Son Zamanlarda Saldırıya Uğrayan 8 Güvenlik Açığı WordPress Eklentisi

admin Haberler Leave a comment 6 Views


WordPress eklentilerinin ne kadar savunmasız web sitenizi riske attığı konusunda endişeli misiniz?

Biliyor musunuz? Güvenlik açığı bulunan eklentiler, WordPress sitelerinin saldırıya uğramasının en büyük nedenidir. Aslında, WordPress'e yapılan saldırıların %55,9'u savunmasız eklentilerden kaynaklanmaktadır .

Yani eklentileri kullanmayı tamamen bırakıyor musunuz? Web sitesi geliştirmede, sitenize işlevsellik ve daha fazla özellik ekledikleri için eklentiler olmadan bir WordPress sitesi oluşturmak ve çalıştırmak zordur.

Neyse ki, eklentileri kullanmanın ve sitenizi güvende tutmanın bir yolu var. Eklenti geliştiricileri, yazılımlarında bir güvenlik açığı keşfettiklerinde, onu düzeltir ve hemen güncellenmiş bir sürüm yayınlarlar. Eklentiyi sitenizde güncelledikten sonra sitenizde kullanmak güvenlidir. Ancak, milyonlarca WordPress kullanıcısı, sitelerini bilgisayar korsanlarına karşı savunmasız bırakan güncellemeleri geciktiriyor.

Siteniz saldırıya uğrarsa, bilgisayar korsanları onu hassas verileri çalmak, istenmeyen reklamlar yayınlamak ve web sitenizi tahrif etmek gibi her türlü kötü amaçlı etkinliği çalıştırmak için kullanabilir. Bir saldırı, işletmeniz üzerinde yıkıcı sonuçlar doğurabilir ve adwords hesabının askıya alınmasına, ziyaretçi, müşteri ve gelir kaybına neden olabilir.

Bu nedenle savunmasız eklentiler ve güvenlik sorunları hakkında bilgi edinmek çok önemlidir. Bu makalede, size WordPress web sitesi sahiplerinin kullandığı en savunmasız WordPress eklentilerinden bazılarını göstereceğiz.

TL;DR – Sitenizi WordPress eklenti güvenlik açıklarına karşı güvende tutmak için, yeni sürümler çıkar çıkmaz bunları güncellemeniz zorunludur. Merkezi bir kontrol panelinden güncellemeleri takip etmek için MalCare güvenlik eklentimizi kullanın. Güncellemeleri yönetmeyi çok daha kolay hale getiren WordPress sitenize toplu güncellemeler uygulayabilirsiniz.

İçindekiler gizle
Bir WordPress Eklentisi Nasıl Savunmasız Olabilir?
En Son Saldırıya Uğrayan 8 Güvenlik Açığı WordPress Eklentisi

Bir WordPress Eklentisi Nasıl Savunmasız Olabilir?

WordPress geliştirici ekibinin değil, üçüncü taraf geliştiricilerin WordPress eklentileri oluşturduğunu bilmek önemlidir. Eklentilerin çoğu WordPress deposunda bulunur, ancak eklentileri CodeCanyon gibi popüler pazar yerlerinde veya eklentinin web sitesinde de bulabilirsiniz.

50.000'den fazla WordPress eklentisi var ve her gün daha fazlası oluşturuluyor. Geliştiriciler, özellikle premium olanlar olmak üzere, güvenli olduklarından emin olmak için eklentilerini iyi yönetir ve bakımını yapar.

Bu eklentiler, kullanıcılar için güvenli ve emniyetli olmasını sağlayan belirli yönergelere uyar. Bununla birlikte, geliştiriciler ürünlerini geliştirmeye devam ediyor ve bazen yeni özellikler yayınlamak için zaman sıkıntısı çekiyorlar. Bazı durumlarda, eklenti geliştirme sırasında ürünü savunmasız bırakan bazı güvenlik kusurlarını gözden kaçırabilirsiniz.

Bilgisayar korsanları bir güvenlik açığı bulduklarında, bazıları aşağıdakileri içeren birçok saldırıyı gerçekleştirmek için bunu kullanabilirler:

    • Ziyaretçileri diğer bilinmeyen sitelere yönlendirmek.
    • Sitenize spam reklamlar ve içerik enjekte etmek.
    • Saldırılarını ilerletmek için sitenize wp-feed.php kötü amaçlı yazılım gibi kötü amaçlı yazılım yüklemek.
    • Hileli yönetici hesapları oluşturma.
    • DDoS saldırıları başlatmak ve spam e-postalar göndermek için sunucu kaynaklarınızı kullanma.

Bunun gibi hack saldırıları sitenizi ciddi şekilde yavaşlatacak ve SEO sıralamalarınızı düşürecektir. Ayrıca işinizi, gelirinizi ve itibarınızı da tehlikeye atarlar.

Güvenlik açığı bulunan eklentiler, çoğu web sitesi korsanının en büyük temel nedeni olduğundan, hangi eklentilerin en savunmasız olduğunu ve hangi düzeltmelerin mevcut olduğunu bilmek önemlidir.

Not: WordPress sitenizde bu eklentiden herhangi birini kullanıyorsanız, herhangi bir hack saldırısını önlemek için hemen mevcut en son sürüme güncellemenizi şiddetle tavsiye ederiz.

Güvenlik açığı bulunan eklentiler, web sitenizin saldırıya uğramasına neden olabilir. Saldırıları önlemek ve WordPress sitenizi korumak için eklentilerinizi her zaman düzenli olarak güncelleyin. Tweetlemek için tıklayın

En Son Saldırıya Uğrayan 8 Güvenlik Açığı WordPress Eklentisi

Geçmişte NextGen Gallery, Yoast SEO ve Ninja Forms gibi birçok popüler WordPress eklentisi saldırıya uğradı. Burada, bilgisayar korsanları tarafından en son istismar edilen savunmasız WordPress eklentilerinin listesine odaklanıyoruz.

1. Teksir – WordPress Geçiş Eklentisi

savunmasız WordPress eklentisi olarak çoğaltıcı

Duplicator eklentisi, öncelikle WordPress yedeklemeleri için de kullanılan bir geçiş eklentisidir. Kullanıcılar WordPress sitelerinin bir yedeğini oluşturabilir ve ardından bir kopyasını indirebilir. Ayrıca sitelerini farklı bir etki alanına veya ana bilgisayara klonlayabilir veya taşıyabilirler. 1 milyondan fazla aktif yükleme ile oldukça popüler bir eklentidir.

Son zamanlarda eklenti, rastgele dosya indirme olarak bilinen bir güvenlik açığı geliştirdi. Bu güvenlik açığı, saldırganların eklentinin yüklü olduğu bir WordPress sitesinin içeriğini dışa aktarmasına izin verdi. Bilgisayar korsanları ayrıca gizli dosyaları indirebilir ve veritabanı kimlik bilgilerini çalabilir. Bu, siteye girmelerine, kontrolünü ele geçirmelerine ve saldırılarını ilerletmelerine izin verdi.

Geliştiriciler güvenlik açığını tespit ettiler ve Şubat 2020'de Duplicator sürüm 1.3.28 ve Duplicator Pro Sürüm 3.8.71'de kritik bir WordPress güvenlik güncellemesini hemen yayınladılar.

Web sitesi güvenlik uzmanları, 500.000'den fazla kullanıcının eklentinin savunmasız sürümünü kullandığını ve henüz yeni sürüme güncelleme yapmadığını söylüyor.

2. ThemeGrill Demo İçe Aktarıcı

temaIzgara Demo İçe Aktarıcı

ThemeGrill, profesyonel görünümlü bir site oluşturmanıza olanak tanıyan ücretsiz ve premium duyarlı temalar sunar.

ThemeGrill Demo Importer eklentisi, WordPress kullanıcılarının ThemeGrill'den resmi temaları doğrudan WordPress panolarına aktarmalarını sağlar. Kullanıcılar ayrıca içeriği, widget'ları ve tema ayarlarını içe aktarabilir. Bu eklentinin 200.000'den fazla aktif yüklemesi var.

Ancak bu eklentideki bir güvenlik açığı, bilgisayar korsanlarının yönetici hesabının kontrolünü ele geçirmesini sağlar. Bilgisayar korsanları sizi kendi web sitenizin dışında tutabilir ve hatta sitenizi tamamen silebilir.

ThemeGrill'deki geliştiriciler, Şubat 2020'de hemen 1.6.3 sürümünde bir yama yayınladı .

3. Profil Oluşturucu Eklentisi

Kullanıcı Kaydı Profil Oluşturucu WordPress Eklentisi

Profil Oluşturucu, müşterilerinize web sitenizde bir hesap oluşturma seçeneği sunmanıza olanak tanır. Sitenizde ön uç kullanıcı girişleri ve kayıt formları oluşturabilirsiniz. Ayrıca müşterilerinizin hesaplarını kişiselleştirmeleri için profil formları vardır.

Eklentinin üç çeşidi vardır – Ücretsiz, Pro ve Hobi. Pro ve Hobbyist sürümlerinin her ikisi de premium sürümlerdir. Pro, eklentiyi sınırsız WordPress web sitesinde kullanmanıza izin verirken, Hobbyist size tek bir sitede kullanma lisansı verir.

Eklentinin ücretsiz WordPress sürümü 50.000'den fazla etkin yüklemeye sahipken, Pro ve Hobbyist sürümleri toplu olarak yaklaşık 15.000 yüklemeye sahiptir.

Şubat 2020'de, eklentinin tüm türevlerini etkileyen kritik bir güvenlik açığı keşfedildi. Eklentideki bir hata, bir bilgisayar korsanının WordPress sitelerinde yetkisiz yönetici hesapları kaydetmesini mümkün kıldı. Bu, bir bilgisayar korsanının sahte bir yönetici hesabı oluşturmasına ve sitenin tam kontrolünü ele geçirmesine izin verdi.

Bu güvenlik açığı, eklentinin 3.1.0'a kadar olan tüm sürümlerini etkiler. 3.1.1 sürümünde bir güvenlik yaması yayınlandı .

4. WooCommerce İçin Esnek Ödeme Alanları

Esnek Ödeme Alanları WordPress Eklentisi

WooCommerce için bu eklenti eklentisi, kullanıcıların ödeme alanlarını özelleştirmelerini sağlar. Bu, kullanıcıların ödeme sayfasındaki varsayılan alanları düzenleyebileceği ve bunun yerine kendi etiketlerini ekleyebileceği anlamına gelir. Eklentinin 20.000'den fazla aktif kurulumu var.

Esnek Ödeme Alanları eklentisi bakımlıdır ve geliştiricileri tarafından düzenli olarak güncellenir.

Eklenti, bilgisayar korsanlarının aktif olarak yararlanmaya başladığı bir güvenlik açığına sahiptir. Güvenlik açığı, bilgisayar korsanlarının WordPress sitelerine kötü amaçlı kod enjekte etmesine izin verdi. Bu, sahte WP yönetici hesapları oluşturma, veri çalma ve yönetici kullanıcıyı kendi web sitelerinden kilitleme gibi her türlü etkinliği gerçekleştirmelerini sağladı.

Geliştiriciler, 25 Şubat 2020'de 2.3.2 ve 2.3.3 sürümlerinde hızlı bir şekilde bir güvenlik düzeltme eki yayınladı. O zamandan beri eklenti birden çok kez güncellendi. Mevcut en son sürüme güncellemenizi şiddetle tavsiye ederiz.

5. ThemeREX Eklentileri

ThemeRex Eklentileri dahil

ThemeREX Eklentileri eklentisi, ThemeREX tarafından oluşturulan çeşitli temalara eşlik eden bir eklenti olarak tasarlanmıştır. Bu eklenti, temalarının işlevselliğini artıran çeşitli özelliklere ve widget'lara sahiptir. Eklenti, yaklaşık 44.000 WordPress sitesine yüklenmiştir.

Bilgisayar korsanları eklentide bir güvenlik açığı buldu ve bu eklenti ile web sitelerine saldırmaya başladı. Burada da bilgisayar korsanları, yeni yönetici kullanıcı hesapları oluşturmak için eklentideki bir zayıflıktan yararlanabilir.

ThemeREX hemen bir güncelleme yayınladı ancak ThemeREX Eklentilerini güncellemek biraz daha karmaşık. Eklenti WordPress deposunda bulunmadığından, WordPress kontrol panelinizde eklenti için bir güncelleme görmeyeceksiniz . Herhangi bir eklentisi ve temasıyla ilgili güncellemeler hakkında bilgi almak için ThemeREX bültenine abone olmanız gerekir.

Artı, ThemeREX Addon eklentisi bir dizi temayla birlikte gelir. Birçok site sahibi ThemeREX temasından bir tema yüklemiş olabilir ve bu eklentinin paketin bir parçası olarak sitelerine otomatik olarak yüklendiğinin farkında olmayabilir.

Herhangi bir ThemeREX teması kullanıyorsanız, onu en son sürüme güncellemenizi şiddetle tavsiye ederiz. Eklentiyi ThemeREX hesabınızdan güncelleyebilirsiniz. Bunu yapamıyorsanız, ThemeREX güncelleyici eklentisini yüklemeniz gerekebilir. Bu eklentiyi güncelleme hakkında daha fazla bilgi için ThemeREX ile iletişime geçin.

6. Zaman uyumsuz JavaScript

zaman uyumsuz JavaScript

Async Javascript eklentisi, sayfa yükleme süresini azaltmaya yardımcı olur, böylece sayfa hızını ve kullanıcı deneyimini artırır. WordPress siteniz PHP, CSS ve Javascript gibi farklı kodlama dillerinden oluşur. Bu Async Javascript eklentisi, javascript'in sitenize nasıl yüklendiğini geliştirir. Eklentinin 100.000'den fazla aktif kurulumu var.

Eklentideki bir güvenlik açığı, bilgisayar korsanlarının uzaktan bir saldırı gerçekleştirmesine izin verdi. Önerilen okuma: Siteler arası komut dosyası çalıştırma (XSS) saldırıları . Bu, bilgisayar korsanlarının hassas bilgileri çalması, kurbanın sitesinin görünümünü değiştirmesi ve site ziyaretçilerini kötü amaçlı yazılım indirmesi veya kişisel verileri ifşa etmesi için kandırması olasılığını ortaya çıkardı.

Geliştiriciler, mevcut tüm sorunları düzeltti ve ayrıca eklentiyi güvence altına almak için ek güvenlik önlemleri aldı. Bu makaleyi yazarken mevcut olan en güvenli sürüm 2.20.03.01 sürümüdür.

Çoğu durumda, WordPress geliştiricileri bu eklentiyi web sitesini oluştururken yükler, ancak müşterileri eklentinin sitelerindeki varlığından haberdar olmayabilir. Ancak neyse ki, bu eklenti WordPress deposunda mevcut ve WordPress panosunda güncelleme bildirimleri görünüyor.

7. Modern Etkinlik Takvimi Lite

Modern Etkinlik Takvimi Lite

Bu etkinlik takvimi eklentisi, WordPress web sitelerindeki etkinlikleri yönetmeyi kolaylaştırır! Site sahiplerinin iyi tasarlanmış etkinlik takvimlerini sitelerinde kolayca görüntülemelerini sağlayan duyarlı ve mobil uyumlu bir arayüze sahiptir. Modern Events Calendar Lite'ın kullanımı ücretsizdir ve 40.000'den fazla aktif kuruluma sahiptir.

Şubat 2020'de eklenti, bilgisayar korsanlarının sitenin görünümünü değiştirmek ve hassas verileri çalmak gibi başka saldırılar gerçekleştirmek için WordPress sitesine kötü amaçlı yazılım enjekte etmesine izin veren bir güvenlik açığı yaşadı.

Eklentinin 5.1.6'ya kadar olan tüm sürümleri savunmasızdı. Geliştiriciler hemen bir yama yayınladı ve o zamandan beri eklentiyi birçok kez güncelledi.

Bu eklentiyi kullanıyorsanız, mümkün olan en kısa sürede en son sürüme güncellemenizi şiddetle tavsiye ederiz.

8. Google Haritalar için 10Web Haritası Oluşturucu

Google Haritalar için 10Web Haritası Oluşturucu

Google Haritalar için 10Web Harita Oluşturucu eklentisi, WordPress kullanıcılarına WordPress web sitelerine harita eklemenin kolay bir yolunu sunar. 20.000'den fazla aktif kurulumla onu oldukça popüler yapan güçlü özellikler ve özelleştirmeler sunar.

Son zamanlarda, eklentinin kurulum sürecinde bir güvenlik açığı ortaya çıktı. Bilgisayar korsanlarının bir WordPress sitesine kötü amaçlı komut dosyaları eklemesine izin verdi. Yöneticilere ve site ziyaretçilerine saldırmak için komut dosyalarını kullanabilirler.

Geliştiriciler, Şubat ayında güncellenmiş 1.0.64 sürümünü yayınladı. Sitenizde bu eklenti kuruluysa, en son sürüme güncelleme yaptığınızda, enjeksiyon güvenlik açığı düzeltilecektir.

Bir eklentideki güvenlik açığı nedeniyle web siteniz saldırıya uğradıysa, saldırıya uğramış bir WordPress sitesinin nasıl temizleneceğine ilişkin kılavuzumuzu okumanızı öneririz.

Bu bizi en son saldırıya uğrayan eklentilere son veriyor. Bu liste ayrıntılı değil. On yılı aşkın süredir WordPress ile çalışma deneyimimize göre, eklentiler zaman zaman WordPress güvenlik açıkları geliştirme eğilimindedir. Güvenlik açığı bulunan eklentiler nedeniyle sitenize yapılan saldırıları azaltmanın en iyi yolu, yeni bir sürüm çıkar çıkmaz onları güncellemektir! WordPress çekirdek kurulumunuzu ve WordPress temalarınızı da güncellemeyi unutmayın.

Güvenlik açığı bulunan eklentiler nedeniyle sitenize yapılan saldırıları azaltmanın en iyi yolu, yeni bir sürüm çıkar çıkmaz onları güncellemektir! Tweetlemek için tıklayın

Bu makaleyi beğendiyseniz, WordPress sitenizdeki güvenlik açıkları hakkında daha fazla bilgi edinmek istersiniz. Siteler arası komut dosyası oluşturma, SQL enjeksiyonları, ayrıcalık yükseltme kusurları, istek sahtekarlıkları, rastgele dosya yüklemeleri, görüntüleme ve daha fazlası gibi web sitesi güvenlik riskleri hakkında daha fazla tartışıyoruz.

Son düşünceler

Güvenlik açıkları birçok WordPress eklentisinde ortaya çıkma eğilimindedir, ancak çoğu geliştirici de hızlı hareket eder ve bunları hemen düzeltir. Bundan sonra, eklentinizi hemen en son sürüme güncelleme sorumluluğu site sahibi olarak size aittir.

Böylece sitenizi düzenli olarak güncellemek, bilgisayar korsanlarını dışarıda tutacak ve sitenizin güvenli olmasını sağlayacaktır. Ancak güncellemelerin takip edilmesinin her zaman kolay olmadığını ve yönetilmesinin zor olabileceğini anlıyoruz. WordPress Sitenizi Nasıl Güvenle Güncelleyeceğinize İlişkin Kılavuzumuzu okumanızı şiddetle tavsiye ederiz.

MalCare'de, özellikle birden fazla WordPress sitesi çalıştırıyorsanız güncellemelerle karşılaşabileceğiniz zorlukları anlıyoruz. Bu nedenle, işleri kolaylaştırmak için MalCare eklentimiz, tüm güncellemeleri birlikte yönetmeniz için merkezi bir gösterge panosuna erişmenizi sağlar. Ayrıca, WordPress güvenlik eklentisi sitenizi saldırı girişimlerinden koruyacaktır.

Bizim MalCare Güvenlik Eklentisi Now deneyin!

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved