسته سایت رخ می‌دهد و در این مورد، یک نشت داده باعث این آسیب‌پذیری شده است.

شرکت امنیتی Patchstack که این آسیب‌پذیری را کشف کرده، توضیح می‌دهد که این آسیب‌پذیری فقط تحت دو شرایط قابل بهره‌برداری است:

1. فعال بودن ویژگی لاگ دیباگ در افزونه LiteSpeed Cache.
2. ویژگی لاگ دیباگ یک بار فعال شده باشد (حتی اگر در حال حاضر فعال نباشد) و فایل /wp-content/debug.log پاک نشده باشد.

برای جلوگیری از آسیب‌پذیری‌های امنیتی در افزونه LiteSpeed Cache، رعایت چند نکته کلیدی ضروری است:

1. پاک کردن لاگ‌های دیباگ

لاگ‌های دیباگ می‌توانند حاوی اطلاعات حساسی مانند مسیرهای فایل، تنظیمات سرور یا حتی داده‌های کاربری باشند. نگهداری این لاگ‌ها روی سرور می‌تواند یک نقطه ضعف امنیتی ایجاد کند. بهتر است پس از بررسی و رفع مشکلات، لاگ‌های دیباگ را حذف کنید و در صورت عدم نیاز، حالت دیباگ را غیرفعال نگه دارید.

2. به‌روزرسانی به آخرین نسخه

توسعه‌دهندگان افزونه LiteSpeed Cache به‌طور منظم به‌روزرسانی‌هایی را منتشر می‌کنند که علاوه بر بهبود عملکرد، مشکلات امنیتی احتمالی را نیز برطرف می‌کنند. بنابراین، همیشه از آخرین نسخه افزونه استفاده کنید و به‌روزرسانی‌های آن را نادیده نگیرید. همچنین، بهتر است گزینه به‌روزرسانی خودکار را برای این افزونه فعال کنید تا همیشه در برابر آسیب‌پذیری‌های جدید محافظت شوید.

3. بررسی و تنظیمات صحیح امنیتی

پیکربندی صحیح افزونه و سایت وردپرسی از بروز مشکلات امنیتی جلوگیری می‌کند. برای افزایش امنیت:

• دسترسی به فایل‌های حساس را محدود کنید، به‌ویژه فایل‌های کش و تنظیمات.

• از مجوزهای مناسب فایل و پوشه‌ها استفاده کنید (مثلاً پوشه‌های مهم نباید مجوز نوشتن عمومی داشته باشند).

• دسترسی به داشبورد مدیریت را محدود کنید و تنها برای کاربران مورد نیاز باز بگذارید.

• از یک فایروال یا افزونه‌های امنیتی استفاده کنید تا حملات احتمالی به افزونه و سایت شما کاهش یابد.

4. بررسی دسترسی‌های کاربران و نقش‌ها به افزونه کش وردپرس

بررسی کنید که چه کاربرانی به تنظیمات افزونه LiteSpeed Cache دسترسی دارند. بهتر است دسترسی مدیریت افزونه را فقط به مدیران ارشد سایت محدود کنید تا احتمال تغییرات ناخواسته کاهش یابد.

5. نظارت بر لاگ‌ها و فعالیت‌های مشکوک

اگرچه باید لاگ‌های دیباگ را پاک کنید، اما در عین حال، بهتر است ورودهای مشکوک یا تغییرات غیرعادی در تنظیمات افزونه را زیر نظر بگیرید. برخی ابزارهای نظارتی مانند Wordfence یا Sucuri می‌توانند به شما در شناسایی فعالیت‌های غیرمجاز کمک کنند.

6. استفاده از HTTPS و امنیت سرور

اگر سایت شما از HTTPS استفاده نمی‌کند، حتماً گواهینامه SSL را فعال کنید. همچنین، تنظیمات امنیتی سرور را تقویت کنید و بررسی کنید که LiteSpeed Web Server یا هر سرور دیگری که استفاده می‌کنید، به آخرین نسخه به‌روزرسانی شده باشد.

با رعایت این نکات، می‌توانید احتمال بروز مشکلات امنیتی در افزونه LiteSpeed Cache را به حداقل برسانید و از عملکرد بهینه و ایمن سایت خود اطمینان حاصل کنید.

 

دریافت نسخه LiteSpeed Cache 6 – افزونه لایت کش اسپید