ev borcu WordPress sitesi
WordPress Güvenlik Açığı Raporu: Nisan 2021, 2. Bölüm
Nisan ayının ikinci haftasında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.
WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.
Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Önem dereceleri, Ortak Güvenlik Açığı Puanlama Sistemini temel alır.
WordPress Temel Güvenlik Açıkları
Harika haber! Bu ay hiçbir yeni WordPress temel güvenlik açığı açıklanmadı.
WordPress'in en son sürümü şu anda 5.7'dir. Tüm web sitelerinizin WordPress çekirdeğinin en son sürümünü çalıştırdığından emin olun.
WordPress Eklenti Güvenlik Açıkları
Bu bölüm, güvenlik açığı bulunan eklentinin güncellenip güncellenmeyeceğine veya kaldırılacağına ilişkin talimatlarla birlikte WordPress eklentilerindeki güvenlik açıklarını kapsar.
1. iThemes Güvenlik Ücretsiz ve Pro
Güvenlik Açığı : Arka Uç Atlamasını Gizle
Sürümde Yamalı (iThemes Güvenliği) : 7.9.1
Sürümde Yamalı (iThemes Security Pro) : 6.8.4
Önem : Yüksek – CVSS:3.1AV:N/AC:H/PR:N/UI:N/G:U/C:H/I:H/A:H/
iThemes Security'deki Arka Uç Gizle özelliği, kullanıcıların oturum açma sayfasını adını değiştirerek ve wp-login.php ve wp-admin'e erişimi engelleyerek gizlemelerine olanak tanır. iThemes Security'nin 7.9.1'in altındaki ve iThemes Security Pro'nun 6.8.4'ün altındaki sürümlerinde, gizli oturum açma sayfasını keşfedilebilir hale getirerek özelliğin etkinliğini azaltan bir hata keşfedildi.
iThemes Security'nin 7.9.1 sürümüne ve iThemes Security Pro'nun 6.8.4 sürümüne güncelleyerek, Desteklenen Gizle atlama geçici çözüm yamasını alın.
Not: Arka ucu gizleme özelliğini ne kadar geliştirmeye çalışsak da tam kanıtlı olmadığını bilmelisiniz. Aslında, güvenlik nedenleriyle web sitenizin giriş sayfasını gizlemenin etkinliği, 1 numaralı WordPress güvenlik efsanemizdir . Niye ya? Gerçek şu ki, web sitenizin arka ucunu tamamen gizleyemezsiniz. Giriş sayfası, giriş sayfasına bağlantılar yazdırırken (Gizlilik İsteği Onayları veya ön uç giriş formları gibi) WordPress çekirdeği, eklentileri veya temaları tarafından açığa çıkabilir.
Arka Ucu Gizle, güçlü parolalar ve iki faktörlü kimlik doğrulama gibi üstün web sitesi güvenlik önlemlerinin yerine kullanılmamalıdır.
2. Basit Üyelik
Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonları
Sürümde Yamalı : 4.0.4
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
Güvenlik açığı yamalanmıştır, bu nedenle 4.0.4 sürümüne güncellemeniz gerekir.
3. WPBakery Sayfa Oluşturucu Panosu
Güvenlik Açığı : Abone+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 4.5.6
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Güvenlik Açığı : Yetkisiz Keyfi Lisans Seçenekleri Güncellemesi
Sürümde Yamalı : 4.5.8
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Güvenlik açığı düzeltildi, bu nedenle 4.5.8+ sürümüne güncellemelisiniz.
4. OpenID Connect Genel İstemcisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.8.2
Önem : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Güvenlik açığı düzeltildi, bu nedenle 3.8.2+ sürümüne güncellemeniz gerekir.
5. Spam Göndericileri Durdurun
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 2021,9
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
Güvenlik açığı düzeltildi, bu nedenle 2021.9 sürümüne güncelleme yapmalısınız.
6. Görüntüler
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosyaların RCE'ye Yüklenmesi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
7. WorkScout Çekirdek Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
Sürümde Yamalı : 1.3.4
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Güvenlik açığı düzeltildi, bu nedenle 1.3.4+ sürümüne güncelleme yapmalısınız.
8. Larsen Takvimi
Güvenlik Açığı : Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
9. İletişim Formu Kontrol Test Cihazı
Güvenlik Açığı : Siteler Arası Komut Dosyası Çalıştırmada Bozuk Erişim Denetimi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
10. İş Rehberi Eklentisi
Güvenlik Açığı : Keyfi Liste Dışa Aktarma
Sürümde Yamalı : 5.11.2
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Güvenlik Açığı : Keyfi Ödeme Geçmişi Güncellemesi
Sürümde Yamalı : 5.11.2
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 5.11.2
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
Güvenlik açığı düzeltildi, bu nedenle 5.11.2+ sürümüne güncelleme yapmalısınız.
11. Etkinlik Afişi
Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
12. Klas Kızartmalar
Güvenlik Açığı : Kimliği Doğrulanmış Keyfi Dosyaların RCE'ye Yüklenmesi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
13. Kolej Yayıncısı İçe Aktarma
Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.
WordPress Tema Güvenlik Açıkları
1. WorkScout Temel Teması
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
Sürüm İçindeyim: 2.0.33
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Güvenlik açığı düzeltildi, bu nedenle 2.0.33+ sürümüne güncellemeniz gerekir.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
