WordPress Güvenlik Açığı Raporu: Mayıs 2021, 3. Bölüm

Yayınlanan: 2021-05-19

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır. Lütfen bu gönderiyi arkadaşlarınızla paylaşın ve WordPress'i herkes için daha güvenli hale getirin.

Mayıs, Bölüm 3 Raporunda

    WordPress Temel Güvenlik Açıkları

    Bu hafta, 3.7 ile 5.7 arasındaki WordPress sürümlerini etkileyen bir güvenlik sorunu olan bir WordPress 5.7.2 güvenlik sürümü gördük. Henüz 5.7'ye güncellemediyseniz, 3.7'den sonraki tüm WordPress sürümleri PHPMailer güvenlik sorununu gidermek için de güncellenmiştir.

    1. WordPress 5.7.2 Güvenlik Sürümü

    Güvenlik Açığı : PHPMailer'da Nesne Enjeksiyonu
    Sürümde Yamalı : 5.7.2
    Önem Puanı : Orta

    Güvenlik açığı düzeltildi, bu nedenle bugün tüm sitelerinizi WordPress 5.7.2'ye güncellemelisiniz.

    WordPress Eklenti Güvenlik Açıkları

    1. Fotoğraf Galerisi

    Eklenti: Fotoğraf Galerisi
    Güvenlik Açığı : Galeri Başlığı aracılığıyla Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma
    Yamalı Sürüm : 1.5.67
    Önem : Orta

    Güvenlik açığı düzeltildi, bu nedenle 1.5.67+ sürümüne güncellemelisiniz.

    2. Haftalık Program

    Eklenti: Haftalık Program
    Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
    Sürümde Yamalı : 3.4.3
    Önem Puanı : Orta

    Güvenlik açığı düzeltildi, bu nedenle 3.4.3+ sürümüne güncellemelisiniz.

    3. Harici Medya

    Eklenti: Harici Medya
    Güvenlik Açığı : Kimliği Doğrulanmış Keyfi Dosya Yükleme
    Sürümde Yamalı : 1.0.34
    Önem Puanı : Kritik

    Güvenlik açığı düzeltildi, bu nedenle 1.0.34+ sürümüne güncelleme yapmalısınız.

    4. WP Süper Önbellek

    Eklenti: WP Süper Önbellek
    Güvenlik Açığı : Kimliği Doğrulanmış Uzaktan Kod Yürütme
    Sürümde Yamalı : 1.7.3
    Önem Puanı : Yüksek

    Güvenlik açığı düzeltildi, bu nedenle 1.7.3+ sürümüne güncellemelisiniz.

    5. WordPress için Veritabanı Yedekleme

    Eklenti: WordPress için Veritabanı Yedekleme
    Güvenlik Açığı : Kimliği Doğrulanmış Kalıcı Siteler Arası Komut Dosyası Çalıştırma
    Sürümde Yamalı : 2.4
    Önem Puanı : Orta

    Güvenlik açığı yamalı, bu nedenle 2.4+ sürümüne güncellemelisiniz.

    WordPress Tema Güvenlik Açıkları

    1. Orta

    Tema: Orta
    Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılan Siteler Arası Komut Dosyası Çalıştırma
    Sürümde Yamalı : Bilinen bir düzeltme yok
    Önem Puanı : Orta

    Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar temayı kaldırın ve silin.

    2. Liste

    Tema: Listeo
    Güvenlik Açığı : Birden çok XSS ve XFS güvenlik açığı
    Sürümde Yamalı : 1.6.11
    Önem Puanı : Orta

    Güvenlik Açığı : Birden Çok Kimliği Doğrulanmış IDOR Güvenlik Açığı
    Sürümde Yamalı : 1.6.11
    Önem Puanı : Orta

    Güvenlik açığı düzeltildi, bu nedenle 1.6.11+ sürümüne güncelleme yapmalısınız.

    3. Bello

    Tema: Listeo
    Güvenlik Açığı : Kimliği Doğrulanmış XSS ve XFS
    Sürümde Yamalı : 1.6.0
    Önem Puanı : Orta

    Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılmış XSS ve XFS
    Sürümde Yamalı : 1.6.0
    Önem Puanı : Orta

    Güvenlik Açığı : Kimliği Doğrulanmamış Kör SQL Enjeksiyonu
    Sürümde Yamalı : 1.6.0
    Önem Puanı : Kritik

    Güvenlik açığı düzeltildi, bu nedenle 1.6.0+ sürümüne güncelleme yapmalısınız.

    Sorumlu Açıklama Üzerine Bir Not

    Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

    Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

    Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

    Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

    Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

    WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

    iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress web sitenizi tüm yazılım saldırılarının bir numaralı nedenine karşı korumanın ve korumanın başka bir yoludur: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

    3 Tür WordPress Güvenlik Açığı Kontrol Edildi

    1. WordPress Güvenlik Açıkları
    2. Eklenti Güvenlik Açıkları
    3. Tema Güvenlik Açıkları

    Yeni yüklemelerde Site Taramasını etkinleştirmek için iThemes Security Pro ayarlarına gidin ve Site Tarama ayarları modülündeki Etkinleştir düğmesine tıklayın.

    Manuel Site Taramasını tetiklemek için, güvenlik ayarlarının sağ kenar çubuğunda bulunan Site Tarama Widget'ında Şimdi Tara düğmesini tıklayın.

    Site Tarama sonuçları pencere öğesinde görüntülenecektir.

    Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

    Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

    Bir yamanın mevcut olması ile iThemes Güvenlik Açığı Veritabanının düzeltmeyi yansıtacak şekilde güncellenmesi arasında bir gecikme olabilir. Bu durumda, güvenlik açığıyla ilgili daha fazla uyarı almamak için bildirimi sessize alabilirsiniz.

    Önemli: Mevcut sürümünüzün bir güvenlik düzeltmesi içerdiğini veya güvenlik açığının sitenizi etkilemediğini onaylayana kadar bir güvenlik açığı bildirimini sessize almamalısınız.

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu edinin

    wordpress güvenlik açığı raporu - güvenlik