ev borcu WordPress sitesi
WordPress Güvenlik Açığı Özeti: Temmuz 2019, 2. Bölüm
Temmuz ayının son yarısında yeni WordPress eklenti güvenlik açıkları açıklandı, bu yüzden sizi bilgilendirmek istiyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress çekirdeği
- 2. WordPress Eklentileri
- 3. WordPress Temaları
- 4. Web Çevresindeki İhlaller
* WordPress ekosistemi dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
WordPress Temel Güvenlik Açıkları
2019 yılının Temmuz ayında şu ana kadar hiçbir WordPress güvenlik açığı açıklanmadı.
WordPress Eklenti Güvenlik Açıkları
Bu Temmuz ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. OneSignal – Web Push Bildirimleri
OneSignal – Web Push Bildirimleri 1.17.5 ve altı sürümleri Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltilmedi. Geliştiriciler bir yama içeren bir güncelleme yayınlayana kadar eklentiyi kaldırın.
2. Hepsi Bir Arada WP Geçişi
All-in-One WP Migration 6.97 ve altı sürümleri, Kimliği Doğrulanmış Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 7.0 sürümüne güncellemelisiniz.
3. WPS Girişi Gizle
WPS Girişi Gizle 1.5.2.2 ve önceki sürümleri, WordPress giriş sayfasına erişmenize izin veren bir hataya sahiptir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.5.3 sürümüne güncelleme yapmalısınız.
Ayrıca, En İyi 5 WordPress Güvenlik Efsanesi Debunked yazımıza göz atın . Giriş URL'sini değiştirmek, düşündüğünüz kadar güvenli değildir ve değerinden daha fazla soruna neden olabilir.
4. 10Web'den Fotoğraf Galerisi
10Web sürüm 1.5.30 ve altı eklentinin Fotoğraf Galerisi, bir SQL Injection'a karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.5.31 sürümüne güncellemelisiniz.
5. E-posta Aboneleri ve Bültenler
E-posta Aboneleri ve Bültenler sürüm 4.1.7 ve altı eklentinin bir SQL Enjeksiyonu içindir.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 4.1.8 sürümüne güncellemelisiniz.
6. WordPress için İletişim Formu ve SMTP Eklentisi
WordPress sürüm 1.5.1 ve altı için İletişim Formu ve SMTP Eklentisi, Siteler Arası İstek Sahteciliği ve HTML Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.5.2 sürümüne güncellemelisiniz.
7. Everest Formları
Eklentinin Everest Forms sürüm 1.4.9 ve altı, bir SQL Enjeksiyonuna karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.5.0 sürümüne güncellemelisiniz.
8. WordPress için Uyarlanabilir Görüntüler
Eklentinin WordPress sürümü 0.6.66 ve altı için Uyarlanabilir Görüntüler, Yerel Dosya Ekleme ve Silme saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 0.6.67 sürümüne güncelleme yapmalısınız.
9. AdRotate Banner Yöneticisi
Eklentinin AdRotate Banner Manager sürüm 5.2 ve altı, Kimliği Doğrulanmış SQL Enjeksiyonuna karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 5.3 sürümüne güncellemelisiniz.
10. İletişim Formu 7 Dinamik Metin Uzantısı
İletişim Formu 7 Dinamik Metin Uzantısı eklentisi sürüm 2.0.2.1 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 2.0.3 sürümüne güncelleme yapmalısınız.
11. Blog2Social: Sosyal Medya Otomatik Gönderi ve Zamanlayıcı
Blog2Social: Eklentinin Sosyal Medya Otomatik Gönderi ve Zamanlayıcı sürümü 5.5.0 ve altı, bir SQL Enjeksiyonuna karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 5.6.0 sürümüne güncellemelisiniz.
12. Basit Üyelik
Basit Üyelik sürüm 3.8.4 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 3.8.5 sürümüne güncellemeniz gerekir.
13. Gelişmiş İletişim formu 7 DB
Gelişmiş İletişim formu 7 DB sürüm 1.6.1 ve eklentinin altı, bir SQL Enjeksiyonuna karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.7.1 sürümüne güncellemelisiniz.
14. Çok Yakında Sayfa ve Bakım Modu
Çok Yakında Sayfa ve Bakım Modu 1.8.0 ve altı sürümleri, Kimliği Doğrulanmamış Depolanmış XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 11.8.2 sürümüne güncellemelisiniz.
15. WordPress Ultra Basit Paypal Alışveriş Sepeti
WordPress Ultra Simple Paypal Alışveriş Sepeti sürüm 4.4 ve altı, Siteler Arası İstek Sahteciliği ve Dosya Türü Kontrolüne karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve sürüm 4.5'e güncellemelisiniz.
16. Kategoriye Özel RSS beslemesi Aboneliği
Kategoriye Özgü RSS beslemesi Abonelik sürümü 4.4 ve altı, Siteler Arası İstek Sahteciliğine ve Dosya Türü Kontrolüne karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve sürüm 4.5'e güncellemelisiniz.
17. Randevu Saati Rezervasyon
Randevu Saati Rezervasyon eklentisi sürüm 1.1.45 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
Güvenlik açığı düzeltildi ve 1.1.46 sürümüne güncellemeniz gerekir.
WordPress Temaları
Temmuz ayının ikinci yarısında yeni Tema güvenlik açığı yok.
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik Güncellemeler Yardımcı Olabilir
Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.
Sürüm Yönetimi Güncelleme Seçenekleri
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
- Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. Capital One Veri İhlali 100 Milyon+
Eski bir AWS çalışanı olan Paige “Erratic” Thompson, Capital One müşteri bilgilerini depolayan bir AWS sunucusunu hackledi. Erratic olarak bilinen bilgisayar korsanı sunucuya erişim sağladığında, 100 milyondan fazla Capital One Müşterisi hakkında bilgi edinebildi.
Adlar, e-posta ve fiziksel adresler gibi toplayabildiği verilerin çoğu kritik değildi. Bununla birlikte, ihlalin ciddiyetini en aza indirmemeliyiz. Paige “Düzensiz” Thompson, 1 milyon Kanada Sosyal Sigorta numarası, 140.000 Sosyal Güvenlik numarası ve 80.000 banka hesap numarasına ulaşmayı başardı. Birinin adını, adresini ve Sosyal Güvenlik numarasına sahip olmak, kimliğini çalmak ve onun adına kredi başlatmak için ihtiyacınız olan tek şey.
Capital One ihlali, önlenebilecek birçok ihlalden sadece biridir. AWS sunucusu, bilgisayar korsanının hassas müşteri verilerine erişmesine izin verecek şekilde yanlış yapılandırılmıştı. Haberlere geri dönen Equifax ihlali de önlenebilirdi. Equifax'ın yapması gereken tek şey, saldırıya uğramadan üç ay önce yayınlanan bir güvenlik düzeltme eki uygulamaktı. Capital One ihlalinden çıkarılması gereken talihsiz bir ders var: Kişisel bilgilerinizi çevrimiçi olarak paylaşırsanız, bunun bir veri ihlaliyle sonuçlanmasını beklemelisiniz.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
10 önemli ipucu ile WordPress güvenliği hakkında daha fazla bilgi edinin. E-kitabı şimdi indirin: WordPress Güvenliği Kılavuzu
iThemes Güvenliğini Alın
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
