WordPress Güvenlik Açığı Raporu: Temmuz 2021, 4. Bölüm

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır.

Bugüne kadarki en büyük WordPress Güvenlik Açığı Raporlarından biri olarak, bu haberi duyurmak ve WordPress'i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.

WordPress Temel Güvenlik Açıkları

WordPress Eklenti Güvenlik Açıkları

1. VDZ Doğrulaması

Eklenti: VDZ Doğrulaması
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürümde Yamalı : 1.4
Önem Puanı : Orta

2. VDZ GERİ ARAMA

Eklenti: VDZ Geri Arama
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürüm İçindeyim: 1.1.4.6
Önem Puanı : Orta

3. Wonder PDF Embed

Eklenti: Wonder PDF Embed
Güvenlik Açığı : Contributor+ Depolanan XSS
Sürümde Yamalı : 1.7
Önem Puanı : Orta

4. Wonder Video Embed

Eklenti: Wonder Video Embed
Güvenlik Açığı : Contributor+ Depolanan XSS
Sürümde Yamalı : 1.8
Önem Puanı : Orta

5. Profil Oluşturucu

Eklenti: Profil Oluşturucu
Güvenlik Açığı : Parola Sıfırlama Hatası ile Yönetici Erişimi
Sürümde Yamalı : 3.4.9
Önem Puanı : Kritik

6. VikRentCar Araç Kiralama Yönetim Sistemi

Eklenti: VikRentCar Araç Kiralama Yönetim Sistemi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : 1.1.10
Önem Puanı : Orta

7. YouTube Yerleştirme

Eklenti: YouTube Yerleştirme
Güvenlik Açığı : Contributor+ Depolanan XSS
Sürümde Yamalı : 5.2.2
Önem Puanı : Orta

8. Site Denetimim

Eklenti: Site Denetimim
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

9. Sosyal Bant

Eklenti: Sosyal Bant
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

10. Telugu İncil Ayet Günlük

Eklenti: Telugu İncil Ayeti Günlük
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

11. Verse-O-Matic

Eklenti: Verse-O-Matic
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

12. Özel Giriş Yönlendirmesi

Eklenti: Özel Giriş Yönlendirmesi
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

13. Hafif Mesajlar

Eklenti: Hafif Mesajlar
Güvenlik Açığı : CSRF'den Depolanmış XSS'ye
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

14. Shantz WordPress QOTD

Eklenti: Shantz WordPress QOTD
Güvenlik Açığı : CSRF aracılığıyla Keyfi Ayar Güncellemesi
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

15. PhoneTrack Meu Site Yöneticisi

Eklenti: PhoneTrack Meu Site Yöneticisi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

16. RestroPress

Eklenti: RestroPress
Güvenlik Açığı : Yetkisiz AJAX Çağrıları
Sürümde Yamalı : 2.8.3.1
Önem Puanı : Yüksek

Eklenti: RestroPress
Güvenlik Açığı : CSRF aracılığıyla Sepet Manipülasyonu
Sürümde Yamalı : 2.8.3
Önem Puanı : Orta

17. Fotoğraf Galerisi

Eklenti: Fotoğraf Galerisi
Güvenlik Açığı : Zip'te Yüklenen SVG aracılığıyla Depolanan XSS
Yamalı Sürüm : 1.5.79
Önem Puanı : Orta

Eklenti: Fotoğraf Galerisi
Güvenlik Açığı : Yüklenen SVG aracılığıyla Depolanan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Sürüm : 1.5.75
Önem Puanı : Orta

Eklenti: Fotoğraf Galerisi
Güvenlik Açığı : Dosya Yükleme Yolu Geçişi
Yamalı Sürüm : 1.5.75
Önem Puanı : Düşük

18. Mimetik Kitaplar

Eklenti: Mimetik Kitaplar
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

19. Elementor Eklenti Öğeleri

Eklenti: Elementor Eklenti Öğeleri
Güvenlik Açığı : CSRF Bypass
Sürüm İçindeyim: 1.11.8
Önem Puanı : Düşük

20. Pişmiş Profesyonel

Eklenti: Pişmiş Pro
Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

21. NEX Formları

Eklenti: NEX Formları
Güvenlik Açığı : Excel Raporları için Kimlik Doğrulama Atlaması
Yamalı Sürüm : 7.8.8
Önem Puanı : Orta

Eklenti: NEX Formları
Güvenlik Açığı : PDF Raporları için Kimlik Doğrulama Atlaması
Yamalı Sürüm : 7.8.8
Önem Puanı : Orta

22. KN Başlığınızı Düzeltin

Eklenti: KN Başlığınızı Düzeltin
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Düşük

23. Hediye

Eklenti: Hediye
Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

24. HM Çoklu Rolleri

Eklenti: HM Çoklu Rol
Güvenlik Açığı : Keyfi Rol Değişikliği
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Kritik

25. Google Haritalar için 10Web Haritası Oluşturucu

Eklenti: Google Haritalar için 10Web Haritası Oluşturucu
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürüm İçindeyim: 1.0.70
Önem Puanı : Orta

26. Bakım

Eklenti: Bakım
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Sürümde Yamalı : 4.03
Önem Puanı : Orta

27. Izgara Galerisi

Eklenti: Izgara Galerisi
Güvenlik Açığı : Fotoğraf Tablosu Galerisi
Sürümde Yamalı : 1.2.5
Önem Puanı : Düşük

28. WP Özel Alan Araması

Eklenti: WP Özel Alan Arama
Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : 1.0
Önem Puanı : Orta

29. Google Dil Tercümanı

Eklenti: Google Dil Tercümanı
Güvenlik Açığı : Kimliği Doğrulanmış (yazar+) Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : 6.0.10
Önem Puanı : Orta

Eklenti: Google Dil Tercümanı
Güvenlik Açığı : Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : 6.0.10
Önem Puanı : Orta

30. SendGrid

Eklenti: SendGrid
Güvenlik Açığı : Kimliği Doğrulanmış Yetkilendirme Atlaması
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

31. HaberEklentisi

Eklenti: NewsPlugin
Güvenlik Açığı : CSRF'den Depolanan Siteler Arası Komut Dosyasına
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

32. Hayırsever – Bağış Eklentisi

Eklenti: Hayırsever – Bağış Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürüm İçindeyim: 1.6.51
Önem Puanı : Düşük

Eklenti: Hayırsever – Bağış Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 1.6.51
Önem Puanı : Düşük

33. KaldırıcıLMS

Eklenti: LifterLMS
Güvenlik Açığı : Diğer Öğrenci Notlarına/Yanıtlarına IDOR üzerinden erişin
Sürüm İçindeyim: 4.21.2
Önem Puanı : Orta

34. WooCommerce Para Birimi Değiştirici

Eklenti: WooCommerce Para Birimi Değiştirici
Güvenlik Açığı : Kimliği Doğrulanmış (Düşük Ayrıcalıklı) Yerel Dosya Dahil Etme
Sürümde Yamalı : 1.3.7
Önem Puanı : Kritik

35. Basit Posta

Eklenti: Basit Gönderi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Düşük

36. WPGraphQL

Eklenti: WPGraphQL
Güvenlik Açığı : Hizmet Reddi
Sürümde Yamalı : 1.3.6
Önem Puanı : Yüksek

37. GÇevir

Eklenti: GTranslate
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Yamalı Sürüm : 2.8.65
Önem Puanı : Orta

38. Günlük ve Müsaitlik Takvimi

Eklenti: Günlük ve Müsaitlik Takvimi
Güvenlik Açığı : Kimliği doğrulanmış (abone+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

39. E-posta Abonesi

Eklenti: E-posta Abonesi
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası (XSS)
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

40. M-vSlider

Eklenti: M-vSlider
Güvenlik Açığı : Kimliği doğrulanmış (admin+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

41. Proje Durumu

Eklenti: Proje Durumu
Güvenlik Açığı : Kimliği doğrulanmış (admin+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

42. AceIDE

Eklenti: AceIDE
Güvenlik Açığı : Kimliği Doğrulanmış (admin+) Rastgele Dosya Erişimi
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

43. Kırık Bağlantı Yöneticisi

Eklenti: Kırık Bağlantı Yöneticisi
Güvenlik Açığı : Kimliği doğrulanmış (admin+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

44. Yorumları Düzenle

Eklenti: Yorumları Düzenle
Güvenlik Açığı : Kimliği Doğrulanmamış SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

Eklenti: Yorumları Düzenle
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

45. Basit Etkinlik Takvimi

Eklenti: Basit Etkinlik Takvimi
Güvenlik Açığı : Kimliği doğrulanmış (admin+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

46. ​​Zaman Çizelgesi Takvimi

Eklenti: Zaman Çizelgesi Takvimi
Güvenlik Açığı : Kimliği doğrulanmış (admin+) SQL Enjeksiyonu
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Yüksek

47. Paytm – Bağış Eklentisi

Eklenti: Paytm – Bağış Eklentisi
Güvenlik Açığı : 1.3.2 – Doğrulanmış (admin+) SQL Injection
Sürümde Yamalı : bilinen bir düzeltme yok
Önem Puanı : Orta

WordPress Tema Güvenlik Açıkları

1. Gazete

Tema: Gazete
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 11
Önem Puanı : Yüksek

Sorumlu Açıklama Üzerine Bir Not

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.

1. iThemes Security Pro Site Tarayıcısını açın

iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni için tarama yapar: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

Yeni yüklemelerde Site Taramasını etkinleştirmek için eklentinin içindeki Özellikler menüsündeki Site Kontrolü sekmesine gidin ve Site Taramasını etkinleştirmek için düğmeyi tıklayın.

Manuel Site Taramasını tetiklemek için Site Scan Security Dashboard kartındaki Şimdi Tara düğmesine tıklayın.

Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

2. Sürüm Yönetimini Açın

iThemes Security Pro'daki Sürüm Yönetimi özelliği, eski yazılımlar yeterince hızlı güncellenmediğinde sitenizi korumak için Site Tarama ile entegre olur. Web sitenizde savunmasız yazılım çalıştırıyorsanız, en güçlü güvenlik önlemleri bile başarısız olur. Bu ayarlar, bilinen bir güvenlik açığı varsa ve bir yama varsa yeni sürümlere otomatik olarak güncelleme seçenekleriyle sitenizin korunmasına yardımcı olur.

iThemes Security Pro'daki Ayarlar sayfasından Özellikler ekranına gidin. Site Kontrolü sekmesine tıklayın. Buradan Sürüm Yönetimini etkinleştirmek için geçiş düğmesini kullanın. Ayarlar dişli kutusunu kullanarak, iThemes Security Pro'nun WordPress güncellemelerini, eklentileri, temaları ve ek korumayı nasıl işlemesini istediğiniz de dahil olmak üzere daha da fazla ayarı yapılandırabilirsiniz.

Bir Güvenlik Açığını Düzeltirse Otomatik Güncelleme kutusunu seçtiğinizden emin olun, böylece iThemes Security Pro, Site Tarayıcı tarafından bulunan bir güvenlik açığını düzeltirse bir eklentiyi veya temayı otomatik olarak güncelleyecektir.

3. iThemes Security Pro, Sitenizde Bilinen Bir Güvenlik Açığı Bulduğunda E-posta Uyarısı Alın

Site Tarama Planlamasını etkinleştirdikten sonra, eklentinin Bildirim Merkezi ayarlarına gidin. Bu ekranda Site Tarama Sonuçları bölümüne gidin.

Bildirim e-postasını etkinleştirmek için kutuyu tıklayın ve ardından Ayarları Kaydet düğmesini tıklayın .

Artık, herhangi bir planlanmış site taraması sırasında, iThemes Security Pro bilinen herhangi bir güvenlik açığını keşfederse bir e-posta alacaksınız. E-posta böyle bir şeye benzeyecek.

iThemes Security Pro'yu Edinin ve Bu Gece Biraz Daha Kolay Dinlenin

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.