WordPress Güvenlik Açığı Özeti: Mayıs 2019, 2. Bölüm

admin Haberler Leave a comment 5 Views


Yeni WordPress eklentisi ve tema güvenlik açıkları ayın son yarısında açıklandı, bu yüzden sizi bilgilendirmek istiyoruz.

WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:

  • 1. WordPress çekirdeği
  • 2. WordPress Eklentileri
  • 3. WordPress Temaları
  • 4. Web Çevresindeki İhlaller

*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Temel Güvenlik Açıkları

2019 yılının Mayıs ayında açıklanmış herhangi bir WordPress güvenlik açığı olmamıştır.

WordPress Eklenti Güvenlik Açıkları

Birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için önerilen işlemi uyguladığınızdan emin olun.

1. Facebook Messenger ile Canlı Sohbet

Facebook Messenger Logolu Canlı Sohbet

Facebook Messenger eklentisi ile Canlı Sohbet, sürüm 1.4.6 ve altı, siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.4.7 sürümüne güncellemelisiniz.

2. Bülten Yöneticisi

Haber Mektup Logosu

Haber Bülteni Yöneticisi eklentisi, kimliği doğrulanmamış bir açık yönlendirmeye karşı savunmasızdır. Olay girişi temizlenmedi ve bir XSS istismarı yarattı.

Yapmanız Gerekenler

WordPress.org, Haber Bülteni Yöneticisi eklentisini kapattı, bu nedenle eklentiyi kaldırın ve yenisini bulun.

3. ConvertPlus

Artı Logosunu Dönüştür

Convert Plus sürüm 3.4.2 ve altı, Kimliği Doğrulanmamış Keyfi Kullanıcı Rolü Oluşturma saldırısına karşı savunmasızdır.

Saldırganlar, istismarı kullanarak web sitenize giriş yapmaya bile gerek duymadan yeni Yönetici kullanıcılar oluşturabilir. Kötü bir aktör sitenize yönetici erişimine sahip olduğunda, sitenizin ziyaretçilerini kötü amaçlı sitelere yönlendirebilir, erişiminizi engelleyebilir ve sitenize kötü amaçlı yazılım ekleyebilir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.4.3 sürümüne güncellemelisiniz.

4. WP Rezervasyon Sistemi

WP Rezervasyon Sistemleri Logosu

WP Rezervasyon Sistemi eklentisi sürüm 1.5.1.1 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır. WP Booking Systems, bir saldırganın yönetici ayrıcalığı gereksinimini atlamasına ve bir SQL enjeksiyonu gerçekleştirmesine yol açabilecek CSRF nonce'lerini içermiyordu.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.5.2 sürümüne güncellemelisiniz.

5. FV Akış Oynatıcı Video Oynatıcı

FV Flowplayer Logosu FV Flowplayer Video Player sürüm 7.3.14.727 ve altı, bu ay açıklanan üç farklı güvenlik açığına sahipti. Eklenti, Kimliği Doğrulanmamış Depolanmış XSS, SQL Enjeksiyonu ve CSV Dışa Aktarma saldırılarına karşı savunmasızdı.

Saldırgan güvenlik açıklarından yararlanırsa, bir e-posta girişi sağlamalarına ve bunu e-posta dışa aktarma ekranında işlemelerine olanak tanırdı. SQL Injection güvenlik açığı e-posta aboneliğiyle ilgiliydi ve üçüncü güvenlik açığı konuk kullanıcıların e-posta aboneliğinin CSV dışa aktarımını oluşturmasına izin verdi.

Yapmanız Gerekenler

Güvenlik açıkları yamalandı ve 7.3.15.727 sürümüne güncellemeniz gerekir.

6. Slimstat Analitiği

Slimstat Logosu

Slimstat Analytics sürüm 4.8 ve altı, Kimliği Doğrulanmamış Depolanmış XSS saldırısına karşı savunmasızdır. Güvenlik açığı, sitenin herhangi bir ziyaretçisinin eklenti erişim günlüğüne rastgele JavaScript eklemesine izin verir. Sucuri'nin bildirdiği gibi:

Kötü niyetli bir kullanıcı, tarayıcısının eklenti erişim günlüğüne rastgele kod eklemek için özel olarak hazırlanmış bir eklentisi varmış gibi davranarak bir analiz isteği oluşturabilir. Bu, bir yönetici oturum açtığında yürütülecektir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 4.8.1 sürümüne güncellemelisiniz.

7. 10Web'den Form Oluşturucu

Maker Logosundan Form Maker'ın 10Web sürümü 1.13.2 ve altı, Kimliği Doğrulanmış SQL Enjeksiyonuna karşı savunmasızdır. Daniele Scanu tarafından bildirildiği gibi, `form-maker/admin/models/Submissions_fm.php` dosyasındaki get_labels_parameters işlevinde hazırlanmış bir get_labels_parameters bir SQL enjeksiyonu gerçekleştirmek mümkün olacaktır.
asc_or_desc parameter .

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.13.3 sürümüne güncelleme yapmalısınız.

8. Basit Dosya Listesi Eklentisi

Basit Dosya Listesi Logosu

Basit Dosya Listesi Eklentisi sürüm 3.2.4 ve altı, Kimliği Doğrulanmamış Keyfi Dosya İndirme saldırısına karşı savunmasızdır. Güvenlik açığı, isteği bilen herhangi bir kullanıcının hassas bilgileri açığa çıkarabilecek dosya listesini indirmesine izin verir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.2.4 sürümüne güncelleme yapmalısınız.

9. Kaygan Açılır Pencere

Slick Popup, bir Privilege Escalation saldırısına karşı savunmasızdır. Güvenlik açığı, abonelerin sabit kodlanmış oturum açma kimlik bilgileriyle bir yönetici hesabı oluşturmasına olanak tanır. Bu HARDCODED KULLANICI ADI ve ŞİFRE kombinasyonunu kullanabilirsiniz.

Kullanıcı adı: slickpopupteam (Daha çok kaygan olmayan gibi)

Şifre: OmakPass13#

Yapmanız Gerekenler

WordPress.org, Slick Popup Manager'ı Mayıs 2019'da kapattı, bu yüzden eklentiyi kaldırıp yenisini bulmanızı öneririm.

10. Hızlı Pop-up'lar, Slide-in'ler ve E-posta Opt-in'leri

koşuşturma logosu

Hustle sürüm 6.0.7 ve altı, Kimliği Doğrulanmamış CSV Enjeksiyonu saldırısına karşı savunmasızdır. Bu istismar, bir saldırganın bir açılır pencereye kötü amaçlı kod eklemesine izin verir. Kötü niyetli aktör daha sonra yöneticinin bilgisayarına bir excel işlevi aracılığıyla kötü amaçlı kod enjekte edebilir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 6.0.8.1 sürümüne güncelleme yapmalısınız.
WordPress Temaları
Mayıs 2019'un ikinci bölümünde yalnızca bir WordPress teması güvenlik açığı keşfedildi.

1. Gezgin

Gezgin Logosu

Gezgin temasının 2.7.1 sürümü, bir Yansıtılan ve Depolanan XSS saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açıkları düzeltilmedi. Bir düzeltme içeren bir güncelleme için değişiklik günlüğüne göz atın.

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.


Otomatik güncellemeler

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak, en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz.

Otomatik güncellemeler, çok sık değişmeyen web siteleri için harika bir seçimdir. Gerekli dikkatin gösterilmemesi, bu siteleri genellikle ihmal edilmiş ve saldırılara karşı savunmasız bırakmaktadır. WordPress Sürümü

Sürüm Yönetimi Güncellemeleri
  • WordPress Otomatik Güncellemeler – Tüm WordPress güncellemeleri, mevcut olduğunda otomatik olarak yüklenir.
  • Eklenti Otomatik Güncellemeleri – Tüm eklenti güncellemeleri mevcut olduğunda otomatik olarak yüklenir.
  • Tema Otomatik Güncellemeleri – Tüm tema güncellemeleri, mevcut olduğunda otomatik olarak yüklenir. Ana temayı güncelleyerek özelleştirmelerinizi geçersiz kılmamak için tema özelleştirmelerinizi bir alt temaya yerleştirdiyseniz bunu kullanın.
  • Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

sürüm yönetimi

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
  • Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – iThemes Güvenlik eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
  • Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
  • E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. Saldırganlar Oracle WebLogic Sunucularından Yararlanıyor

Oracle Logosu

Geçen ay, WebLogic Sunucularının bir Sodinokibi fidye yazılımı istismarına karşı savunmasız olduğu açıklandı. Oracle, güvenlik açığı için bir yama yayınladı.

Saldırının kurbanları, dosyalarının şifresini çözmek için bir ödeme talebiyle karşılandı.

fidye resmi

Bu saldırıyı benzersiz kılan, kullanıcı etkileşimi gerektirmemesidir. Tipik olarak, kötü amaçlı bir ekin açılması veya kötü amaçlı bir bağlantının tıklanması gerekir. WebLogic sunucusuna HTTP erişimi olan herkes bir saldırı gerçekleştirebileceğinden, bu güvenlik açığı saldırganlar için kolaydır.

2. Baltimore Şehri NSA Aracı Kullanılarak Hacklendi

Baltimore Şehri Logosu
Baltimore şehri, şehre tahmini 18,2 milyon dolara mal olan bir kötü amaçlı yazılım saldırısının kurbanı oldu. Yaralanmalara hakaret eklemek için EternalBlue kullanılarak saldırıya uğradılar. EternalBlue, NSA tarafından Amerika Birleşik Devletleri vergi doları kullanılarak geliştirilmiş bir araçtır.

3. Google Blogları Şifreleri Düz Metin Olarak Saklama Hakkında

Google, 2005'ten beri devam eden bir hatayı düzelttiklerini açıkladı. Yalnızca G Suite işletme kullanıcılarını etkileyen hata, bazı şifreleri düz metin olarak saklayacaktı. Bu, saklanan şifrelere erişim elde eden herkesin şifrenizi görebileceği anlamına gelir.

4. Google, Titan Hatasını Açıkladı

Google Logosu

Google, Titan güvenlik anahtarlarında bir güvenlik hatası açıkladı.

Titan Güvenlik Anahtarlarının Bluetooth eşleştirme protokollerindeki bir yanlış yapılandırma nedeniyle, güvenlik anahtarınızı kullandığınız anda fiziksel olarak size yakın olan bir saldırganın – yaklaşık 30 fit içinde – (a) güvenlik anahtarınızla iletişim kurması, veya (b) anahtarınızın eşleştirildiği cihazla iletişim kurun.

Güvenliği ihlal edilmiş bir güvenlik anahtarınız varsa, onu değiştirmeyi teklif ediyorlar.

google.com/replacemykey

5. Windows Güvenlik Açığı için Slack

Gevşek Logo

Windows'ta Slack kullanıyorsanız, hemen 3.4.0 sürümüne güncelleme yaptığınızdan emin olun. 3.4.0 sürümünden önce, bilgisayar korsanları, tıklandığında bir kullanıcının indirmelerini saldırgana ait bir dosya sunucusuna yönlendirmelerine izin verecek olan kötü amaçlı bir bağlantı yayınlayabilirdi. Ardından, saldırgan makineye kötü amaçlı yazılım bulaştırabilir veya hassas dosyalara erişim kazanmış olabilir.

Slack'in istismarı kötü niyetli olarak kullanılmadan önce yamalayabildiğini belirtmekte fayda var.

Güvenlik Açığı Özeti Özeti: Mayıs 2019, 2. Bölüm

Mayıs 2019 için WordPress Güvenlik Açığı Özeti'nin 1. Bölümüne buradan göz atın.

Sitelerin saldırıya uğramasının bir numaralı nedeninin eski yazılımlar olduğunu unutmayın. Bu ay şimdiye kadar açıklanan her güvenlik açığı düzeltildi. Sitenizde güncel olmayan yazılımlar bırakmak sizi saldırılara karşı savunmasız bırakacaktır.

wordpress güvenlik eklentisi

Bir WordPress Güvenlik Eklentisi, WordPress Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Güvenliğini Alın

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved