WordPress Güvenlik Açığı Raporu: Nisan 2021, 2. Bölüm
Yayınlanan: 2021-04-15Nisan ayının ikinci haftasında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.
WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.
Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Önem dereceleri, Ortak Güvenlik Açığı Puanlama Sistemini temel alır.
WordPress Temel Güvenlik Açıkları
WordPress'in en son sürümü şu anda 5.7'dir. Tüm web sitelerinizin WordPress çekirdeğinin en son sürümünü çalıştırdığından emin olun.
WordPress Eklenti Güvenlik Açıkları
Bu bölüm, güvenlik açığı bulunan eklentinin güncellenip güncellenmeyeceğine veya kaldırılacağına ilişkin talimatlarla birlikte WordPress eklentilerindeki güvenlik açıklarını kapsar.
1. iThemes Güvenlik Ücretsiz ve Pro

Güvenlik Açığı : Arka Uç Atlamasını Gizle
Sürümde Yamalı (iThemes Güvenliği) : 7.9.1
Sürümde Yamalı (iThemes Security Pro) : 6.8.4
Önem : Yüksek – CVSS:3.1AV:N/AC:H/PR:N/UI:N/G:U/C:H/I:H/A:H/
iThemes Security'deki Arka Uç Gizle özelliği, kullanıcıların oturum açma sayfasını adını değiştirerek ve wp-login.php ve wp-admin'e erişimi engelleyerek gizlemelerine olanak tanır. iThemes Security'nin 7.9.1'in altındaki ve iThemes Security Pro'nun 6.8.4'ün altındaki sürümlerinde, gizli oturum açma sayfasını keşfedilebilir hale getirerek özelliğin etkinliğini azaltan bir hata keşfedildi.
Not: Arka ucu gizleme özelliğini ne kadar geliştirmeye çalışsak da tam kanıtlı olmadığını bilmelisiniz. Aslında, güvenlik nedenleriyle web sitenizin giriş sayfasını gizlemenin etkinliği, 1 numaralı WordPress güvenlik efsanemizdir . Niye ya? Gerçek şu ki, web sitenizin arka ucunu tamamen gizleyemezsiniz. Giriş sayfası, giriş sayfasına bağlantılar yazdırırken (Gizlilik İsteği Onayları veya ön uç giriş formları gibi) WordPress çekirdeği, eklentileri veya temaları tarafından açığa çıkabilir.
2. Basit Üyelik

Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonları
Sürümde Yamalı : 4.0.4
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
3. WPBakery Sayfa Oluşturucu Panosu
Güvenlik Açığı : Abone+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 4.5.6
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Güvenlik Açığı : Yetkisiz Keyfi Lisans Seçenekleri Güncellemesi
Sürümde Yamalı : 4.5.8
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
4. OpenID Connect Genel İstemcisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.8.2
Önem : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
5. Spam Göndericileri Durdurun

Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 2021,9
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
6. Görüntüler
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosyaların RCE'ye Yüklenmesi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
7. WorkScout Çekirdek Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
Sürümde Yamalı : 1.3.4
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L

8. Larsen Takvimi
Güvenlik Açığı : Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
9. İletişim Formu Kontrol Test Cihazı
Güvenlik Açığı : Siteler Arası Komut Dosyası Çalıştırmada Bozuk Erişim Denetimi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
10. İş Rehberi Eklentisi

Güvenlik Açığı : Keyfi Liste Dışa Aktarma
Sürümde Yamalı : 5.11.2
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Güvenlik Açığı : Keyfi Ödeme Geçmişi Güncellemesi
Sürümde Yamalı : 5.11.2
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 5.11.2
Önem Derecesi : Orta – CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L
11. Etkinlik Afişi
Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
12. Klas Kızartmalar
Güvenlik Açığı : Kimliği Doğrulanmış Keyfi Dosyaların RCE'ye Yüklenmesi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
13. Kolej Yayıncısı İçe Aktarma
Güvenlik Açığı : RCE'ye Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Derecesi : Kritik – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
WordPress Tema Güvenlik Açıkları
1. WorkScout Temel Teması
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS ve XFS
Sürüm İçindeyim: 2.0.33
Önem : Yüksek – CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
