WordPress Güvenlik Açığı Özeti: Mayıs 2019, 1. Bölüm

admin Haberler Leave a comment 5 Views


Bu ay yeni WordPress eklenti güvenlik açıkları açıklandı, bu yüzden sizi bilgilendirmek istiyoruz.

Bu yazıda, bu ayın WordPress ile ilgili güvenlik açıklarını dört farklı kategoriye ayırıyoruz:

  • 1. WordPress Çekirdeği
  • 2. WordPress Eklentisi
  • 3. WordPress Temaları
  • 4. Web'den Gelen İhlaller*

*WordPress ekosistemi dışındaki güvenlik açıklarının da farkında olmak önemli olduğundan, bu gönderiye web'deki ihlalleri dahil ettik. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, web sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkarabilir ve saldırganların sitenize erişmesi için kapıyı açabilir.

WordPress Temel Güvenlik Açıkları

Bu gönderi itibariyle, 2019'da hiçbir WordPress temel güvenlik açığı açıklanmadı.

WordPress Eklenti Güvenlik Açıkları

1. Blog Tasarımcısı

Blog Tasarımcısı eklentisi, sürüm 1.8.10 ve altı, siteler arası komut dosyası çalıştırma (XSS) saldırısına karşı savunmasızdır. WebARX tarafından bildirildiği gibi, kimliği doğrulanmamış bir kullanıcı eklenti ayarlarını güncellemek için bir gönderi isteği gönderebilir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.8.11 sürümüne güncelleme yapmalısınız.

2. Hepsi Bir Arada Etkinlik Takvimi

etkinlik takvimi logosu

Hepsi Bir Arada Etkinlik Takvimi 2.5.38 ve altı, siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır. Olay girişi temizlenmedi ve bir XSS istismarı yarattı.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.5.39 sürümüne güncellemelisiniz.

3. W3 Toplam Önbellek

w3totalcache logosu Eklentinin W3 Toplam Önbelleği 0.9.7.3 ve altı, bu ay açıklanan üç farklı güvenlik açığına sahipti.

İlk güvenlik açığı, bir RCE saldırısı kullanarak yararlanılabilecek bir SSRF açığıdır. İkinci güvenlik açığı, siteler arası komut dosyası çalıştırma saldırısıdır. Üçüncü güvenlik açığı, şifreleme kontrolünün atlanmasına izin verir.

Yapmanız Gerekenler

Güvenlik açıkları yamalandı ve 0.9.7.4 sürümüne güncellemelisiniz.

4. Ninja Forms Dosya Yükleme Uzantısı

Ninja Forms Dosya Yükleme Uzantısı sürüm 3.0.22 ve altı, Keyfi Dosya Yükleme açığına karşı savunmasızdır. Bir sitenin, birinin bu istismardan yararlanabilmesi için Ninja Forms'un yüklü olması ve Dosya Yükleme uzantısının etkinleştirilmiş olması gerekir. Onvio, bir saldırganın bu istismarı kullanarak kötü amaçlı kod yürütebileceğini bildirdi.

Yapmanız Gerekenler

Güvenlik açıkları yamalandı ve 3.0.23 sürümüne güncellemelisiniz.

5. Nihai Üye

nihai üye logosu
Ultimate Üye sürüm 2.0.45 ve altı, Keyfi Dosya okuma ve silme istismarına ve iki farklı çapraz komut dosyası çalıştırma saldırısına karşı savunmasızdır. Sucuri, bu çok ciddi açığın bir saldırganın web sitenizi ele geçirmesine izin verebileceğini bildirdi.

Yapmanız Gerekenler

Güvenlik açıkları yamalandı ve 2.0.46 sürümüne güncellemelisiniz.

6. Özel Alan Paketi

özel alan paketi logosu

Custom Field Suite sürüm 2.5.14 ve altı, Kimliği doğrulanmış siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır. Bu istismardan yararlanmak için editör veya yönetici ayrıcalıklarına sahip bir kullanıcının oturum açması gerektiğini belirtmekte fayda var.

Yapmanız Gerekenler

Güvenlik açıkları yamalandı ve 2.5.15 sürümüne güncellemelisiniz.
Bu saldırı türü, yöneticiler gibi ayrıcalıklı kullanıcılar için WordPress iki faktörlü kimlik doğrulama kullanmanın önemini gösterir. iThemes Security Pro'yu kullanarak, ayrıcalıklı kullanıcıları WordPress'i kilitlemeye yardımcı olmak için 2fa kullanmaya zorlarsınız.

WordPress Tema Güvenlik Açıkları

Mayıs ayında açıklanan 0 WordPress Tema güvenlik açığı var!

Web Çevresindeki İhlaller

1. Satışta Antivirüs Şirketi Kaynak Kodu

Fxmsp adlı bir hacker grubu, Amerikan antivirüs şirketlerinden 30 terabayt veri çaldığını iddia ediyor. Devamını oku: Antivirüs Şirketlerinden Erişim ve Kaynak Kodu Satan Hackerlar.

Bu ilginç bir hikaye çünkü virüsten koruma şirketlerinin bile saldırılara karşı savunmasız olduğunu gösteriyor. McAfee ve Norton gibi ev isimlerinin kurbanlar olabileceğinden bahsetmiyorum bile.

2. Alpine Linux Docker Görüntüsü Güvenlik Açığı

alp linux logosu

Alpine Linux Docker görüntülerinin sürümleri, kök kullanıcı için bir BOŞ parola içeriyordu. Bu, birisinin yalnızca parolayı boş bırakarak kök kullanarak oturum açmadan çıkabileceği anlamına gelir. Docker harikadır, ancak bir görüntü oluşturucunun en iyi güvenlik uygulamalarını takip etmeyebileceğini unutmamak önemlidir.

3. WhatsApp

uygulama logosu nedir

Facebook'a ait WhatsApp, saldırganların telefonunuza casus yazılım yüklemesine izin veren bir güvenlik açığına sahipti. Bir saldırganın iPhone veya Android cihazınıza gözetim yazılımı yüklemek için yalnızca sizi araması gerekiyordu – yanıt vermenize gerek yok. İstismarı daha da kötü yapan şey, aramayı günlükten kaldırabilmeleri ve saldırının herhangi bir izini kaldırabilmeleridir.

WhatsApp kullanıcısıysanız, uygulamanın en son sürümünü kullandığınızdan emin olun.

4. OKC Devlet Okulları

Ne yazık ki, okullar çevrimiçi kötü niyetli kişiler için yasak değildir. Oklahoma City Devlet Okulları, Fidye Yazılımı nedeniyle ağlarını kapatmak zorunda kaldı. Şu an itibariyle OKCPS, hangi bilgilerin ele geçirildiğini açıklamadı.

Devamını oku: Kötü amaçlı yazılım OKC okul bölgesinin bilgisayar ağını çökertiyor

WordPress Güvenlik Açığı Özeti Özeti

Sitelerin saldırıya uğramasının bir numaralı nedeninin eski yazılım olduğunu unutmayın. Bu ay şimdiye kadar açıklanan her güvenlik açığı düzeltildi. Sitenizde güncel olmayan yazılımlar bırakmak sizi saldırılara karşı savunmasız bırakacaktır.

Ayın son yarısında yapılan açıklamaları derlerken, Mayıs 2019'un 2. Bölüm WordPress güvenlik açıkları için bizi izlemeye devam edin.

wordpress güvenlik eklentisi

Bir WordPress Güvenlik Eklentisi, WordPress Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Güvenliğini Alın

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved