ev borcu WordPress sitesi
WordPress Güvenlik Açığı Özeti: Haziran 2019, 2. Bölüm
Haziran ayının son yarısında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı, bu nedenle sizi bilgilendirmek istiyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress Temel Güvenlik Açıkları
- 2. WordPress Eklenti Güvenlik Açıkları
- 3. WordPress Tema Güvenlik Açıkları
- 4. Web Çevresindeki İhlaller
*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
WordPress Temel Güvenlik Açıkları
2019 yılının Haziran ayında açıklanmış herhangi bir WordPress güvenlik açığı bulunmamaktadır.
WordPress Eklenti Güvenlik Açıkları
Bu markada birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. Messenger Müşteri Sohbeti
Messenger Müşteri Sohbeti eklentisi, sürüm 1.2 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın bazı WordPress site ayarlarını değiştirmesine izin verecektir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.3 sürümüne güncellemelisiniz.
2. Destek Panosu – Sohbet ve Yardım Masası | Destek ve Sohbet
Destek Panosu – Sohbet ve Yardım Masası | Destek ve Sohbet eklentisi, sürüm 1.2.8 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.2.9 sürümüne güncellemelisiniz.
3. Sıra Matematik ile Seo
Seo by Rank Math eklentisi, sürüm 1.0.26 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.0.27 sürümüne güncelleme yapmalısınız.
4. WP Üyeleri Üyelik Eklentisi
WP-Members Üyelik eklentisi, sürüm 3.2.7 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın yeni alanlar oluşturmasına, düzenlemesine ve silmesine olanak tanır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.2.8.1 sürümüne güncelleme yapmalısınız.
5. Emlak Müdürü
Emlak Yöneticisi eklentisi, bir Eklenti Keyfi Ayarları Güncellemesi saldırısına karşı savunmasızdır. Bu güvenlik açığının nedeni save_admin_settings() AJAX işlevindeki yetkilendirme ve CSRF denetimlerinin olmamasıdır.
Yapmanız Gerekenler
WordPress.org, Real Estate Manager eklentisini kapattı, bu yüzden eklentiyi kaldırın ve yenisini bulun.
6. LionScripts: IP Engelleyici Lite
LionScripts: IP Blocker Lite eklentisi, sürüm 10.3 ve altı, Keyfi Dosya Yükleme saldırılarına yol açabilecek Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 10.5 sürümüne güncellemelisiniz.
7. WebP Ekspres
WebP Express eklentisi, 0.14.10 ve altı sürümleri, çok sayıda saldırıya, Siteler Arası İstek Sahteciliği, Keyfi Dosya Yükleme, Siteler Arası Komut Dosyası Çalıştırma ve Yetkisiz Erişim saldırılarına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 0.14.11 sürümüne güncelleme yapmalısınız.
8. Meta ile kullanıcıları CSV'den içe aktarın
1.14.1.2 ve altı sürümlü meta eklentili kullanıcıları CSV'den içe aktar, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.14.1.3 sürümüne güncellemeniz gerekir.
9. Tüm Güvenlik Duvarını Reddet
Deny All Firewall eklentisi, sürüm 1.14.1.2 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın Tümünü Reddet Güvenlik Duvarını .htaccess'ten kaldırmasına ve eklentiyi işe yaramaz hale getirmesine olanak tanır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.14.1.3 sürümüne güncellemeniz gerekir.
10. WooCommerce için Facebook
Facebook for WooCommerce eklentisi, sürüm 1.9.12 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Güvenlik açığı, bir saldırganın bazı WordPress site ayarlarını değiştirmesine izin verecektir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.9.15 sürümüne güncellemelisiniz.
11. Pretty Links'ten Kısa Bağlantılar – En İyi WordPress Bağlantı İzleme Eklentisi
Shortlinks by Pretty Links eklentisi, sürüm 2.1.9 ve altı, Siteler Arası Komut Dosyası Çalıştırma ve CSV Enjeksiyon saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın WordPress panosuna kötü amaçlı kod eklemesine izin verir.
Güvenlik açığı, bir saldırganın bazı WordPress site ayarlarını değiştirmesine izin verecektir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.1.10 sürümüne güncellemelisiniz.
12. Elementor için Sina Uzantısı
Elementor eklentisi için Sina Uzantısı, sürüm 2.1.9 ve altı, Yerel Dosya Ekleme saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.1.10 sürümüne güncellemelisiniz.
13. PayPal ile CP İletişim Formu
PayPal eklentisine sahip CP İletişim Formu, sürüm 1.3.01 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.3.02 sürümüne güncellemelisiniz.
14. Bu Resmi Paylaşın
Bu Resmi Paylaş eklentisi, sürüm 1.19 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.2.0 sürümüne güncellemelisiniz.
15. wp için reklamlar
Ads-for-wp eklentisi, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress.org, reklamlar için wp eklentisini kapattı, bu nedenle eklentiyi kaldırın ve yenisini bulun.
16. WooCommerce için Kullanıcı E-posta Doğrulaması
WooCommerce eklentisi için Kullanıcı E-posta Doğrulaması, sürüm 3.3.0 ve altı, bir Seçenek güncellemesine yol açan Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.4.0 sürümüne güncelleme yapmalısınız.
17. Gelişmiş Woo Arama
Advanced Woo Search eklentisi, sürüm 1.6.8 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına yol açan Siteler Arası İstek Sahteciliğine karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.70 sürümüne güncellemelisiniz.
18. ACF: Daha İyi Arama
ACF: Better Search eklentisi, sürüm 3.3.0 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.3.1 sürümüne güncellemeniz gerekir.
19. Widget Mantığı
Widget Logic eklentisi, sürüm 5.9.0 ve altı, Uzaktan Kod Yürütme saldırısına yol açan Siteler Arası İstek Sahteciliğine karşı savunmasızdır.
Danne Witz, saldırganların yönetici kullanıcıların özel kenar çubuğu widget'larına kötü amaçlı kod eklemesini sağlayarak uzaktan kod yürütülmesine neden olabileceğini bildirdi.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 5.10.2 sürümüne güncelleme yapmalısınız.
WordPress Tema Güvenlik Açıkları
2019 yılının Haziran ayında açıklanmış herhangi bir WordPress Teması güvenlik açığı olmamıştır.
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik güncellemeler
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak, en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz.
Otomatik güncellemeler, çok sık değişmeyen web siteleri için mükemmel bir seçimdir. Gerekli ilginin gösterilmemesi, genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. 
Sürüm Yönetimi Güncellemeleri
- WordPress Otomatik Güncellemeler – Tüm WordPress güncellemeleri, mevcut olduğunda otomatik olarak yüklenir.
- Eklenti Otomatik Güncellemeleri – Tüm eklenti güncellemeleri mevcut olduğunda otomatik olarak yüklenir.
- Tema Otomatik Güncellemeleri – Tüm tema güncellemeleri, mevcut olduğunda otomatik olarak yüklenir. Ana temayı güncelleyerek özelleştirmelerinizi geçersiz kılmamak için tema özelleştirmelerinizi bir alt temaya yerleştirdiyseniz bunu kullanın.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – iThemes Güvenlik eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. Kubernetes Komut Satırı Arayüzü Hatası
Kubectl, Google tarafından oluşturulan ve yönetilen açık kaynaklı kapsayıcı olan Kubernetes için bir komut satırı arayüzüdür ve oldukça yakın zamanda çirkin bir güvenlik açığına sahiptir. kubectl cp komutu, kötü amaçlı bir kapsayıcının bir kullanıcının iş istasyonunda dosyaları değiştirebilmesi veya oluşturabilmesi için bir dizin geçişini etkinleştirebilir.
Kubectl'i yamalı bir sürüme güncellediğinizden emin olun.
2. NASA Hacklendi
Jet Propulsion Laboratory sunucularına bağlı yetkisiz bir Raspberry Pi cihazının güvenliği ihlal edildi. Raspberry Pi cihazına başarılı bir şekilde saldırdıktan sonra, bilgisayar korsanları Deep Space Network dizisi radyo teleskopları da dahil olmak üzere diğer sistemlere erişmeyi başardılar.
Hikaye, ağınızdaki her cihazın güvenliğinin önemini vurgulamaktadır.
3. Netflix, Linux ve FreeBSD Açıklarını Buluyor
Netflix'in yayın hizmeti büyük bir altyapı, güçlü araçlar ve yetenekli insanlar gerektirir. Branden Gregg'in Minecraft hata ayıklamasını canlı olarak izleyebilir veya Netflix'in bir eğlence şirketi olduğu kadar bir teknoloji şirketi olduğunu görmek için Netflix açık kaynaklı yazılım merkezine göz atabilirsiniz.
Artık Netflix'in bir teknoloji şirketi olduğunu bildiğinize göre, üç güvenlik açığı keşfedip ifşa etmeleri şaşırtıcı olmamalı. İki Linux ve bir FreeBSD, TCP tabanlı hizmet reddi saldırılarıdır. Güvenlik açıklarının ve geçici çözümlerin ayrıntılı bir açıklamasını Netflix'in GitHub'ında bulabilirsiniz.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
