WordPress Güvenlik Açığı Raporu: Mayıs 2021, 2. Bölüm
Yayınlanan: 2021-05-14Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.
Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesini içerir. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır. Lütfen bu gönderiyi arkadaşlarınızla paylaşın ve WordPress'i herkes için daha güvenli hale getirin!
WordPress Temel Güvenlik Açıkları
WordPress Eklenti Güvenlik Açıkları
1. Basit Yönetici Dil Değişikliği
Eklenti: Basit Yönetici Dil Değişikliği
Güvenlik Açığı : Keyfi Kullanıcı Yerel Ayarı Değişikliği
Sürümde Yamalı : 2.0.2
Önem Puanı : 4.3 Orta
2. Ecourier'e Gönderim
Eklenti: eCourier'a gönder
Güvenlik Açığı : Eklenti Ayarlarının CSRF aracılığıyla Güncellenmesi
Sürümde Yamalı : 1.0.2
Önem Puanı : 5.4 Orta
3. Parsel İzleyici eCourier
Eklenti: Parsel Tracker eCourier
Güvenlik Açığı : Eklenti Ayarlarının CSRF aracılığıyla Güncellenmesi
Sürümde Yamalı : 1.0.2
Önem Puanı : 5.4 Orta
4. WooCommerce için PickPlugins Ürün Kaydırıcısı
Eklenti: WooCommerce için PickPlugins Ürün Kaydırıcısı
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Sürüm : 1.13.22
Önem Puanı : 7.1 Yüksek
5. Hana Flv Oynatıcı
Eklenti: Hana Flv Player
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : 3.8 Düşük
6. Hotjar Bağlayıcı
Eklenti: Hotjar Bağlayıcı
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : 3.8 Düşük
7. GA Google Analytics
Eklenti: GA Google Analytics
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : 5,9 Orta
8. İlk Eklentiyi Hedefleyin
Eklenti: İlk Eklentiyi Hedefleyin
Güvenlik Açığı : Lisans Anahtarı aracılığıyla Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 1.0
Önem Puanı : 7.2 Yüksek
9. Leads-5050 Ziyaretçi Bilgileri
Eklenti: Leads-5050 Visitor Insights
Güvenlik Açığı : Yetkisiz Lisans Değişikliği
Sürümde Yamalı : 1.1.0
Önem Puanı : 7.1 Yüksek
10. WP için DSGVO Hepsi bir arada
Eklenti: WP için DSGVO Hepsi bir arada
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 4.0
Önem Puanı : 8.3 Yüksek
11. UltimateWoo
Eklenti: UltimateWoo
Güvenlik Açığı : PHP Nesne Enjeksiyonu
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : 5.6 Orta
12. Nihai Üye
Eklenti: Ultimate Üye
Güvenlik Açığı : Kimliği Doğrulanmış Yansıtılan Siteler Arası Komut Dosyası
Yamalı Sürüm : 2.1.20
Önem Puanı : 4.4 Orta
13. Otomatik Optimize Et
Eklenti: Autoptimize
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 2.8.4
Önem Puanı : 6.6 Orta
14. Zlick Ödeme Duvarı
Eklenti: Zlick Paywall
Güvenlik Açığı : CSRF Atlamaları
Sürümde Yamalı : 2.2.2
Önem Puanı : 3.1 Düşük
15. TemaYüksek WooCommerce İstek Listesi ve Karşılaştırma
Eklenti: ThemeHigh WooCommerce İstek Listesi ve Karşılaştırma
Güvenlik Açığı : Yetkisiz AJAX çağrısı
Sürümde Yamalı : 1.0.5
Önem Puanı : 7.2 Yüksek
16. Basit Eşantiyonlar
Eklenti: Basit Eşantiyonlar
Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 2.36.2
Önem Puanı : 7.1 Yüksek
17. ReDi Restoran Rezervasyonları
Eklenti: ReDi Restoran Rezervasyonları
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Versiyonda Yamalı: 21.0426
Önem Puanı : 7.1 Yüksek
18. Hepsi Bir Arada SEO Paketi
Eklenti: Hepsi Bir Arada SEO Paketinde
Güvenlik Açığı : Uzaktan Kod Yürütme
Sürümde Yamalı: 4.1.0.2
Önem Puanı : 6.6 Orta
19. KaldırıcıLMS
Eklenti: LifterLMS
Güvenlik Açığı : Profili Düzenle'de Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürüm İçindeyim: 4.21.1
Önem Puanı : 7.4 Yüksek
Güvenlik Açığı : Ödeme sırasında Kupon Koduyla Yansıtılan Siteler Arası Komut Dosyası
Sürüm İçindeyim: 4.21.1
Önem Puanı : 6.1 Orta
WordPress Tema Güvenlik Açıkları
Sorumlu Açıklama Üzerine Bir Not
Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının, güvenlik açığını kamuya açıklanmadan önce yazılım geliştiricisine bulup özel olarak bildirmesi çok yaygındır.
Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.
Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.
Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.
Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.
WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?
Web sitelerinizi savunmasız temalardan ve eklentilerden otomatik olarak korumanın üç harika yolu vardır:
- Eklentiler ve Temalar için Otomatik Güncellemeleri Etkinleştirme
- iThemes Security Pro eklentisinin Site Tarayıcısı
- iThemes Güvenliğinde Sürüm Yönetimi
1. Eklentiler ve Temalar için Otomatik Güncellemeleri Etkinleştirin
WordPress 5.5'ten başlayarak, eklentiler ve temalar için otomatik güncellemeleri etkinleştirebilirsiniz . Otomatik güncellemeler neden WordPress çekirdeğine aktarılsın? Eski eklentiler ve temalar, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni olmaya devam ediyor. Sürüm sürümleri genellikle güvenlik açıklarını kapatmak için önemli güvenlik düzeltme ekleri içerir (sadece WordPress güvenlik açığı derlememizde temalar ve eklentilerle ilgili kaç güvenlik sorununun aydan aya açıklandığını kontrol edin). Bu nedenle, sitenize yüklediğiniz herhangi bir eklentinin veya temanın her zaman en son sürümünü çalıştırmak en iyi güvenlik uygulamasıdır.
Artık WordPress çekirdeği, WordPress yönetici > Eklentiler > Yüklü Eklentiler ve Görünüm > Temalar sayfalarınızdan eklentileri ve temaları otomatik olarak güncellenecek şekilde ayarlamanıza izin verecek. Bu şekilde, sitenizin mevcut en son kodu çalıştırdığını her zaman bilebilirsiniz.
2. iThemes Security Pro Eklentisinin Site Tarayıcısını etkinleştirin
iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress web sitenizi tüm yazılım saldırılarının bir numaralı nedenine karşı korumanın ve korumanın başka bir yoludur: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.
iThemes Security Pro Site Tarayıcı Tarafından Kontrol Edilen 3 Tür WordPress Güvenlik Açığı:
- WordPress Temel Güvenlik Açıkları
- Eklenti Güvenlik Açıkları
- Tema Güvenlik Açıkları
Sitenizde Site Taramasını etkinleştirmek için iThemes Security Pro ayarlarına gidin ve Site Tarama ayarları modülündeki Etkinleştir düğmesine tıklayın.
Manuel Site Taramasını tetiklemek için, güvenlik ayarlarının sağ kenar çubuğunda bulunan Site Tarama Widget'ında Şimdi Tara düğmesini tıklayın.
Site Tarama sonuçları pencere öğesinde görüntülenecektir.
Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.
Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.
Bir yamanın mevcut olması ile iThemes Güvenlik Açığı Veritabanının düzeltmeyi yansıtacak şekilde güncellenmesi arasında bir gecikme olabilir. Bu durumda, güvenlik açığıyla ilgili daha fazla uyarı almamak için bildirimi sessize alabilirsiniz.
3. iThemes Security Pro'da Sürüm Yönetimini Etkinleştirin
iThemes Security Pro'nun Sürüm Yönetimi özelliği, WordPress, eklentiler ve temalar için otomatik güncellemeler üzerinde biraz daha fazla kontrole sahip olmanızı sağlar.
iThemes Security Pro Sürüm Yönetimi'nin varsayılan WordPress otomatik güncellemelerine kıyasla daha fazla esneklik sağlamasının üç yolu burada.
- Kolaylaştırılmış eklenti ve tema yönetimi – tüm eklenti ve tema güncellemelerinizi sürüm yönetimi ayarlarından yönetin.
- Eklenti ve tema güncellemeleri için özel gecikme süreleri ekleyin – WordPress otomatik güncellemeleri yalnızca güncellemeleri hemen uygulama seçeneği sunar. Güncelleme zamanlayıcı, özel bir gecikme oluşturmanıza olanak tanır. Gecikme, büyük bir sürümden sonra sorunları düzeltmek için bazı takip sürümlerine ihtiyaç duyma eğiliminde olan eklentiler veya temalar için iyi bir seçenek olabilir.
- Yalnızca Bilinen Güvenlik Açıklarını Düzelten Güncellemeleri Uygulayın – yalnızca bilinen güvenlik açıklarını gideren güncellemeleri uygulayın. Bu seçenek, tüm güncellemelerinizi manuel olarak çalıştırmak ancak güvenlik yamalarını hemen almak istiyorsanız mükemmeldir.
Bunun ötesinde, Sürüm Yönetimi, eski yazılımları çalıştırırken web sitenizi sağlamlaştırma ve eski web sitelerini tarama seçeneklerine de sahiptir.
Sürüm Yönetimini kullanmaya başlamak için, güvenlik ayarlarının ana sayfasında modülü etkinleştirin.
Şimdi ayarlara daha yakından bakmak için Ayarları Yapılandır düğmesine tıklayın.
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu ayarın etkinleştirilmesi, çakışmaları önlemek için WordPress otomatik güncelleme eklentileri özelliğini devre dışı bırakır.
- Tema Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Bu ayarın etkinleştirilmesi, çakışmaları önlemek için WordPress otomatik güncelleme tema özelliğini devre dışı bırakır.
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin.
- İki faktörlü etkinleştirilmemiş tüm kullanıcıları, tekrar oturum açmadan önce e-posta adreslerine gönderilen bir oturum açma kodu sağlamaya zorlayın.
- WP Dosya Düzenleyicisini devre dışı bırakın (kişilerin eklenti veya tema kodunu düzenlemesini engeller).
- XML-RPC geri pinglerini devre dışı bırakın ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engelleyin (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Eski WordPress Sitelerini Tara – Bir saldırganın sunucunun güvenliğini aşmasına izin verebilecek eski WordPress siteleri için barındırma hesabının günlük taramasını çalıştırın. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- Güvenlik Açığını Düzeltirse Otomatik Güncelleme - Bu seçenek, web sitenizi bilinen WordPress, eklenti ve tema güvenlik açıkları için kontrol etmek ve mevcut olduğunda bir yama uygulamak için iThemes Security Pro Site Taraması ile birlikte çalışır.
Şimdi eklenti ve tema güncellemelerini yapılandırmaya daha yakından bakalım. Başlamadan önce, eklenti ve tema güncelleme ayarlarının etkinleştirilmesinin, çakışmaları önlemek için WordPress otomatik güncelleme özelliğini devre dışı bırakacağını hızlıca hatırlatmak istedim.
Hem Eklenti hem de Tema Güncelleme Ayarlarının üç seçeneği vardır.
- Boş/Yok – Ayarı boş bırakmak, WordPress'in eklenti ve tema güncellemelerini yönetmesine izin verir.
- Özel – Özel seçeneği, güncellemeleri tam olarak beğeninize göre özelleştirmenizi sağlar. Bunu birazdan daha fazla ele alacağız.
- Tümü – Tümü, bir güncelleme hazır olur olmaz tüm eklentilerinizi veya temalarınızı güncelleyecektir.
Şimdi Özel seçeneğine daha yakından bakalım.
Özel seçeneğini belirlemek, eklenti ve tema güncellemeleriniz için üç farklı seçenek sunar.
- Etkinleştir – Yeni bir sürümden hemen sonra güncellemek istediğiniz eklentileri seçin.
- Devre Dışı Bırak – Manuel olarak güncellemek istediğiniz eklentiler için bu seçeneği kullanın.
- Gecikme – Gecikme seçeneği, bir sürümün güncellemesini geciktirmek istediğiniz gün sayısını ayarlamanıza olanak tanır. Bu, büyük bir sürümden sonra sorunları düzeltmek için bazı takip sürümlerine ihtiyaç duyma eğiliminde olan geliştiriciler için iyi bir seçenek olabilir.
iThemes Security Pro'yu Hemen Alın
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
