WordPress Güvenlik Açığı Özeti: Ağustos 2019, 1. Bölüm

Ağustos ayının ilk yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu nedenle sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:

• 1. WordPress çekirdeği
• 2. WordPress Eklentileri
• 3. WordPress Temaları
• 4. Web Çevresindeki İhlaller

* WordPress ekosistemi dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Temel Güvenlik Açıkları

WordPress Eklenti Güvenlik Açıkları

Bu Ağustos ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.

1. WP En Hızlı Önbellek

WP Fastest Cache sürüm 0.8.9.5 ve altı, bir Dizin Geçişi saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

2. Açılır Pencere Oluşturucu

Popup Builder sürüm 3.44 ve altı, SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

3. E-posta Aboneleri ve Bültenler

4. Nihai Üye

Ultimate Üye sürüm 2.0.53 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

5. Woody Reklam Snippet'leri

Woody Ad Snippets sürüm 2.2.4 ve altı, Uzaktan Kod Yürütme istismarına yol açabilecek, kimliği doğrulanmamış seçenekleri içe aktarma ve depolanan XSS sorunlarına karşı savunmasızdır.

Yapmanız Gerekenler

6. ver

Versiyon 2.5.0 ve altı bir SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

7. Oturum Açma veya Oturumu Kapat Menü Öğesi

Oturum Açma veya Oturumu Kapatma Menü Öğesi sürüm 1.1.1 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliğine karşı savunmasızdır. Bu istismar, bir saldırganın oturum açma URL'sinin bağlantısını değiştirmesine ve kullanıcıları sahte bir oturum açma formuna yönlendirmesine olanak tanır. Bir kullanıcı kötü amaçlı giriş formunu doldurduktan sonra, saldırgan sitenize erişmek için kimlik bilgilerine sahip olur.

Yapmanız Gerekenler

8. CformsII

CformsII sürüm 15.0.1 ve altı, Siteler Arası İstek Sahteciliği ve HTML Enjeksiyon saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

9. WooCommerce için PPOM

WooCommerce 18.3 ve altı sürümleri için PPOM, Kimliği Doğrulanmış Depolanmış XSS saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

10. 301 Yönlendirme Eklentisi Toplu Yükleyici

301 Yönlendirmeler Addon Bulk Uploader sürüm 1.2.4 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliğine karşı savunmasızdır. Bu istismar, kimliği doğrulanmamış bir kullanıcının tüm sayfaları kötü amaçlı bir siteye yönlendirmesine izin verir.

Yapmanız Gerekenler

11. ND Bağışları

ND Donations sürüm 1.3 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliğine karşı savunmasızdır. Bu istismar, kimliği doğrulanmamış bir kullanıcının birkaç WordPress ayarını değiştirmesine izin verir. Bu, saldırganın yeni bir kullanıcı oluşturmasına ve ardından kullanıcı rolünü Yönetici olarak değiştirmesine olanak tanır.

Yapmanız Gerekenler

12. ND Rezervasyon

ND Booking sürüm 2.4 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliğine karşı savunmasızdır. Bu istismar, kimliği doğrulanmamış bir kullanıcının bir dizi WordPress ayarını değiştirmesine ve saldırganın yeni bir kullanıcı oluşturmasına ve ardından kullanıcı rolünü Yönetici olarak değiştirmesine olanak tanır.

Yapmanız Gerekenler

13. ND Öğrenme Kursları

ND Learning Courses sürüm 4.7 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliğine karşı savunmasızdır. Bu istismar, kimliği doğrulanmamış bir kullanıcının birkaç WordPress ayarını değiştirmesine izin verir ve saldırganın yeni bir kullanıcı oluşturmasına ve ardından kullanıcı rolünü Yönetici olarak değiştirmesine olanak tanır.

Yapmanız Gerekenler

14. JoomSport

JoomSport sürüm 3.3 ve altı, bir SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

WordPress Temaları

1. Emlak 7

Real Estate 7 sürüm 2.9.0 ve altı, bir saldırganın bir sitenin ön ucuna JavaScript ve HTML enjekte etmesine izin veren bir Depolanmış XSS Enjeksiyonuna karşı savunmasızdır.

Yapmanız Gerekenler

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

Otomatik Güncellemeler Yardımcı Olabilir

Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.

Sürüm Yönetimi Güncelleme Seçenekleri

• WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
• Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
• Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
• Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma

• Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
• Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
• E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. Suprema'nın Biostar 2'si 27,8 Milyon Biyometrik Kimlik Bilgisini Güvensiz Şekilde Saklıyor

Suprema'nın Biostar 2'si, ticari binaları korumak için kullanılan bir güvenlik platformudur. Güvenlik araştırmacıları Noam Rotem, Ran Locar ve vpnMentor, şirketler ve çalışanları hakkında hassas bilgiler içeren şifrelenmemiş veritabanını keşfetti. Veri tabanını ihlal ettikten sonra, araştırmalar çalışanların kişisel bilgilerini, kullanıcı adlarını ve şifrelerini bulabildi. vpnMentor ayrıca ekiplerinin bir milyondan fazla yüz ve parmak izi kaydına sahip olduğundan bahseder.

Kötü güvenlikli veri tabanına herhangi bir kötü niyetli aktörün erişip erişemediğinin bilinmediğini belirtmekte fayda var. Suprema, dünyanın en iyi 50 güvenlik üreticisinden biridir ve hassas bilgileri şifrelenmemiş olarak korumaktan daha iyisini bilmeleri gerekirdi.

2. Paige "düzensiz" Thompson Güncellemesi

Son güvenlik açığı özetinde, Capital One veritabanı ihlalini ve şüpheli suçlu Paige "düzensiz" Thompson'ı ele aldık. Seattle'daki ABD Avukatlık Ofisi, düzensiz kişinin yatak odasında bulunan sunucuda 30'dan fazla şirketten çalınan verilerin saklandığını söyledi. ABD Savcılığı şirketlerin isimlerini açıklamadı. Bu hikayeye göz kulak olacağız ve şirketlerin isimleri halka açıklanırsa sizi güncelleyeceğiz.

3. Microsoft Bluetooth Güvenlik Açığı

Microsoft'un Ağustos güvenlik yaması, Bluetooth Güvenlik Açığı Şifreleme Anahtarı Pazarlığı için bir düzeltme içeriyordu. Bu istismar, bir saldırganın Bluetooth oturumunu kaba kuvvetle zorlamasını ve cihazlar arasındaki trafiğin şifresini çözmesini kolaylaştırır. Ağustos güvenlik düzeltme ekini uyguladığınızdan emin olun.

Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Güvenliğini Alın