WordPress Güvenlik Açığı Raporu: Mayıs 2021, 4. Bölüm

Yayınlanan: 2021-05-27

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır. Lütfen bu gönderiyi arkadaşlarınızla paylaşın ve WordPress'i herkes için daha güvenli hale getirin.

Mayıs, 4. Bölüm Raporunda

Haftalık WordPress Güvenlik Haberleri ve Güncellemeler bültenine kaydolun

Şimdi abone ol

WordPress Temel Güvenlik Açıkları

Bu ay, 3.7 ile 5.7 arasındaki WordPress sürümlerini etkileyen bir güvenlik sorunuyla birlikte bir WordPress 5.7.2 güvenlik sürümü getiriyor. Henüz 5.7'ye güncellemediyseniz, 3.7'den sonraki tüm WordPress sürümleri PHPMailer güvenlik sorununu gidermek için de güncellenmiştir.

1. WordPress 5.7.2 Güvenlik Sürümü

Güvenlik Açığı : PHPMailer'da Nesne Enjeksiyonu
Sürümde Yamalı : 5.7.2
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle bugün tüm sitelerinizi WordPress 5.7.2'ye güncellemelisiniz.

WordPress Eklenti Güvenlik Açıkları

1. CartFlows'tan Huni Oluşturucu

Eklenti: CartFlows'tan Huni Oluşturucu
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.6.13
Önem : Orta

Güvenlik açığı düzeltildi, bu nedenle 1.6.13+ sürümüne güncelleme yapmalısınız.

2. Düzgün Kaydırma Sayfa Yukarı/Aşağı Düğmeleri

Eklenti: Düzgün Kaydırma Sayfa Yukarı/Aşağı Düğmeleri
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.4
Önem Puanı : Orta

Güvenlik açığı yamalı, bu nedenle 1.4+ sürümüne güncellemelisiniz.

3. Anında Görüntüler WordPress Eklentisi

Eklenti: Anında Görüntüler WordPress Eklentisi
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma ve XFS
Sürümde Yamalı: 4.4.0.1
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 4.4.0.1+ sürümüne güncelleme yapmalısınız.

4. CM Kayıt Profesyoneli

Eklenti: CM Kayıt Pro
Güvenlik Açığı : PHP Nesne Enjeksiyonu
Sürümde Yamalı : 3.2.1
Önem Puanı : Orta

Güvenlik açığı yamalanmıştır, bu nedenle 3.2.1+ sürümüne güncellemeniz gerekir.

5. WP Duası

Eklenti: WP Dua
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.6.2
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 1.6.2+ sürümüne güncelleme yapmalısınız.

6. WP İstatistikleri

Eklenti: WP İstatistikleri
Güvenlik Açığı : Kimliği Doğrulanmamış SQL Enjeksiyonu
Sürüm İçindeyim: 13.0.8
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 13.0.8+ sürümüne güncelleme yapmalısınız.

7. Uçuş Günlüğü

Eklenti: FlightLog
Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonu
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

8. Video Gömme

Eklenti: FlightLog
Güvenlik Açığı : Kimliği Doğrulanmış SQL Enjeksiyonu
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

WordPress Tema Güvenlik Açıkları

1. Araba Tamir Hizmetleri

Tema: Araba Tamir Hizmetleri
Güvenlik Açığı : Kimliği Doğrulanmamış Yansıtılan Siteler Arası Komut Dosyası Oluşturma ve XFS
Sürümde Yamalı : 4.0
Önem Puanı : Yüksek

Güvenlik açığı yamalı, bu nedenle 4.0+ sürümüne güncellemelisiniz.

Sorumlu Açıklama Üzerine Bir Not

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress web sitenizi tüm yazılım saldırılarının 1 numaralı nedenine karşı korumanın ve korumanın harika bir yoludur: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar.

Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

iThemes Security Pro Tarafından Kontrol Edilen 3 Tür WordPress Güvenlik Açığı

WordPress Güvenlik Açıkları
Eklenti Güvenlik Açıkları
Tema Güvenlik Açıkları

Yeni yüklemelerde Site Taramasını etkinleştirmek için iThemes Security Pro ayarlarına gidin ve Site Tarama ayarları modülündeki Etkinleştir düğmesine tıklayın.

Manuel Site Taramasını tetiklemek için, güvenlik ayarlarının sağ kenar çubuğunda bulunan Site Tarama Widget'ında Şimdi Tara düğmesini tıklayın.

Site Tarama sonuçları pencere öğesinde görüntülenecektir.

Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

Bir yamanın mevcut olması ile iThemes Güvenlik Açığı Veritabanının düzeltmeyi yansıtacak şekilde güncellenmesi arasında bir gecikme olabilir. Bu durumda, güvenlik açığıyla ilgili daha fazla uyarı almamak için bildirimi sessize alabilirsiniz.

Önemli: Mevcut sürümünüzün bir güvenlik düzeltmesi içerdiğini veya güvenlik açığının sitenizi etkilemediğini onaylayana kadar bir güvenlik açığı bildirimini sessize almamalısınız.

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Mayıs 2021 için Geçmiş WordPress Güvenlik Açığı Raporlarını Yakalayın

Bir raporu kaçırdın mı? İşte 2021 Mayıs ayı raporları.

Mayıs 2021 3. Bölüm
Mayıs 2021 2. Bölüm
Mayıs 2021 Bölüm 1

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.