WordPress Güvenlik Açığı Raporu: Ağustos 2021, 4. Bölüm

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır.

Bugüne kadarki en büyük WordPress Güvenlik Açığı Raporlarından biri olarak, bu haberi duyurmak ve WordPress'i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.

WordPress Temel Güvenlik Açıkları

WordPress Eklenti Güvenlik Açıkları

Bu bölümde, en son WordPress eklenti güvenlik açıkları açıklandı. Her eklenti listesi, güvenlik açığının türünü, yama uygulanmışsa sürüm numarasını ve önem derecesini içerir.

1. kırmızı

Eklenti: rucy
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

2. WP-Arka Plan Lite

Eklenti: WP-Arka Planlar Lite
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

3. WP Güvenlik Sorusu

Eklenti: WP Güvenlik Sorusu
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

4. Etkinlik Espresso 4 Decaf – Etkinlik Kaydı Etkinlik Biletleme

Eklenti: WEvent Espresso 4 Decaf – Etkinlik Kaydı Etkinlik Biletleme
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

5. WordPress Fotoğraf Galerisi – Resim Galerisi

Eklenti: WordPress Fotoğraf Galerisi – Resim Galerisi
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

6. Opal Emlak

Eklenti: Opal Estate
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

7. WooCommerce'den Etsy Marketplace ile senkronize edin

Eklenti: WooCommerce'den Etsy Marketplace ile senkronize edin
Güvenlik Açığı : RCSRF Bypass
Sürümde Yamalı : 3.3.2
Önem Puanı : Orta

8. IŞINLAR Izgarası

Eklenti: RAYS Grid
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

9. Medya Sat

Eklenti: Medya Sat
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

10. Basit e-Ticaret

Eklenti: Basit e-Ticaret
Güvenlik Açığı : Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Kritik

11. WP Kursları LMS

Eklenti: WP Kursları LMS
Güvenlik Açığı : Video Embed Kodu ile Kimliği Doğrulanmış Depolanmış XSS
Sürüm İçindeyim: 2.0.44
Önem Puanı : Düşük

Eklenti: WP Kursları LMS
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 2.0.44
Önem Puanı : Yüksek

12. CBX Yer İşareti ve Favori

Eklenti: CBX Yer İşareti ve Favori
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 1.6.9
Önem Puanı : Yüksek

13. WooCommerce için Sonradan Ödeme Geçidi

Eklenti: WooCommerce için Afterpay Gateway
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.2.1
Önem Puanı : Yüksek

14. Amazon Otomatik Bağlantıları

Eklenti: Amazon Otomatik Bağlantıları
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 4.6.20
Önem Puanı : Yüksek

15. Post Carousel

Eklenti: Post Carousel
Güvenlik Açığı : Yetkisiz AJAX Çağrıları
Sürümde Yamalı : 2.3.5
Önem Puanı : Orta

16. Smash Balon Sosyal Mesaj Feed'i

Eklenti: Smash Balloon Social Post Feed
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanmış XSS
Sürüm İçindeyim: 2.19.2
Önem Puanı : Kritik

17. Kullanıcı Numaralandırmasını Durdur

Eklenti: Kullanıcı Numaralandırmasını Durdur
Güvenlik Açığı : REST API Atlaması
Sürümde Yamalı : 1.3.9
Önem Puanı : Orta

18. Dil Çubuğu Bayrakları

Eklenti: Dil Çubuğu Bayrakları
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

19. E-posta Topçusu

Eklenti: E-posta Topçu
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

Eklenti: E-posta Topçu
Güvenlik Açığı : Birden Çok Yansıtılan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

Eklenti: E-posta Topçu
Güvenlik Açığı : Birden Çok Kimliği Doğrulanmış SQL Enjeksiyonları
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

Eklenti: E-posta Topçu
Güvenlik Açığı : Rastgele Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

20. SEOBasın 5.0.0

Eklenti: SEOPress 5.0.0
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 5.0.4
Önem Puanı : Orta

21. SP Proje ve Doküman Yöneticisi

Eklenti: SP Proje ve Belge Yöneticisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Sürüm : 4.26
Önem Puanı : Yüksek

Eklenti: SP Proje ve Belge Yöneticisi
Güvenlik Açığı : Kimliği Doğrulanmış Kabuk Yüklemesi
Yamalı Sürüm : 4.22
Önem Puanı : Orta

22. WordPress Gelişmiş Bilet Sistemi

Eklenti: WordPress Gelişmiş Bilet Sistemi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürüm İçindeyim: 1.0.64
Önem Puanı : Düşük

23. WPHEKA Fiyat Teklifi Talebi

Eklenti: WPHEKA Teklif Talebi
Güvenlik Açığı : CSRF Bypass
Sürümde Yamalı : 1.3
Önem Puanı : Orta

24. WAll 404 Ana Sayfaya Yönlendirme

Eklenti: Tüm 404 Ana Sayfaya Yönlendir
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : 2.1
Önem Puanı : Düşük

25. Dosya Görüntüleyici

Eklenti: Dosya Görüntüleyici
Güvenlik Açığı : CSRF Üzerinden Keyfi Dosya Yükleme/Silme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Kritik

26. Shopp e-Ticaret

Eklenti: Shopp e-Ticaret
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosya Yükleme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Kritik

27. MF Konser Takvimi

Eklenti: MF Gig Calendar
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

28. BuddyPress

Eklenti: BuddyPress
Güvenlik Açığı : Aktivasyon Anahtarı Açıklaması
Sürümde Yamalı : 9.1.1
Önem Puanı : Orta

Eklenti: BuddyPress
Güvenlik Açığı : SQL Enjeksiyonları
Sürümde Yamalı : 9.1.1
Önem Puanı : Yüksek

29. Jock şimdi yayında

Eklenti: Jock şimdi yayında
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 5.6.3
Önem Puanı : Düşük

Eklenti: Şimdi yayında Jock
Güvenlik Açığı : Keyfi Eklentinin Ayarlarını CSRF aracılığıyla Güncelleme
Sürümde Yamalı : 5.6.2
Önem Puanı : Orta

Eklenti: Jock şimdi yayında
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 5.6.2
Önem Puanı : Yüksek

30. ThinkTwit

Eklenti: ThinkTwit
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : 1.7.1
Önem Puanı : Düşük

31. Alışveriş Sepeti ve e-Ticaret Mağazası

Eklenti: Alışveriş Sepeti ve e-Ticaret Mağazası
Güvenlik Açığı : CSRF'den Depolanan Siteler Arası Komut Dosyasına
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

32. Gutenslider

Eklenti: Gutenslider
Güvenlik Açığı : Contributor+ Depolanan XSS
Sürümde Yamalı : 5.2.0
Önem Puanı : Orta

33. Görsel Bağlantı Önizlemesi

Eklenti: Görsel Bağlantı Önizlemesi
Güvenlik Açığı : Yetkisiz AJAX Çağrıları
Sürümde Yamalı : 2.2.3
Önem Puanı : Orta

34. Blogumu Yazdır

Eklenti: Blogumu Yazdır
Güvenlik Açığı : CSRF aracılığıyla Eklenti Devre Dışı Bırakma
Sürümde Yamalı : 3.4.2
Önem Puanı : Orta

35. Sıçrama Başlığı

Eklenti: Splash Header
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürüm İçindeyim: 1.20.8
Önem Puanı : Düşük

36. WordPress için YouForms

Eklenti: WordPress için youForms
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

37. Müsaitlik Takvimi

Eklenti: Kullanılabilirlik Takvimi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

Eklenti: Kullanılabilirlik Takvimi
Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonu
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

38. WP Mapa Politico Espana

Eklenti: WP Mapa Politico Espana
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

39. Alojapro Widget'ı

Eklenti: Alojapro Widget'ı
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

40. Sen Shang

Eklenti: Sen Shang
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

41. WP İletişim Kutusu

Eklenti: WP İletişim Kutusu
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Düşük

42. QRCode ile Bağış Yapın

Eklenti: QRCode ile Bağış Yapın
Güvenlik Açığı : Abone+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta

43. WP Mobil Menüsü

Eklenti: Titan Framework – WP Mobil Menüsü
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürüm İçindeyim: 2.8.2.3
Önem Puanı : Yüksek

44. Zoho CRM'ye W3SCloud İletişim Formu 7

Eklenti: Titan Framework – W3SCloud İletişim Formu 7'den Zoho CRM'ye
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : 2.1.0
Önem Puanı : Yüksek

45. Erident Özel Giriş ve Gösterge Tablosu

Eklenti: Erident Özel Giriş ve Gösterge Tablosu
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : 3.5.9
Önem Puanı : Düşük

46. ​​WP Cerber Güvenliği

Eklenti: WP Cerber Security
Güvenlik Açığı : Rest-API Protection Bypass
Sürümde Yamalı : 8.9.3
Önem Puanı : Orta

Eklenti: WP Cerber Security
Güvenlik Açığı : 2FA Kimlik Doğrulaması Atlaması
Sürümde Yamalı : 8.9.3
Önem Puanı : Orta

47. Flagallery Fotoğraf Portföyü

Eklenti: Flagallery Fotoğraf Portföyü
Güvenlik Açığı : Tam Yol İfşası
Yamalı Sürüm : 4.25
Önem Puanı : Orta

48. GRAND Flash Albüm Galerisi

Eklenti: GRAND Flash Albüm Galerisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Sürüm : 1.67
Önem Puanı : Yüksek

Eklenti: GRAND Flash Albüm Galerisi 0.55
Güvenlik Açığı : lib/hitcounter.php pid Parametre SQL Enjeksiyonu
Yamalı Sürüm : 0.60
Önem Puanı :

Eklenti: GRAND Flash Albüm Galerisi
Güvenlik Açığı : wp-admin/admin.php dış görünüm parametresi aracılığıyla Yansıtılan Siteler Arası Komut Dosyası
Yamalı Sürüm : 1.76
Önem Puanı : Yüksek

Eklenti: GRAND Flash Albüm Galerisi 1.9.0 & 2.0.0
Güvenlik Açığı : Birden Fazla Güvenlik Açığı
Yamalı Sürüm : 2.10
Önem Puanı :

49. 2 Yönlü Görüntülü Aramalar ve Rastgele Sohbet

Eklenti: 2 Yönlü Görüntülü Aramalar ve Rastgele Sohbet
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 5.2.8
Önem Puanı : Yüksek

WordPress Tema Güvenlik Açıkları

Sorumlu Açıklama Üzerine Bir Not

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.

1. iThemes Security Pro Site Tarayıcısını açın

iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni için tarama yapar: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

Yeni yüklemelerde Site Taramasını etkinleştirmek için eklentinin içindeki Özellikler menüsündeki Site Kontrolü sekmesine gidin ve Site Taramasını etkinleştirmek için düğmeyi tıklayın.

Manuel Site Taramasını tetiklemek için Site Scan Security Dashboard kartındaki Şimdi Tara düğmesine tıklayın.

Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

2. Güvenlik Açığını Düzeltirse Sürüm Yönetimini Otomatik Güncellemek İçin Açın

iThemes Security Pro'daki Sürüm Yönetimi özelliği, eski yazılımlar yeterince hızlı güncellenmediğinde sitenizi korumak için Site Tarama ile entegre olur. Web sitenizde savunmasız yazılım çalıştırıyorsanız, en güçlü güvenlik önlemleri bile başarısız olur. Bu ayarlar, bilinen bir güvenlik açığı varsa ve bir yama varsa yeni sürümlere otomatik olarak güncelleme seçenekleriyle sitenizin korunmasına yardımcı olur.

iThemes Security Pro'daki Ayarlar sayfasından Özellikler ekranına gidin. Site Kontrolü sekmesine tıklayın. Buradan Sürüm Yönetimini etkinleştirmek için geçiş düğmesini kullanın. Ayarlar dişli kutusunu kullanarak, iThemes Security Pro'nun WordPress güncellemelerini, eklentileri, temaları ve ek korumayı nasıl işlemesini istediğiniz de dahil olmak üzere daha da fazla ayarı yapılandırabilirsiniz.

Bir Güvenlik Açığını Düzeltirse Otomatik Güncelleme kutusunu seçtiğinizden emin olun, böylece iThemes Security Pro, Site Tarayıcı tarafından bulunan bir güvenlik açığını düzeltirse bir eklentiyi veya temayı otomatik olarak güncelleyecektir.

3. iThemes Security Pro, Sitenizde Bilinen Bir Güvenlik Açığı Bulduğunda E-posta Uyarısı Alın

Site Tarama Planlamasını etkinleştirdikten sonra, eklentinin Bildirim Merkezi ayarlarına gidin. Bu ekranda Site Tarama Sonuçları bölümüne gidin.

Bildirim e-postasını etkinleştirmek için kutuyu tıklayın ve ardından Ayarları Kaydet düğmesini tıklayın .

Artık, herhangi bir planlanmış site taraması sırasında, iThemes Security Pro bilinen herhangi bir güvenlik açığını keşfederse bir e-posta alacaksınız. E-posta böyle bir şeye benzeyecek.

iThemes Security Pro'yu Edinin ve Bu Gece Biraz Daha Kolay Dinlenin

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra güvenlik katmanları ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.