WordPress Güvenlik Açığı Raporu: Eylül 2021, 2. Bölüm

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır.

Bugüne kadarki en büyük WordPress Güvenlik Açığı Raporlarından biri olarak, bu haberi duyurmak ve WordPress'i herkes için daha güvenli hale getirmek için lütfen bu gönderiyi arkadaşlarınızla paylaşın.

WordPress Temel Güvenlik Açıkları

WordPress Eklenti Güvenlik Açıkları

Bu bölümde, en son WordPress eklenti güvenlik açıkları açıklandı. Her eklenti listesi, güvenlik açığının türünü, yama uygulanmışsa sürüm numarasını ve önem derecesini içerir.

1. Geri Sayım Bloğu

Eklenti: Geri Sayım Bloğu
Güvenlik Açığı : AJAX eyleminde Eksik Yetkilendirme
Sürümde Yamalı : 1.1.2
Önem Puanı : Orta

2. Kullanıcı Aktivite Günlüğü

Eklenti: Kullanıcı Etkinlik Günlüğü
Güvenlik Açığı : Sorgu Dizesi aracılığıyla Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.4.7
Önem Puanı : Orta

Eklenti: Kullanıcı Aktivite Günlüğü
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 1.4.7
Önem Puanı : Yüksek

3. Çerez Bildirimi ve GDPR / CCPA için Uyumluluk

Eklenti: Çerez Bildirimi ve GDPR / CCPA için Uyumluluk
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 2.1.2
Önem Puanı : Düşük

4. ÇeviriBasın

Eklenti: TranslatePress
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 2.0.9
Önem Puanı : Düşük

5. WP İstatistik

Eklenti: WP İstatistik
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Sürümde Yamalı : 13.1
Önem Puanı : Yüksek

6. Soğuk Saat

Eklenti: CoolClock
Güvenlik Açığı : Contributor+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 4.3.5
Önem Puanı : Orta

7. Miniorange'dan Çoklu Eklentiler

Eklenti: miniorange'dan Çoklu Eklentiler
Güvenlik Açığı : AppId aracılığıyla Yansıtılan Siteler Arası Komut Dosyası Çalıştırma
Sürüm İçindeyim: 6.20.3
Önem Puanı : Yüksek

8. Elementor için Premium Eklentiler

Eklenti: Elementor için Premium Eklentiler
Güvenlik Açığı : Abone+ Keyfi Blog Seçeneği Güncellemesi
Sürümde Yamalı : 4.5.2
Önem Puanı : Yüksek

9. Doket Önbelleği

Eklenti: Docket Cache
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Versiyon : 21.08.02
Önem Puanı : Yüksek

10. WooCommerce Zoho Entegrasyonu – CRM, Kitaplar, Fatura, Envanter

Eklenti: WooCommerce Zoho Entegrasyonu – CRM, Kitaplar, Fatura, Envanter
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.2.4  
Önem : Yüksek

11. WooCommerce ve QuickBooks için Entegrasyon

Eklenti: WooCommerce ve QuickBooks için Entegrasyon
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.1.9
Önem : Yüksek

12. Yerçekimi Formları Salesforce

Eklenti: Yerçekimi Formları Salesforce
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.2.6
Önem : Yüksek

13. Yerçekimi Formları Zoho CRM Eklentisi

Eklenti: Yerçekimi Formları Zoho CRM Eklentisi
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.1.6  
Önem : Yüksek

14. Yerçekimi HubSpot'u Oluşturur

Eklenti: Yerçekimi Formları HubSpot
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.9
Önem : Yüksek

15. WooCommerce Salesforce Entegrasyonu

Eklenti: WooCommerce Salesforce Entegrasyonu
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.5.9
Önem : Yüksek

16. Yerçekimi Zendesk'i Biçimlendirir

Eklenti: Yerçekimi Formları Zendesk
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.8
Önem : Yüksek

17. WP Infusionsoft WooCommerce Eklentisi

Eklenti: WP Infusionsoft WooCommerce Eklentisi
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.9
Önem : Yüksek

18. İletişim Formu 7 ve ActiveCampaign için Entegrasyon

Eklenti: İletişim Formu 7 ve ActiveCampaign için Entegrasyon
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.4
Önem : Yüksek

19. HubSpot ve WooCommerce için Entegrasyon

Eklenti: HubSpot ve WooCommerce için Entegrasyon
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.5
Önem : Yüksek

20. Yerçekimi Formları FreshDesk Eklentisi

Eklenti: Yerçekimi Formları FreshDesk Eklentisi – WordPress eklentisi | WordPress.org
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.2.9
Önem : Yüksek

21. Yerçekimi Formları Dinamikleri CRM

Eklenti: Gravity Forms Dynamics CRM
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.8
Önem : Yüksek

22. Yerçekimi Formları Sabit İletişim Eklentisi

Eklenti: Yerçekimi Formları Sabit İletişim Eklentisi
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.6
Önem : Yüksek

23. Yerçekimi Formları ve Pipedrive için Entegrasyon

Eklenti: Yerçekimi Formları ve Pipedrive için Entegrasyon
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.7
Önem : Yüksek

24. WP Gravity Formları Anlayışlı Bir Şekilde

Eklenti: WP Gravity Forms Insightly
Güvenlik Açığı : CRM Avantajlarından Birden Çok Eklenti - Yansıtılan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.0.7
Önem : Yüksek

25. WordPress Kaldırma

Eklenti: WordPress Kaldırma
Güvenlik Açığı : CSRF ile WordPress Silme
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Yüksek

26. CF Coğrafi Eklentisi

Eklenti: CF Geo Eklentisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Yamalı Sürüm : 7.13.12
Önem : Yüksek

27. yapım aşamasında

Eklenti: yapım aşamasında
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 1.19
Önem : Yüksek

28. DZS Yakınlaştırma Sesleri

Eklenti: DZS Zoomsounds
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosya İndirme
Yamalı Sürüm : 6.50
Önem : Yüksek

29. WooCommerce Dinamik Fiyatlandırma ve İndirimler

Eklenti: WooCommerce Dinamik Fiyatlandırma ve İndirimler
Güvenlik Açığı : Kimliği Doğrulanmamış Ayarları Depolanan XSS'ye Aktarma
Sürümde Yamalı : 2.4.2
Önem : Yüksek

Eklenti: WooCommerce Dinamik Fiyatlandırma ve İndirimler
Güvenlik Açığı : Kimliği Doğrulanmamış Ayarları Dışa Aktarma
Sürümde Yamalı : 2.4.2
Önem : Orta

30. Yazılım Lisans Yöneticisi

Eklenti: Yazılım Lisans Yöneticisi
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 4.5.0
Önem : Düşük

31. MotoPress'ten Zaman Çizelgesi ve Etkinlik Programı

Eklenti: MotoPress'ten Zaman Çizelgesi ve Etkinlik Takvimi
Güvenlik Açığı : Yazar+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 2.3.19
Önem : Orta

32. Kolay Sosyal Simgeler

Eklenti: Kolay Sosyal Simgeler
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 3.1.0
Önem : Yüksek

33. QRCode ile Bağış Yapın

Eklenti: QRCode ile Bağış Yapın
Güvenlik Açığı : Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 1.4.5
Önem : Orta

Eklenti: QRCode ile Bağış Yapın
Güvenlik Açığı : Eklentinin CSRF aracılığıyla Ayar Güncellemesi
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem : Orta

34. XO Etkinlik Takvimi

Eklenti: XO Etkinlik Takvimi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 2.3.7
Önem : Yüksek

35. Watu Testi

Eklenti: Watu Quizz
Güvenlik Açığı : Soru-form.html.php aracılığıyla yansıtılan XSS
Sürümde Yamalı : 3.1.2.6
Önem : Yüksek

36. Gutenberg Şablon Kütüphanesi ve Redux Çerçevesi

Eklenti: Gutenberg Şablon Kitaplığı ve Redux Çerçevesi
Güvenlik Açığı : Contributor+ Keyfi Eklenti Kurulumu ve Silme Sonrası
Sürümde Yamalı : 4.2.13
Önem : Yüksek

37. Miyav Galerisi

Eklenti: Miyav Galerisi
Güvenlik Açığı : REST API aracılığıyla Yetkisiz İsteğe Bağlı Seçenek Güncellemesi
Sürümde Yamalı : 4.2.0
Önem : Yüksek

Eklenti: Miyav Galerisi
Güvenlik Açığı : Contributor+ SQL Injection
Sürümde Yamalı : 4.1.9
Önem : Yüksek

38. WP Mapa Politico Espana

Eklenti: WP Mapa Politico Espana
Güvenlik Açığı : Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 3.7.0
Önem : Düşük

39. WP Yükleme Kısıtlaması

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : getSelectedMimeTypesByRole'da Eksik Erişim Denetimi
Yamalı Sürüm : 2.2.5
Önem : Orta

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : deleteCustomType'ta Eksik Erişim Denetimi
Yamalı Sürüm : 2.2.5
Önem : Orta

Eklenti: WP Yükleme Kısıtlaması
Güvenlik Açığı : Kimliği Doğrulanmış Depolanmış XSS
Yamalı Sürüm : 2.2.5
Önem : Orta

WordPress Tema Güvenlik Açıkları

Sorumlu Açıklama Üzerine Bir Not

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile , araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir Sıfır-Gün güvenlik açığı - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır. Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.

1. iThemes Security Pro Site Tarayıcısını açın

iThemes Security Pro eklentisinin Site Tarayıcısı, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni için tarama yapar: eski eklentiler ve bilinen güvenlik açıklarına sahip temalar. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir düzeltme eki uygular.

Yeni yüklemelerde Site Taramasını etkinleştirmek için eklentinin içindeki Özellikler menüsündeki Site Kontrolü sekmesine gidin ve Site Taramasını etkinleştirmek için düğmeyi tıklayın.

Manuel Site Taramasını tetiklemek için Site Scan Security Dashboard kartındaki Şimdi Tara düğmesine tıklayın.

Site Taraması bir güvenlik açığı tespit ederse, ayrıntılar sayfasını görüntülemek için güvenlik açığı bağlantısını tıklayın.

Site Tarama güvenlik açığı sayfasında, güvenlik açığı için bir düzeltme olup olmadığını göreceksiniz. Kullanılabilir bir yama varsa, düzeltmeyi web sitenize uygulamak için Eklentiyi Güncelle düğmesini tıklayabilirsiniz.

2. Güvenlik Açığını Düzeltirse Sürüm Yönetimini Otomatik Güncellemek İçin Açın

iThemes Security Pro'daki Sürüm Yönetimi özelliği, eski yazılımlar yeterince hızlı güncellenmediğinde sitenizi korumak için Site Tarama ile entegre olur. Web sitenizde savunmasız yazılım çalıştırıyorsanız, en güçlü güvenlik önlemleri bile başarısız olur. Bu ayarlar, bilinen bir güvenlik açığı varsa ve bir yama varsa yeni sürümlere otomatik olarak güncelleme seçenekleriyle sitenizin korunmasına yardımcı olur.

iThemes Security Pro'daki Ayarlar sayfasından Özellikler ekranına gidin. Site Kontrolü sekmesine tıklayın. Buradan Sürüm Yönetimini etkinleştirmek için geçiş düğmesini kullanın. Ayarlar dişli kutusunu kullanarak, iThemes Security Pro'nun WordPress güncellemelerini, eklentileri, temaları ve ek korumayı nasıl işlemesini istediğiniz de dahil olmak üzere daha da fazla ayarı yapılandırabilirsiniz.

Bir Güvenlik Açığını Düzeltirse Otomatik Güncelleme kutusunu seçtiğinizden emin olun, böylece iThemes Security Pro, Site Tarayıcı tarafından bulunan bir güvenlik açığını düzeltirse bir eklentiyi veya temayı otomatik olarak güncelleyecektir.

3. iThemes Security Pro, Sitenizde Bilinen Bir Güvenlik Açığı Bulduğunda E-posta Uyarısı Alın

Site Tarama Planlamasını etkinleştirdikten sonra, eklentinin Bildirim Merkezi ayarlarına gidin. Bu ekranda Site Tarama Sonuçları bölümüne gidin.

Bildirim e-postasını etkinleştirmek için kutuyu tıklayın ve ardından Ayarları Kaydet düğmesini tıklayın .

Artık, herhangi bir planlanmış site taraması sırasında, iThemes Security Pro bilinen herhangi bir güvenlik açığını keşfederse bir e-posta alacaksınız. E-posta böyle bir şeye benzeyecek.

iThemes Security Pro'yu Edinin ve Bu Gece Biraz Daha Kolay Dinlenin

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra güvenlik katmanları ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.