WordPress Güvenlik Açığı Raporu: Temmuz 2021, 2. Bölüm

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır.

Bugüne kadarki en büyük WordPress Güvenlik Açığı Raporlarından biri olarak, bu haberi duyurmak ve WordPress'i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.

WordPress Temel Güvenlik Açıkları

WordPress Eklenti Güvenlik Açıkları

Bu bölüm, son eklenti güvenlik açıklarını listeler. Bu listedeki her eklenti, eklenti adını, güvenlik açığı türünü, yama sürümü bilgisini ve güvenlik açığının önem derecesini içerir.

1. Takvim Etkinliği Çoklu Görünüm

Eklenti: Takvim Etkinliği Çoklu Görünüm
Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı: 1.4.01
Önem : Orta

2. Sihirli Mesaj Küçük Resmi

Eklenti: Magic Post Küçük Resmi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.3.7
Önem : Yüksek

3. WooCommerce için Sınırsız Kategori kaydırıcısı

Eklenti: WooCommerce için Sınırsız Kategori kaydırıcısı
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 2.1.0
Önem : Orta

4. Hız Yükseltici Paketi

Eklenti: Hız Yükseltici Paketi
Güvenlik Açığı : Kimliği Doğrulanmış RCE
Sürümde Yamalı : 4.2.0
Önem : Kritik

5. Filtre Galerisi

Eklenti: Filtre Galerisi
Güvenlik Açığı : Yetkisiz AJAX Çağrıları
Sürümde Yamalı: 0.0.7
Önem : Yüksek

6. Popüler Marka SVG Simgeleri

Eklenti: Popüler Marka SVG Simgeleri
Güvenlik Açığı : Depolanmış XSS
Sürümde Yamalı : 2.7.8
Önem : Orta

7. WooCommerce için NMI Ağ Geçidi

Eklenti: WooCommerce için NMI Ağ Geçidi
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

8. WPHEKA Fiyat Teklifi Talebi

Eklenti: WPHEKA Teklif Talebi
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

9. WooCommerce Ekstra Maliyeti

Eklenti: WooCommerce Ekstra Maliyet
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

10. Woo MerchantX

Eklenti: Woo MerchantX
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

11. CRM: Basitleştirilmiş İletişim Yönetimi – UkuuPeople

Eklenti: CRM: Basitleştirilmiş İletişim Yönetimi – UkuuPeople
Güvenlik Açığı : Yetkisiz Favori Ekleme/Silme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

12. Seyahat Hafif

Eklenti: Seyahat Işığı
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

13. Haxcan

Eklenti: Haxcan
Güvenlik Açığı : Keyfi Dosya Erişimi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

14. Animasyonlu Kaydırıcı Kahraman, Video Arka Planı ve Giriş Yapıcı

Eklenti: Animasyonlu Slider Hero, Video Arka Planı ve Giriş Yapıcı
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 8.2.1
Önem : Orta

15. Amministrazione Trasparente

Eklenti: Amministrazione Trasparente
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 7.1.1
Önem : Orta

16. Vuukle Yorumları, Tepkiler, Paylaşım Çubuğu, Gelir

Eklenti: Vuukle Yorumları, Tepkiler, Paylaşım Çubuğu, Gelir
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 4.0
Önem : Orta

17. WP Kolay Ödeme

Eklenti: WP EasyPay
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 3.2.1
Önem : Orta

18. WooCommerce için Terk Edilmiş Sepet Kurtarma

Eklenti: WooCommerce için Terk Edilmiş Sepet Kurtarma
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı: 1.0.4.1
Önem : Orta

19. Konumlar

Eklenti: Konumlar
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 4.0
Önem : Orta

20. Formlar

Eklenti: Formlar
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürüm İçindeyim: 1.12.3
Önem : Düşük

21. WP HTML Postası

Eklenti: WP HTML Posta
Güvenlik Açığı : CSRF'den XSS'ye
Sürümde Yamalı : 3.0.8
Önem : Orta

22. WPCS

Eklenti: WPCS
Güvenlik Açığı : Keyfi Eklentinin Ayarlarının CSRF ile Değiştirilmesi
Sürümde Yamalı : 1.1.7
Önem : Orta

23. Broşür Haritası

Eklenti: Broşür Haritası
Güvenlik Açığı : CSRF Üzerinden Keyfi Ayarlar Güncellemesi, Depolanmış XSS'ye Yönelik
Sürümde Yamalı : 3.0.0
Önem : Orta

24. WP Yükleme Kısıtlaması

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : deleteCustomType'ta Eksik Erişim Denetimi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : getSelectedMimeTypesByRole'da Eksik Erişim Denetimi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

25. WordPress Meta Veri ve Taksonomi Filtresi

Eklenti: WordPress Meta Verileri ve Taksonomileri Filtresiz
Güvenlik Açığı : CSRF aracılığıyla Keyfi Ayarlar Güncellemesi
Yamalı Sürüm : 1.2.8
Önem : Orta

Eklenti: WordPress Meta Veri ve Taksonomi Filtresi Pro
Güvenlik Açığı : CSRF aracılığıyla Keyfi Ayarlar Güncellemesi
Sürümde Yamalı : 2.2.8
Önem : Orta

26. Astra Pro Eklentisi

Eklenti: Astra Pro Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmamış SQL Enjeksiyonu
Sürümde Yamalı : 3.5.2
Önem : Yüksek

27. Medya Dosyası Düzenleyici

Eklenti: Medya Dosyası Düzenleyici
Güvenlik Açığı : Dizin Geçişi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

28. ProfilBasın

Eklenti: ProfilePress
Güvenlik Açığı : Kimliği Doğrulanmamış Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.1.11
Önem : Orta

Eklenti: ProfilePress
Güvenlik Açığı : Kimliği Doğrulanmamış Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.1.11
Önem : Orta

WordPress Tema Güvenlik Açıkları

1. Workreap

Eklenti: Workreap
Güvenlik Açığı : Ajax Eylemlerinde Eksik Yetkilendirme Denetimleri
Sürümde Yamalı : 2.2.2
Önem : Yüksek

Eklenti: Workreap
Güvenlik Açığı : Birden Çok CSRF + IDOR Güvenlik Açığı
Sürümde Yamalı : 2.2.2
Önem : Yüksek

Eklenti: Workreap
Güvenlik Açığı : RCE'ye Yönelik Kimliği Doğrulanmamış Yükleme
Sürümde Yamalı : 2.2.2
Önem : Yüksek

Sorumlu Açıklama Üzerine Bir Not

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı – yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı – verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.

1. iThemes Security Pro Site Tarayıcısını açın

iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni için tarama yapar: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

Yeni yüklemelerde Site Taramasını etkinleştirmek için eklentinin içindeki Özellikler menüsündeki Site Kontrolü sekmesine gidin ve Site Taramasını etkinleştirmek için düğmeyi tıklayın.

Manuel Site Taramasını tetiklemek için Site Scan Security Dashboard kartındaki Şimdi Tara düğmesine tıklayın.

Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

2. Güvenlik Açığını Düzeltirse Sürüm Yönetimini Otomatik Güncellemek İçin Açın

iThemes Security Pro'daki Sürüm Yönetimi özelliği, eski yazılımlar yeterince hızlı güncellenmediğinde sitenizi korumak için Site Tarama ile entegre olur. Web sitenizde savunmasız yazılım çalıştırıyorsanız, en güçlü güvenlik önlemleri bile başarısız olur. Bu ayarlar, bilinen bir güvenlik açığı varsa ve bir yama varsa yeni sürümlere otomatik olarak güncelleme seçenekleriyle sitenizin korunmasına yardımcı olur.

iThemes Security Pro'daki Ayarlar sayfasından Özellikler ekranına gidin. Site Kontrolü sekmesine tıklayın. Buradan Sürüm Yönetimini etkinleştirmek için geçiş düğmesini kullanın. Ayarlar dişli kutusunu kullanarak, iThemes Security Pro'nun WordPress güncellemelerini, eklentileri, temaları ve ek korumayı nasıl işlemesini istediğiniz de dahil olmak üzere daha da fazla ayarı yapılandırabilirsiniz.

Bir Güvenlik Açığını Düzeltirse Otomatik Güncelleme kutusunu seçtiğinizden emin olun, böylece iThemes Security Pro, Site Tarayıcı tarafından bulunan bir güvenlik açığını düzeltirse bir eklentiyi veya temayı otomatik olarak güncelleyecektir.

3. iThemes Security Pro, Sitenizde Bilinen Bir Güvenlik Açığı Bulduğunda E-posta Uyarısı Alın

Site Tarama Planlamasını etkinleştirdikten sonra, eklentinin Bildirim Merkezi ayarlarına gidin. Bu ekranda Site Tarama Sonuçları bölümüne gidin.

Bildirim e-postasını etkinleştirmek için kutuyu tıklayın ve ardından Ayarları Kaydet düğmesini tıklayın .

Artık, herhangi bir planlanmış site taraması sırasında, iThemes Security Pro bilinen herhangi bir güvenlik açığını keşfederse bir e-posta alacaksınız. E-posta böyle bir şeye benzeyecek.

iThemes Security Pro'yu Edinin ve Bu Gece Biraz Daha Kolay Dinlenin

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra güvenlik katmanları ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.