ev borcu WordPress sitesi
WordPress Güvenlik Açığı Özeti: Temmuz 2019, 1. Bölüm
Yeni WordPress eklentisi ve tema güvenlik açıkları bu ayın ilk yarısında açıklandı, bu yüzden sizi bilgilendirmek istiyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress çekirdeği
- 2. WordPress Eklentileri
- 3. WordPress Temaları
- 4. Web Çevresindeki İhlaller
*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
WordPress Temel Güvenlik Açıkları
2019 yılının Temmuz ayında şu ana kadar hiçbir WordPress güvenlik açığı açıklanmadı.
WordPress Eklenti Güvenlik Açıkları
Bu Temmuz ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. Yoast SEO
Yoast SEO 1.2.0-11.5 ve altı sürümleri, Kimliği Doğrulanmış Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 11.6 sürümüne güncellemelisiniz.
2. WooCommerce
WooCommerce sürüm 3.6.4 ve altı, Siteler Arası İstek Sahteciliği ve Dosya Türü Kontrolüne karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.6.5 sürümüne güncellemeniz gerekir.
3. Reklam Yerleştirici
Ad Inserter sürüm 2.4.19 ve altı, Kimliği Doğrulanmış Yol Geçişi saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.4.20 sürümüne güncellemelisiniz.
4. Okyanus Ekstra
Ocean Extra eklentisi sürüm 1.5.8 ve altı, Kimliği Doğrulanmamış Ayarlar değişikliğine ve CSS enjeksiyonuna karşı savunmasızdır. Bu istismar, bir saldırganın bazı WordPress ayarlarını değiştirmesine ve siteyi tahrif etmek için CSS enjekte etmesine izin verecektir.
Yapmanız Gerekenler
Güvenlik açıkları yamalandı ve 1.5.9 sürümüne güncellemelisiniz.
5. WP İstatistikleri
WP İstatistik eklentisi, sürüm 12.6.6.1 ve altı, Kimliği Doğrulanmamış Kör SQL Enjeksiyonuna karşı savunmasızdır
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 12.6.7 sürümüne güncellemelisiniz.
6. Ziyaretçi Trafiği Gerçek Zamanlı İstatistikler
Ziyaretçi Trafiği Gerçek Zamanlı İstatistik eklentisi 2.0.5 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.13 sürümüne güncellemelisiniz.
7. Temel Gayrimenkul
Essential Real Estate eklentisi sürüm 1.7.1 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.7.2 sürümüne güncellemelisiniz.
8. Randevu Rezervasyon Takvimi
Randevu Rezervasyon Takvimi sürüm 1.3.18 ve altı, Kimliği Doğrulanmamış Depolanmış XSS saldırısına karşı savunmasızdır. Yetkilendirme denetiminin olmaması, Siteler Arası Komut Dosyası Çalıştırma saldırısına neden olabilir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.3.19 sürümüne güncelleme yapmalısınız.
9. Galeri Fotoğraf Blokları
Galeri PhotoBlocks sürüm 1.1.40 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.1.41 sürümüne güncellemeniz gerekir.
10. Slimstat Analitiği
Slimstat Analytics sürüm 4.8.3 ve altı, Siteler Arası İstek Sahteciliği ve Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 4.8.4 sürümüne güncellemelisiniz.
11. WP Google Haritalar
WP Google Haritalar sürüm 7.11.34 ve altı, Siteler Arası İstek Sahteciliği ve Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 7.11.35 sürümüne güncellemelisiniz.
12. Canlı Sohbet
LiveChat sürüm 3.7.2 ve altı, Siteler Arası İstek Sahteciliği ve Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.7.4 sürümüne güncelleme yapmalısınız.
13. Dondurma
Icegram sürüm 1.10.28.2 ve altı, Siteler Arası İstek Sahteciliği ve Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.10.29 sürümüne güncelleme yapmalısınız.
14. WP Beğen Düğmesi
WP Beğen Düğmesi eklentisi, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress.org, WP Like Button eklentisini kapattı, bu yüzden eklentiyi kaldırın ve yenisini bulun.
15. Dosya Yöneticisi
Dosya Yöneticisi sürüm 5.0 ve altı birden çok güvenlik açığına sahiptir. WebARX tarafından bildirildiği gibi, açıklardan yararlanılırsa, güvenlik açıkları oturum açmış herhangi bir kullanıcının yedekleri görüntülemesine, silmesine veya indirmesine izin verir. Sitenizde açık kayıt varsa bu, herkesin veritabanınızın bir kopyasını indirebileceği ve daha fazla tehlikeye yol açabilecek hassas bilgileri bulabileceği anlamına gelir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 5.2 sürümüne güncellemelisiniz.
16. Bültenler
Newsletter Lite sürüm 4.6.16 ve altı, Authenticated Reflected XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 4.6.18 sürümüne güncellemelisiniz.
17. Tek Tık SSL
Tek Tıkla SSL sürüm 1.4.6 ve altı birden çok güvenlik açığına sahiptir. Güvenlik açıklarından yararlanılırsa, yetkisiz ayarların değiştirilmesine ve düşük ayrıcalıklı bir kullanıcının AJAX yöntemlerini çağırmasına izin verebilir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.4.7 sürümüne güncellemelisiniz.
18. Nihai Üye
Ultimate Üye sürüm 2.0.51 ve altı, Siteler Arası İstek Sahteciliği ve Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.0.52 sürümüne güncellemeniz gerekir.
19. FV Akış Oynatıcı Video Oynatıcı
FV Flowplayer Video Oynatıcı sürüm 7.3.18.727 ve altı, bir SQL Enjeksiyonuna karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 7.3.19.727 sürümüne güncelleme yapmalısınız.
WordPress Temaları
20. Zoner – Emlak WordPress Teması
Zoner – Emlak WordPress Teması sürüm 4.1 ve altı, bir Reflected XSS ve Stored XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 4.2 sürümüne güncellemelisiniz.
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik Güncellemeler Yardımcı Olabilir
Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.
Sürüm Yönetimi Güncelleme Seçenekleri
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
- Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. Yakınlaştır
Video konferans şirketi Zoom, uygulamalarının macOS sürümünde bir güvenlik açığına sahipti. Güvenlik açığı, kötü niyetli bir web sitesinin bir Zoom kullanıcısını bir Zoom çağrısına katılmaya zorlamasına izin verir.
Zoom, tüm kullanıcıların tek bir tıklamayla bir toplantıya katılmasını istedi. Apple, URL'lerin onay olmadan diğer uygulamaları açmaması gerektiğine karar verene ve ek bir onay tıklaması gerektiren bir güvenlik önlemi ekleyene kadar bu harika çalışıyordu.
Bu nedenle Zoom, Apple'ın yeni onay gereksinimini atlamak için uygulama geliştiricilerinin bir sunucu oluşturmak için yerel bir web sunucusu oluşturmasına nasıl izin verdiğinden yararlanmaya karar verdi.
Zoom başlangıçta bunun bir sorun olmadığını söylese de, aldıkları geri bildirimleri dinlediler ve uygulamayı yamalamaya ve yerel web sunucusunu tamamen kaldırmaya karar verdiler. Apple ayrıca Zoom'un güncel olmayan sürümlerini güvenlik açığından korumak için yerel web sunucusunu kaldıran bir yama yayınladı.
2. Ajan Smith Android Kötü Amaçlı Yazılım
Agent Smith kötü amaçlı yazılımı, adını diğer Android uygulama kodlarının bölümlerini kendi koduyla değiştirerek elde etti. Kötü Amaçlı Yazılım, herhangi bir kullanıcı verisini toplamaya çalışmaz. Bunun yerine, hacklediği uygulamaları daha fazla reklam göstermeye zorlar ve ardından geliri toplamak için reklamları göstermek için kredi alır.
Uygulama, Hindistan'da popüler olan bir üçüncü taraf uygulama mağazası olan 9Apps'ten geldi. Kötü amaçlı yazılım yazarı, istila edilmiş uygulamalarından 11'ini Google Play Store'a eklemeye çalıştı. Ancak uygulamalar herhangi bir zarar veremeden önce Google tarafından tespit edildi ve kaldırıldı.
3. Apple, Apple Watch'ta Walkie Talkie'yi devre dışı bırakır
Apple, Apple Watch Walkie Talkie uygulamasında bir güvenlik açığı açıkladı. Apple, bir saldırganın konuşmaları dinlemesine izin veren güvenlik açığını düzeltmek için uygulamayı devre dışı bıraktı. Apple'ın güvenlik açığından yararlanıldığına dair hiçbir kanıt bulunmadığını söylediğini belirtmek önemlidir.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security'nin tüm WordPress güvenlik özellikleri hakkında daha fazla bilgi edinin. Yeni e-kitabı indirin: iThemes Güvenlik Kurulum Kılavuzu
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
