WordPress Güvenlik Açığı Raporu: Nisan 2021, 2. Bölüm

Yayınlanan: 2021-04-15

Nisan ayının ikinci haftasında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Önem dereceleri, Ortak Güvenlik Açığı Puanlama Sistemini temel alır.

Nisan, Bölüm 2 Raporunda

    WordPress Temel Güvenlik Açıkları

    Harika haber! Bu ay hiçbir yeni WordPress temel güvenlik açığı açıklanmadı.

    WordPress'in en son sürümü şu anda 5.7'dir. Tüm web sitelerinizin WordPress çekirdeğinin en son sürümünü çalıştırdığından emin olun.

    WordPress Eklenti Güvenlik Açıkları

    Bu bölüm, güvenlik açığı bulunan eklentinin güncellenip güncellenmeyeceğine veya kaldırılacağına ilişkin talimatlarla birlikte WordPress eklentilerindeki güvenlik açıklarını kapsar.

    1. iThemes Güvenlik Ücretsiz ve Pro

    Güvenlik Açığı : Arka Uç Atlamasını Gizle
    Sürümde Yamalı (iThemes Güvenliği) : 7.9.1
    Sürümde Yamalı (iThemes Security Pro) : 6.8.4
    Önem : Yüksek – CVSS:3.1AV:N/AC:H/PR:N/UI:N/G:U/C:H/I:H/A:H/

    iThemes Security'deki Arka Uç Gizle özelliği, kullanıcıların oturum açma sayfasını adını değiştirerek ve wp-login.php ve wp-admin'e erişimi engelleyerek gizlemelerine olanak tanır. iThemes Security'nin 7.9.1'in altındaki ve iThemes Security Pro'nun 6.8.4'ün altındaki sürümlerinde, gizli oturum açma sayfasını keşfedilebilir hale getirerek özelliğin etkinliğini azaltan bir hata keşfedildi.

    iThemes Security'nin 7.9.1 sürümüne ve iThemes Security Pro'nun 6.8.4 sürümüne güncelleyerek, Desteklenen Gizle atlama geçici çözüm yamasını alın.

    Not: Arka ucu gizleme özelliğini ne kadar geliştirmeye çalışsak da tam kanıtlı olmadığını bilmelisiniz. Aslında, güvenlik nedenleriyle web sitenizin giriş sayfasını gizlemenin etkinliği, 1 numaralı WordPress güvenlik efsanemizdir . Niye ya? Gerçek şu ki, web sitenizin arka ucunu tamamen gizleyemezsiniz. Giriş sayfası, giriş sayfasına bağlantılar yazdırırken (Gizlilik İsteği Onayları veya ön uç giriş formları gibi) WordPress çekirdeği, eklentileri veya temaları tarafından açığa çıkabilir.

    Arka Ucu Gizle, güçlü parolalar ve iki faktörlü kimlik doğrulama gibi üstün web sitesi güvenlik önlemlerinin yerine kullanılmamalıdır.

    2. Basit Üyelik

    Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonları
    Sürümde Yamalı : 4.0.4
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L

    Güvenlik açığı yamalanmıştır, bu nedenle 4.0.4 sürümüne güncellemeniz gerekir.

    3. WPBakery Sayfa Oluşturucu Panosu

    Güvenlik Açığı : Abone+ Depolanan Siteler Arası Komut Dosyası
    Sürümde Yamalı : 4.5.6
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

    Güvenlik Açığı : Yetkisiz Keyfi Lisans Seçenekleri Güncellemesi
    Sürümde Yamalı : 4.5.8
    Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

    Güvenlik açığı düzeltildi, bu nedenle 4.5.8+ sürümüne güncellemelisiniz.

    4. OpenID Connect Genel İstemcisi

    Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
    Sürümde Yamalı : 3.8.2
    Önem : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    Güvenlik açığı düzeltildi, bu nedenle 3.8.2+ sürümüne güncellemeniz gerekir.

    5. Spam Göndericileri Durdurun

    Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
    Sürüm İçindeyim: 2021,9
    Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

    Güvenlik açığı düzeltildi, bu nedenle 2021.9 sürümüne güncelleme yapmalısınız.

    6. Görüntüler

    Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosyaların RCE'ye Yüklenmesi
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    7. WorkScout Çekirdek Eklentisi

    Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
    Sürümde Yamalı : 1.3.4
    Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Güvenlik açığı düzeltildi, bu nedenle 1.3.4+ sürümüne güncelleme yapmalısınız.

    8. Larsen Takvimi

    Güvenlik Açığı : Depolanan Siteler Arası Komut Dosyası
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    9. İletişim Formu Kontrol Test Cihazı

    Güvenlik Açığı : Siteler Arası Komut Dosyası Çalıştırmada Bozuk Erişim Denetimi
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    10. İş Rehberi Eklentisi

    Güvenlik Açığı : Keyfi Liste Dışa Aktarma
    Sürümde Yamalı : 5.11.2
    Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

    Güvenlik Açığı : Keyfi Ödeme Geçmişi Güncellemesi
    Sürümde Yamalı : 5.11.2
    Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

    Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
    Sürümde Yamalı : 5.11.2
    Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L

    Güvenlik açığı düzeltildi, bu nedenle 5.11.2+ sürümüne güncelleme yapmalısınız.

    11. Etkinlik Afişi

    Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    12. Klas Kızartmalar

    Güvenlik Açığı : Kimliği Doğrulanmış Keyfi Dosyaların RCE'ye Yüklenmesi
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    13. Kolej Yayıncısı İçe Aktarma

    Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

    WordPress Tema Güvenlik Açıkları

    1. WorkScout Temel Teması

    Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
    Sürüm İçindeyim: 2.0.33
    Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

    Güvenlik açığı düzeltildi, bu nedenle 2.0.33+ sürümüne güncellemeniz gerekir.

    Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu edinin

    WordPress güvenlik açığı raporu