WordPress Güvenlik Açığı Özeti: Ağustos 2019, 2. Bölüm

admin Haberler Leave a comment 6 Views


Ağustos ayının son yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu nedenle sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:

  • 1. WordPress çekirdeği
  • 2. WordPress Eklentileri
  • 3. WordPress Temaları
  • 4. Web Çevresindeki İhlaller

* WordPress ekosistemi dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Temel Güvenlik Açıkları

2019 yılının Ağustos ayında hiçbir WordPress güvenlik açığı açıklanmadı.

WordPress Eklenti Güvenlik Açıkları

Bu Ağustos ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.

1. Yeni Nesil Galeri

Nextgen Gallery sürüm 3.2.10 ve altı, bir SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.2.11 sürümüne güncellemelisiniz.

2. Mailchimp için Kolay Formlar

Mailchimp Logosu için Kolay Formlar

Easy Forms for Mailchimp sürüm 6.5.2 ve altı, Code Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 6.5.3 sürümüne güncellemeniz gerekir.

3. WP Sosyal Akış Galerisi

WP Sosyal Akış Galerisi Logosu

WP Social Feed Gallery sürüm 2.4.7 ve altında uygun yetkilendirme kontrolleri eksik. Güvenlik açığı, düşük seviyeli kullanıcıların Siteler Arası Sahtecilik saldırısı gerçekleştirmesine izin verebilir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.4.8 sürümüne güncellemelisiniz.

4. Sosyal LikeBox & Feed

Sosyal Görsel ve Yem Logosu

Social LikeBox & Feed sürüm 2.8.4 ve altı, Siteler Arası İstek Sahteciliği ve Komut Dosyası Saldırılarına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.8.5 sürümüne güncellemelisiniz.

5. WooCommerce için Varyasyon Renk Örnekleri

WooCommerce Logosu için Varyasyon Renk Örnekleri

WooCommerce sürüm 1.0.61 ve altı için Varyasyon Renk Örnekleri, Siteler Arası İstek Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.0.62 sürümüne güncelleme yapmalısınız.

6. WP SVG Simgeleri

WP SVG Logosu

WP SVG Icons sürüm 3.2.2 ve altı, Uzaktan Kod Yürütme saldırısına yol açan Siteler Arası İstek Sahteciliğine karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.2.3 sürümüne güncellemeniz gerekir.

7. Kalın Sayfa Oluşturucu

Kalın Sayfa Oluşturucu Logosu

Bold Page Builder sürüm 2.3.1 ve altı, Uygunsuz Ayrıcalık Yönetimi saldırısına karşı savunmasızdır. Güvenlik açığı, kimliği doğrulanmamış kullanıcıların Yönetici kullanıcılarla sınırlı olması gereken görevleri gerçekleştirmesine olanak tanır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.3.2 sürümüne güncelleme yapmalısınız.

8. Dışa Aktarma WordPress Kullanıcılarını İçe Aktarın

İthalat İhracat WordPress Kullanıcı Logosu

Import Export WordPress Kullanıcıları sürüm 1.3.1 ve altı, bir CSV Enjeksiyonuna karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.3.2 sürümüne güncellemeniz gerekir.

9. KullanıcıPro

Kullanıcı Profesyonel Logosu

UserPro sürüm 4.9.33 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

10. WP Özel İçerik Artı

WP Özel İçerik Pro Logosu

WP Private Content Plus sürüm 1.31 ve altı, Kimliği Doğrulanmamış Seçenekler Değişikliği saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve sürüm 2.0'a güncellemelisiniz.
3 Eylül itibariyle, eklenti incelenmeyi bekleyen wp.org deposunda kapatılmıştır.

11. Shapepress DSGVO

Shapepress DSGVO Logosu

Shapepress DSGVO sürüm 2.2.19 ve altı, Siteler Arası Komut Dosyası Çalıştırma ve Sahtecilik saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.2.20 sürümüne güncellemelisiniz.

12. WooCommerce Ürün Beslemesi

WooCommerce Ürün Akışı sürüm 3.1.14 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.1.15 sürümüne güncelleme yapmalısınız.

13. Pasta Kaydı

Pasta Kayıt Logosu

Pie Register sürüm 3.1.1 ve altı, bir SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.1.2 sürümüne güncellemeniz gerekir.

14. Kolay Mülk Listeleri

Kolay Emlak Listeleri Logo

Easy Property Listings sürüm 3.3.5 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.4 sürümüne güncellemelisiniz.

15. HandL UTM Yakalayıcı

HandL UTM Yakalayıcı Logosu

HandL UTM Grabber sürüm 2.6.4 ve altı, Siteler Arası Sahtecilik saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.6.5 sürümüne güncellemelisiniz.

16. Web Kütüphanecisi

Web Librarian sürüm 3.5.2 ve altı, SQL Injection'a karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.5.5 sürümüne güncellemeniz gerekir.

WordPress Temaları

Ağustos 2019'un ikinci yarısında hiçbir WordPress Teması güvenlik açığı açıklanmadı.

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

Otomatik Güncellemeler Yardımcı Olabilir

Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.

Sürüm Yönetimi Güncelleme Seçenekleri
  • WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
  • Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
  • Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
  • Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
  • Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
  • Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
  • E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. npm Parola Çalma Paketini Kaldırır

npm logosu

npm, Node.js'nin yazılımı yüklemek, güncellemek, yapılandırmak ve kaldırmak için kullanılan bir araç olan varsayılan paket yöneticisidir. npm, hassas bilgileri uzak bir sunucuya gönderen bir Windows yürütülebilir dosyasını dağıttıktan sonra bb-builder depodan kaldırıldığını duyurdu.

npm, paketin kaldırılmasını ve paketin kurulu olduğu cihazda depolanan güvenlik anahtarlarının döndürülmesini önerir. Ayrıca, paketi kaldırmanın tüm kötü amaçlı yazılımları kaldırmayabileceği konusunda uyarıyorlar.

2. Önceden Yüklenmiş Lenovo Yazılımında Bulunan Büyük Güvenlik Açığı

Lenovo Logosu

Lenovo Solution Center sürüm 03.12.003, günlük dosyalarının standart olmayan konumlara yazılmasına izin vererek ayrıcalık yükselmesine neden olabilir. Lenovo Solution Center, Nisan 2018'den beri kullanımdan kaldırılmıştır. Lenovo azaltma önerisi, Çözüm Merkezi'nin kaldırılması ve Nisan 2019'da Lenovo Vantage veya Lenovo Diagnostics'e geçiş yapılmasıdır.

Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Security'nin tüm WordPress güvenlik özellikleri hakkında daha fazla bilgi edinin. Yeni e-kitabı indirin: iThemes Güvenlik Kurulum Kılavuzu
Şimdi İndirin

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved