ev borcu WordPress sitesi
WordPress Güvenlik Açığı Özeti: Haziran 2019, 1. Bölüm
Bu ay boyunca yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı, bu nedenle sizi bilgilendirmek istiyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress çekirdeği
- 2. WordPress Eklentileri
- 3. WordPress Temaları
- 4. Web Çevresindeki İhlaller
*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
WordPress Temel Güvenlik Açıkları
2019 yılının Haziran ayında açıklanmış herhangi bir WordPress güvenlik açığı bulunmamaktadır.
WordPress Eklenti Güvenlik Açıkları
Bu markada birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. WP İstatistikleri
WP İstatistik eklentisi, sürüm 12.6.5 ve altı, siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 12.6.6.1 sürümüne güncellemeniz gerekir.
2. Ücretli Üyelikler Pro
Ücretli Üyelikler Pro eklentisi 2.0.5 ve altı, Doğrulanmamış Yönlendirmeye karşı savunmasızdır. Eklenti wp_ redirect kullanıyordu wp_ safe _redirect kullanmaları gereken yerlerde wp_ redirect wp_ safe _redirect . wp_safe_redirect() işlevinin kullanılması, diğer ana bilgisayarlara kötü niyetli yönlendirmeleri önler,
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.0.6 sürümüne güncelleme yapmalısınız.
3. Crelly Kaydırıcı
Crelly Slider eklentisi sürüm 1.3.4 ve altı, Kimliği Doğrulanmamış Keyfi Dosya Yükleme saldırısına karşı savunmasızdır. Güvenlik açığı, abonelerin potansiyel olarak kötü amaçlı bir komut dosyası yüklemesine ve yürütmesine izin verdi.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.3.5 sürümüne güncellemeniz gerekir.
4. Ekmek kırıntıları
Breadcrumbs sürüm 1.0.1 ve altı, bu ay açıklanan üç farklı güvenlik açığına sahipti. Eklenti, bir XXS ve Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdı
Bir saldırgan güvenlik açıklarından yararlandıysa, Breadcrumbs ayarlarını değiştirebilirdi.
Yapmanız Gerekenler
Güvenlik açıkları yamalandı ve 1.0.3 sürümüne güncellemelisiniz.
5. Kolay Dijital İndirmeler
Easy Digital Downloads sürüm 2.9.16 ve altı, Stored XSS saldırısına karşı savunmasızdır. Güvenlik açığı, günlüklerin IP adreslerine Siteler Arası Komut Dosyası Çalıştırma saldırısına izin verebilir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.9.16 sürümüne güncellemelisiniz.
6. WordPress İndirme Yöneticisi
WordPress İndirme Yöneticisi sürüm 2.9.96 ve altı, e-posta şablonu ve paket ayarlarıyla giriş temizleme güvenlik açıklarına sahiptir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.9.97 sürümüne güncellemeniz gerekir.
7. İştirakler Müdürü
Affiliates Manager sürüm 2.6.5 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. Eklenti, ayarlarda uygun güvenlik kontrollerini ve nonce'leri eksik.
Nonce alanı, form isteğinin içeriğinin başka bir yerden değil, geçerli siteden geldiğini doğrulamak için kullanılır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.6.6 sürümüne güncellemelisiniz.
8. İlgili YT Videoları
İlgili YT Videoları sürüm 1.9.8 ve altı, Siteler Arası İstek Sahteciliği ve XSS saldırısına karşı savunmasızdır. Eklenti, uygun nonces ve temizlikten yoksundu.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.9.9 sürümüne güncellemelisiniz.
9. WP Google Haritalar
WP Google Haritalar sürüm 7.11.27 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. Yönetici gönderi işlemindeki ayarlar formunda bir nonce eksikti.
Nonce alanı, form isteğinin içeriğinin başka bir yerden değil, geçerli siteden geldiğini doğrulamak için kullanılır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 7.11.28 sürümüne güncellemeniz gerekir.
WordPress Temaları
2019 yılının Haziran ayında açıklanmış herhangi bir WordPress Teması güvenlik açığı olmamıştır.
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik güncellemeler
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak, en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz.
Otomatik güncellemeler, çok sık değişmeyen web siteleri için harika bir seçimdir. Gerekli dikkatin gösterilmemesi, bu siteleri genellikle ihmal edilmiş ve saldırılara karşı savunmasız bırakmaktadır. 
Sürüm Yönetimi Güncellemeleri
- WordPress Otomatik Güncellemeler – Tüm WordPress güncellemeleri, mevcut olduğunda otomatik olarak yüklenir.
- Eklenti Otomatik Güncellemeleri – Tüm eklenti güncellemeleri mevcut olduğunda otomatik olarak yüklenir.
- Tema Otomatik Güncellemeleri – Tüm tema güncellemeleri, mevcut olduğunda otomatik olarak yüklenir. Ana temayı güncelleyerek özelleştirmelerinizi geçersiz kılmamak için tema özelleştirmelerinizi bir alt temaya yerleştirdiyseniz bunu kullanın.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – iThemes Güvenlik eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. Evernote Web Clipper Chrome Uzantısı
Guardio araştırma ekibi, Evernote Web Clipper Chrome uzantısının bir Evrensel XSS saldırısına karşı savunmasız olduğunu keşfetti. Güvenlik açığı, bir saldırganın kişisel e-postalara, sosyal medya verilerine ve diğer kişisel bilgilere erişmesine izin verebilir.
Evernote uzantısı, birisinin Chrome'un site izolasyon güvenlik özelliğini atlamasına izin veren bir kodlama hatası içeriyordu. Artık saldırgan trafiği kötü amaçlı bir siteye yönlendirebilir ve Evernote'u kötü amaçlı kod enjekte etmeye ve özel bilgileri çalmaya zorlayabilir.
Uzatma 4 Haziran'da yamalandı.
Guardio, konseptin kanıtını gösteren bir video hazırladı.
2. Vim ve NeoVim
8.1.1365 sürümünden önceki terminal metin düzenleyicileri Vim ve 0.3.6 sürümünden önceki NeoVim, oldukça kötü bir Arbitrary Code Execution saldırısına karşı savunmasızdır. Saldırganlar, güvenlik açığını kullanmak, neredeyse sınırsız sayıda kötü amaçlı etkinliğe yol açan yetkisiz komutlar yürütebilir.
Güvenlik açığını keşfeden güvenlik araştırmacısı Armin Razmjou, GitHub'da bir kavram kanıtı içeriyordu.
Sitelerin saldırıya uğramasının bir numaralı nedeninin eski yazılımlar olduğunu unutmayın. Bu ay şimdiye kadar açıklanan her güvenlik açığı düzeltildi. Web sitenizde güncel olmayan yazılımlar bırakmak sizi saldırılara karşı savunmasız bırakacaktır.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
