WordPress Güvenlik Açığı Özeti – Nisan 2019

admin Haberler Leave a comment 5 Views


Ne yazık ki Nisan 2019, WordPress güvenlik açıkları açısından yoğun bir ay oldu. Endişelenmenize gerek yok çünkü güvenlik açığı özetimiz bilmeniz gerekenleri size sunuyor. Bu istismarların neler olduğunu ve sizi nasıl etkileyebileceklerini ele alacağız.

Güvenlik açıklarını üç farklı kategoriye ayırdık:

  1. WordPress Eklentileri
  2. WordPress Temaları
  3. Web Çevresindeki İhlaller

WordPress ekosistemi dışındaki güvenlik açıklarının da farkında olmak önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verilerin açığa çıkmasına neden olabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Eklenti Güvenlik Açıkları

Geçen ay, kullanıcılar için geniş kapsamlı etkileri olan birkaç büyük eklenti güvenlik açığı gördü.

1. WooCommerce Ödeme Yöneticisi

WooCommerce Ödeme Yöneticisi Logosu

WooCommerce Checkout Manager sürüm 4.2.6, yama uygulanmamış bir Rastgele Dosya Yükleme güvenlik açığına sahipti. Sitenizde WooCommerce Checkout Manager'da Dosyaları Kategorize Et seçeneği etkinleştirilmişse, istismar, kimliği doğrulanmamış bir saldırganın, izin verilen bir dosya olup olmadığını görmek için denetimi atlayarak bir dosya yüklemesine izin verdi.

Bir bilgisayar korsanı, dosyalara erişmelerine/değiştirmelerine ve hatta yönetici erişimi elde etmelerine izin verecek kodu çalıştırmak için kusurdan yararlanabilir.

Yapmanız Gerekenler

4.3 sürümüne güncelleyin. Güncelleme, Rastgele Dosya Yükleme güvenlik açığı için bir yama içeriyordu.

2. İletişim Formu Oluşturucu

İletişim Formu Oluşturucu Logosu

Contact Form Builder 1.0.68 ve altı, Siteler Arası İstek Sahteciliği açığına ve Yerel Dosya Ekleme güvenlik açıklarına karşı savunmasızdı. Bu, birisinin Siteler Arası İstek Sahtecisini kullanabileceği ve kötü amaçlı bir dosya yüklemek için $_GET['action'] kullanabileceği anlamına gelir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.0.69 sürümüne güncellemelisiniz.

3. Gelişmiş İletişim formu 7 DB

gelişmiş-iletişim-form-logosu

Gelişmiş İletişim formu 7 DB sürüm 1.6.0 ve eklentinin altı, bir SQL Enjeksiyonuna karşı savunmasızdır. Güvenlik açığı, saldırganın istismardan yararlanabilmesi için bir hesaba sahip olmasını gerektirir, ancak hesabın yalnızca abone ayrıcalıklarına sahip olması gerekir. Sunucu yapılandırmanıza bağlı olarak, istismar, saldırgana şifrelenmiş karmalardan başka bir şeye erişim sağlamayabilir veya sunucunun kontrolünü ele geçirebilir. Güvenliğinizi yönetmeyi bir öncelik haline getiren bir ana bilgisayar kullandığınızdan emin olun.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.6.1 sürümüne güncellemelisiniz.

4. YellowPencil Görsel CSS Stil Editörü

sarıkalem-logo

YellowPencil Visual CSS Style Editor, bir saldırganın kimlik doğrulamasını atlamasına ve site yöneticisi olarak sitede istek çalıştırmasına olanak tanıyan bir güvenlik açığına sahiptir. Bu istekte, site kaydını açmak ve Yöneticiyi varsayılan yeni kullanıcı rolü yapmak için WordPress ayarlarını değiştirebilirler.

Yapmanız Gerekenler

Bu eklentinin bir yama alacağı görünmüyor, bu yüzden YellowPencil Visual CSS Stil Düzenleyicisini kaldırmanızı ve yenisini bulmanızı öneririm.

5. Yuzo İle İlgili Yazılar

Yuzo İlgili Mesajlar güvenlik açığı, YellowPencil istismarına çok benzer. Yuzo, siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır. Eklentideki bir istismar, birisinin WordPress ayarlarını değiştirmek ve hatta kötü amaçlı yönlendirmeler eklemek için siteye kod enjekte etmesine neden olur.

Yapmanız Gerekenler

Şimdilik Yuzo İlgili Mesajlar eklentisini kaldırmanızı öneririm. Eklenti yazarı, daha sonraki bir tarihte yeni ve geliştirilmiş bir sürümle çıkmayı planladığını söylüyor.

6. WP İstatistikleri

wp-istatistik-logosu

WP İstatistikleri sürüm 12.6.3 ve altı, siteler arası komut dosyası çalıştırma saldırısına karşı savunmasızdır. Tıpkı son eklentimiz gibi, bir saldırgan WP İstatistiklerinde bulunan bir istismar kullanarak sitenize kötü amaçlı kod enjekte edebilir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 12.6.4 sürümüne güncellemelisiniz.

WordPress Temaları

Bu ay birkaç WordPress teması güvenlik açığı ortaya çıktı.

7. Gazete Teması

gazete-logo

TagDiv sürüm 9.2.2 ve daha düşük sürümlerin Gazete Teması, WordPress siteler arası komut dosyası çalıştırma güvenlik açığının başka bir parçasıydı.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 9.5 sürümüne güncellemelisiniz.

8. İş Panosu Duyarlı WordPress Teması

iş-av-logosu

Job Board Responsive WordPress Theme sürüm 2.4 ve altı, birkaç farklı istismara açıktı. İlk istismar, kimliği doğrulanmamış kullanıcıların kullanıcıları numaralandırmasına ve ikinci istismar, kullanıcı hesaplarının şifrelerini sıfırlamasına izin verdi.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.4.1 sürümüne güncelleme yapmalısınız.

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

Otomatik güncellemeler

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak, en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz.

Otomatik güncellemeler, çok sık değişmeyen web siteleri için harika bir seçimdir. Gerekli ilginin gösterilmemesi genellikle bu sitelerin ihmal edilmesine ve güncel olmayan yazılımların çalıştırılmasına neden olur.

WordPress Sürümü

Sürüm Yönetimi Güncellemeleri
  • WordPress Otomatik Güncellemeler – Tüm WordPress güncellemeleri, mevcut olduğunda otomatik olarak yüklenir.
  • Eklenti Otomatik Güncellemeleri – Tüm eklenti güncellemeleri mevcut olduğunda otomatik olarak yüklenir.
  • Tema Otomatik Güncellemeleri – Tüm tema güncellemeleri, mevcut olduğunda otomatik olarak yüklenir. Ana temayı güncelleyerek özelleştirmelerinizi geçersiz kılmamak için tema özelleştirmelerinizi bir alt temaya yerleştirdiyseniz bunu kullanın.
  • Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

sürüm yönetimi

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
  • Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – iThemes Güvenlik eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
  • Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
  • E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. 80 Milyon ABD Hanesi Maruz Kaldı

Microsoft Bulut Sunucusunda barındırılan ve 80 milyon hanenin tam adlarını, gelirlerini ve medeni durumlarını içeren bir veri tabanı herkesin erişimine açıktı. Microsoft, DB'nin sahibini bilgilendirdiklerini ve artık herkese açık olmadığını belirten bir bildiri yayınladı.

2. Docker İhlali

Docker, 190.000 kullanıcıyı şifre değiştirme konusunda bilgilendirdi. İhlal, GitHub ve Bitbucket'te kullanılan Docker kullanıcı adlarını, karma parolaları ve API belirteçlerini açığa çıkardı.

Yapmanız Gerekenler

Docker hesabınız varsa, güvenli bir şekilde oynamanızı ve şifrenizi güncellemenizi öneririm. Bu tür bir ihlal, her hesap için benzersiz bir şifre kullanma ihtiyacını da ortaya çıkarır. Parolalarınızı yeniden kullanmak, parolalarınız büyük bir veritabanı ihlalinin parçası olduğunda sitelerinizi açıkta bırakır. Bu, hesaplarınızdan birinin ne zaman açığa çıkacağı meselesi değil, meselesidir.

Her site için benzersiz şifreler oluşturun ve bunları LastPass kullanarak güvenli bir şekilde güvenceye alın.

iThemes Security Pro Ele Geçirilmiş Parolaları Zorla özelliğini kullanın. Troy Hunt'ın haveibeenpwned API'sinin gücünden yararlanarak, haveibeenpwned veritabanında güvenliği ihlal edilmiş yaklaşık 8 Milyar parolayı reddedersiniz.

Güvenliği ihlal edilmiş parolaları reddetmek iki amaca hizmet eder, ilki sitenizi güvence altına almak ve tek bir kullanıcının sitenizi savunmasız bırakmasına izin vermemektir. İkincisi, kullanıcılarınıza kötü aktörler tarafından bilinen kimlik bilgilerini kullandıklarını bildirebilir.

Siz hazır oradayken, iki faktörlü kimlik doğrulama eklemek sitenizi veritabanı ihlallerine karşı korumaya yardımcı olacaktır. Authy kullanarak tüm WordPress sitelerimi kilitliyorum.

Güvenlik Açığı Özeti Özeti

Dışarısı tehlikeli bir internet. En son güvenlik yamalarını almak için sitenizi güncel tuttuğunuzdan emin olun. Veritabanı ihlallerine karşı kendinizi korumak için her sitede benzersiz bir parola ve iki faktör kullanın.

wordpress güvenlik eklentisi

Bir WordPress Güvenlik Eklentisi, WordPress Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Güvenliğini Alın

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved