WordPress Güvenlik Açığı Haberleri, Kasım 2021

WordPress Güvenlik Açığı, WordPress'in Zayıflığı anlamına gelir. Bu yayında, Kasım WordPress güvenlik açığı haberlerinde, Ekim 2020 ve Kasım 2020'de keşfedilen WordPress güvenlik açığı bulunan eklentileri ve WordPress güvenlik sorunlarına odaklanacağız.

Güvenliğin en önemli ve can alıcı kısmı, WordPress ve diğerleri gibi CMS'deki güvenlik açıklarıyla güncel kalmaktır.

WordPress için bu tür korumasız eklentiler ve güncellemeler kullanmayarak web sitenizin sorunsuz çalışmasını sağlamak için hassas eklentileri ve en son ortaya çıkan zayıf noktayı analiz etmemizin nedeni budur.

WebARX web uygulaması güvenlik duvarını kullanıyorsanız, web siteniz tüm güvenlik sorunlarından ve güvenlik açıklarından korunacaktır. Ancak web sitenizi güvenli hale getirmenin en iyi alternatif yöntemi, web sitelerinizdeki korumasız eklentileri kaldırmak veya güncellemektir.

WordPress Güvenlik Açığı Haberleri, Ekim 2020

WordPress + Microsoft Office 365

WordPress web sitenize erişmek için kullanıcılar WPO365|LOGIN ile okul veya kurumsal hesaplarıyla oturum açabilirler. Şifre ve kullanıcı adı gerekmez. Ayrıca, web sitenizden SMTP kullanmak yerine Microsoft Graph yardımıyla e-posta gönderebileceksiniz.

Güvenlik Açığı: JWT İmza Doğrulaması atlama
Sürümde çözüldü: 11.7
Etkilenen toplam web sitesi: 1000+

Bu eklenti JWT imzalarını doğrulamaz, yetkilendirme kontrollerine izin vermez, kimlik doğrulamalarını atlamaz ve saldırganların belirteçler oluşturmasına izin vermez.

10Web tarafından kaydırıcı

Slider by 10Web, tema başlığınıza, web sitenizin gönderilerine ve sayfalarına veya başka herhangi bir konuma duyarlı, hızlı yükleme ve SEO dostu kaydırıcılar eklemenin alternatif bir yöntemidir.

Bu eklenti, videolar ve resimlerle uyumludur ve her iki içeriğin de slaytlara eklenmesine izin verir. Çok kolay bir şekilde farklı geçiş efektleri ekleyebilirsiniz.

Güvenlik Açığı: Birden çok kimliği doğrulanmış SQL enjeksiyonu
Sürümde çözüldü: 1.2.36
Etkilenen toplam web sitesi: 50 000+

Bu eklentinin savunmasız iki işlevi save_slider_db ve bulk_action, export_full. Bu iki işlevsellik, yetkili kullanıcılara veya yöneticiye veya katkıda bulunan + 'rol seçeneği' gibi ortamlara, diğer kullanıcının SQL enjeksiyonları olarak bilinen bir saldırı yürütmek için açık olduğunu varsaymasına izin verir.

Kullanıcılara zaman zaman güncellemeler sağlayan PoC'nin ilan tarihi 13 Ekim 2020 idi.

WP Kursları

WP Courses, sürükle ve bırak araçları, sezgisel bir arayüz, video eğitimleri ve daha fazlasıyla web sitenizde kurslar oluşturmak ve yönetmek için LMS için kullanılabilecek bir WordPress ücretsiz eklentisidir. Bu eklentinin 900'den fazla aktif kurulumu var.

Bu eklenti, sorunsuz çalışacağı için başka herhangi bir şablonla eklenebilir. Ayrıca, vizyonunuzla web sitenizin tasarımına uyum sağlamanıza yardımcı olacak pek çok seçenekle birlikte gelir. Bu eklenti, herhangi bir kodlama veya teknik bilgi gerektirmediğinden gezinmesi kolaydır.

Güvenlik Açığı: Bozuk erişim kontrolleri nedeniyle kurs içeriğinin açığa çıkmasına neden oluyor
Sürümde çözüldü: 2.0.29
Etkilenen toplam web sitesi: 20.000+

WordPress REST API tarafından, WP kurslarındaki sorun, kurslarınızı herkesin kullanımına sunabilir.

Basit: Basın

WordPress web siteniz için Simple: Press bir forum yazılımıdır. Bazı ekstra özellikler ile forumunuzu kolayca başlatabilirsiniz. Güvenlik modeline ve WordPress kullanıcı modeline entegre edilmiştir ve binlerce kullanıcıya kadar yükseltilebilir.

Diğer forum eklentilerine rağmen, bu eklentinin özellikleri kuruluşlar tarafından oluşturulmakta ve desteklenmektedir. Kaldırma veya kaldırma seçeneği, WordPress oturum açma ve kayıtlarla entegre, üye abonelik eklentileri ile entegre etme ve daha fazlası için kullanılabilir.

Güvenlik Açığı: Bozuk erişim denetimi nedeniyle RCE'ye yol açma
Sürümde çözüldü: 6.6.1
Etkilenen toplam web sitesi: 600+

Simple: Press eklentisindeki bozuk erişim kontrolü sorunu düzeltildi ve bu, 6.6.0 ve önceki sürümleri etkiliyordu.

XCloner Eklentisi

Bu eklenti, WordPress web sitenizi geri yüklemenize ve yedeklemenize yardımcı olacaktır.

Güvenlik açığı: Siteler arası istek sahtekarlığı
Şu sürümde çözüldü: 4.2.13
Etkilenen toplam web sitesi: 30.000+

Web sitesi yedekleri Google Drive, SFTP, Amazon, Dropbox, Backblaze ve diğer bazı konumlara gönderilebilir. Otomatik veya manuel olarak, XCloner'ın yerleşik bir planlayıcısı ile yedeklemeler oluşturabilirsiniz.

XCloner, WordPress çekirdeğinin otomatik güncellemelerinden, temalarından, eklentilerinden veya dil dosyalarından hemen önce temalar, çekirdek, eklentiler, dil dosyaları yedeklemesi oluşturacağı gibi XCloner tarafından sağlanan farklı güvenlik özellikleri sunar. Güvenli bir web sitesi ve gizlilik arayan kişiler XCloner'ı seçmelidir.

Sürükle ve Bırak Çoklu Dosya Yükleme – iletişim formu 7

Bu eklentinin kullanımı kolay ve özellikle iletişim formu 7 için basit bir uzantıdır. Bu eklenti, kullanıcıların sürükle ve bırak özellikleri yardımıyla farklı dosyalar eklemesine izin verecektir. Web formunun ortak bir göz atma dosyası da eklenebilir.

Bu eklentinin özellikleri, dosya yükleme sayısı ile sınırlıdır, her alan için dosya boyutunu kısıtlama, mobil duyarlı, herhangi bir tarayıcıyı destekler, çoklu dil desteği, harika ilerleme çubuğu, sürükle ve bırak özelliği, dosya boyutu doğrulama, dosya türü doğrulama, ve benzeri.

Güvenlik Açığı: Doğrulanmamış uzaktan kod yürütme
Sürümde çözüldü: 1.3.5.5
Etkilenen toplam web sitesi: 20.000+

Bu araç, yüklemenize izin vermeyen tehlikeli dosya uzantısının kara listesini kullanır. Ancak, .phpt ve .phar uzantıları, rastgele PHP kodu eklemek için kullanılamayan kara listede değildi.

CSRF saldırılarına karşı güvenlik açıklarıyla birlikte 25'ten fazla WordPress eklentisi daha keşfedildi, bazıları şunlar:

• Ücretli Üyelik Pro
• Kupon Oluşturucu
• Funner Oluşturucular
• Taksonomiler için Radyo Düğmeleri
• Harika Zaman Çizelgesi
• Kolay Görüşler
• Dokan
• Feedly'den RSS Toplayıcı
• WP Otel Rezervasyonu
• WP Proje Yöneticisi ve daha fazlası.

İlgili Yazı:Bir Sonraki Web Siteniz İçin Projeler İçin En İyi Hatasız WordPress Temaları

WordPress Güvenlik Açığı Haberleri, Kasım 2020

GDPR CCPA Uyumluluk Desteği

WordPress kullanıcıları için Ninja GDPR uyumluluk eklentisi olarak da bilinir.

Güvenlik açığı: PHP nesnesine resmi olmayan enjeksiyon
Sürümde çözüldü: 2.4
Etkilenen toplam web sitesi: 1000+

GDPR CCPA Uyumluluğu destek eklentisi 1000'den fazla etkin kuruluma sahiptir. 2.1 ve daha düşük sürümlerini etkileyen ve resmi olmayan PHP nesne enjeksiyonuna yol açabilecek güvenli olmayan bir seri durumdan çıkarma güvenlik açığını çözmüştür. 17 Kasım 2020'de. Kullanıcıları tüm bilgilerle güncellemek için PoC gösterilecektir.

Welcart e-Ticaret

WelCart'ı kullanmak ücretsizdir. 20.000'den fazla aktif kurulumu vardır ve İngilizce (ABD), Japonca ve Vietnamca olmak üzere 3 farklı dilde mevcuttur. 9 Ekim 2020'de bu eklentideki güvenlik açığı keşfedildi.

Güvenlik Açığı: PHP nesnesine resmi olmayan enjeksiyon
Sürümde çözüldü: 1.9.36
Etkilenen toplam web sitesi: 20.000+

WordPress kullanıcıları, farklı bir müşteri hesabı alanına sahip bir alışveriş sitesi oluşturmak için Welcart eklentisini kullanabilir. WordPress tarafından kullanılan aynı çerezi kullanmaz. Kendi kullanır.

Bu, kullanıcı oturumlarını izlemenize yardımcı olur. Bu eklentiyi kullanarak, aboneliğe dayalı ürünler, dijital ürünler ve fiziksel ürünler dahil olmak üzere her türlü ürünü satabileceksiniz. Ürün fotoğraflarının, ürünlerin ve kategorilerin sayısında herhangi bir sınırlama yoktur.

AccessPress Sosyal Simgeleri

Doğrudan web sitesinden farklı sosyal simgeler oluşturabilecek ve geçerli sosyal medya hesaplarınıza bir bağlantı ekleyebileceksiniz. 40.000'den fazla aktif kuruluma sahiptir ve WordPress sürüm 4.5 ve üstünü destekler.

Güvenlik Açığı: Kimliği doğrulanmış SQL enjeksiyonu
Sürümde çözüldü: 1.8.1
Etkilenen toplam web sitesi: 40 000+

Widget özelliği bu eklenti tarafından dezenfekte edilmemiştir, örneğin yazarın SQL enjeksiyonlarını yürütmesi için posta izni olan hesaplara izin verir.

Çok kolay bir şekilde teknik bilgisi olmayan bir kişi de web sitesindeki sosyal profillere bağlanabilir. Simgeleri kendi başınıza güzel bir şekilde oluşturabilir ve kişiselleştirebilirsiniz. Simgeleri seçmek için kullanılabilecek 12 farklı tasarlanmış set sağlanmıştır.

Bu eklentinin ana özellikleri, kolay entegrasyon, araç ipuçları, daha fazla stil, gerçek zamanlı canlı önizleme, duyarlı, etkileşimli, kendi düzenleri ve daha fazlasıdır.

WordPress

WordPress 5.5.2 sürümü 29 Ekim 2020'de yayınlandı. Bu sürüm, yansıyan XSS güvenlik açığı dahil olmak üzere WordPress sürüm 5.5'ten etkilenen sorunları gidermek için tanıtıldı. Ayrıca, 5.5 sürümünde keşfedilen bazı gerileme sorunlarını giderdi.

Güvenlik Açığı: Yansıyan XSS
Sürümde çözüldü: 5.5.2
Etkilenen toplam web sitesi: Yok

Her WordPress kullanıcı hesabında ve kullanıcının web sitesinde bu sorun açıktır. Saldırgan, habersiz bir kullanıcıyı virüslü bir bağlantıya tıklaması veya bubi tuzağı olan web sitesini ziyaret etmesi için kandırabilir. Bu konunun mağduriyet düzeyi orta çünkü bir tür toplum mühendisliği gerektiriyor.

SW Ajax WooCommerce Arama

SW Ajax WooCommerce Search, Ajax arama özelliğine sahip WooCommerce için bir WordPress eklentisidir.

Güvenlik Açığı: Resmi olmayan yansıyan XFS ve XSS
Sürümde çözüldü: 1.2.8
Etkilenen toplam web sitesi: Yok

Çözüm:
Kasım WordPress güvenlik açığı haberleri – Her gün WordPress web sitelerinin sayısı bulaşıyor ve saldırıya uğruyor. Bazı rakamlar, her gün 30.000'den fazla web sitesinin çeşitli kötü amaçlı yazılım türlerinden etkilendiğini göstermektedir.

İnternetteki her açık web sitesi, herkesin kullanımına açık bir kaynaktır ve bu, web sitelerinin çoğunun hedeflenmesinin ana nedenidir.

İşletmenizi çevrimiçi yaşamaya başlar başlamaz, halka açık hale geleceğini bilmek çok önemlidir. Böylece kolayca hedef haline gelir.

Web sitenize savunmasız eklenti eklemekten kaçınmak için eklentilerinizi ve web sitelerinizi güncel tutmanız önemlidir. Mümkünse otomatik güncellemeleri etkinleştirebilirsiniz.

Yukarıda belirtilen eklentileri kullanıyorsanız, yeni sürümle güncellemenin tam zamanı, aksi takdirde web siteniz kötü bir şekilde etkilenecektir.