WordPress Güvenlik Açığı Özeti: Aralık 2019
Yayınlanan: 2020-01-16Aralık ayının ilk yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu yüzden sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.
WordPress Güvenlik Açığı Özeti dört farklı kategoriye ayrılmıştır:
- 1. WordPress çekirdeği
- 2. WordPress eklentileri
- 3. WordPress temaları
- 4. Web'den kaynaklanan ihlaller
Not: Aşağıda listelenen Aralık 2019'un ilk bölümü için Güvenlik Açığı Özet Tablosuna geçebilirsiniz.
WordPress Temel Güvenlik Açıkları
WordPress 5.3.1 Güvenlik ve Bakım Sürümü
WordPress ekibi kısa süre önce WordPress sürüm 5.3'teki üç güvenlik açığını açıkladı:
- Ayrıcalıksız kullanıcılar, REST API aracılığıyla bir gönderiyi yapışkan hale getirebilir.
- Siteler Arası Komut Dosyası güvenlik açığı bağlantılarda saklanabilir.
- Blok düzenleyici içeriği kullanılarak depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı.
Daha fazla ayrıntı, WordPress 5.3.1 Güvenlik ve Bakım Sürümü gönderisinde bulunabilir.
Yapmanız Gerekenler
WordPress Eklenti Güvenlik Açıkları
Bu ay şu ana kadar birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. WP Yazım Denetimi
WP Yazım Denetimi sürüm 7.1.9 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
2. CSS Kahramanı
CSS Hero sürüm 4.03 ve altı, Authenticated Reflected XSS saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
3. Beaver Builder için Ultimate Eklentiler
Beaver Builder sürüm 1.24.0 ve altı için Ultimate Eklentiler, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
4. Elementor için Nihai Eklentiler
Elementor sürüm 1.20.0 ve altı için Ultimate Eklentiler, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
5. Scoutnet Kalender
Scoutnet Kalender sürümleri 1.1.0 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress Temaları
1. Büyülemek
Mesmerize 1.6.89 ve altı sürümleri, Doğrulanmış Seçenekler Güncelleme güvenlik açığına sahiptir.
Yapmanız Gerekenler
2. Materyal
Materialis sürümleri 1.0.172 ve altı, Doğrulanmış Seçenekler Güncellemesi güvenlik açığına sahiptir.
Yapmanız Gerekenler
3. ListelemePro
ListingPro sürüm 2.0.14.2 ve altı, Yansıtılan ve Kalıcı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahiptir.
Yapmanız Gerekenler
4. Süper Liste
Superlist sürümleri 2.9.2 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik Güncellemeler Yardımcı Olabilir
Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.
Sürüm Yönetimi Güncelleme Seçenekleri
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
- Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC geri pingleri ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Birden Fazla WP Sitesini Yönetmek mi? Eklentileri, Temaları ve Çekirdeği iThemes Sync Dashboard'dan Bir Anda Güncelleyin
iThemes Sync, birden fazla WordPress sitesini yönetmenize yardımcı olacak merkezi panomuzdur. Senkronizasyon panosundan, tüm siteleriniz için mevcut güncellemeleri görüntüleyebilir ve ardından tek tıklamayla eklentileri, temaları ve WordPress çekirdeğini güncelleyebilirsiniz . Ayrıca yeni bir sürüm güncellemesi mevcut olduğunda günlük e-posta bildirimleri alabilirsiniz.
Web Çevresindeki İhlaller
WordPress ekosistemi dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
1. Halka Kamera Hileleri
Ne yazık ki, bazı aileler Ring cihazları saldırıya uğradıktan sonra taciz olayları bildiriyor. Canlı bir yayını uzaktan izlemenize izin veren herhangi bir güvenlik kamerası kullanıyorsanız, bilgisayar korsanlarının Ring Kameralarına nasıl girdiğini bilmelisiniz.
Bir Ring sözcüsüne göre, bu hack raporları izole edildi ve Ring Security'nin saldırıya uğraması veya ihlal edilmesiyle ilgili değildi. Bu harika bir haber ve bu, saldırıların muhtemel suçlusunun 2FA kullanmayan zayıf parolalar olduğu anlamına geliyor. Kötü niyetli bir bot, biri başarılı olana kadar rastgele bir kullanıcı adı ve şifre kombinasyonu denediğinde ve hesabınıza erişebildiğinde kaba kuvvet saldırısı.
Neyse ki bizim için hesaplarınızı kaba kuvvet saldırısından korumak oldukça kolaydır. Google güvenlik araştırmalarına göre, iki faktörlü kimlik doğrulamanın kullanılması bot saldırılarının %100'ünü durduracaktır. güçlü bir parola ve iki faktörlü kimlik doğrulama kullanarak aile.
WordPress Güvenlik Açıklarının Özeti
Aralık 2019, Bölüm 1
WP Yazım Denetimi sürüm 7.1.9 ve altı, Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır.
Beaver Builder sürüm 1.24.0 ve altı için Ultimate Eklentiler, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.
Elementor sürüm 1.20.0 ve altı için Ultimate Eklentiler, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.
CSS Hero sürüm 4.03 ve altı, Authenticated Reflected XSS saldırısına karşı savunmasızdır.
Scoutnet Kalender sürümleri 1.1.0 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Kullanıcıları CSV sürüm 1.3'e ve önceki sürümlere Aktar, Yetkisiz CSV Erişimi güvenlik açığına sahiptir.
Mesmerize 1.6.89 ve altı sürümleri, Doğrulanmış Seçenekler Güncelleme güvenlik açığına sahiptir.
Materialis sürümleri 1.0.172 ve altı, Doğrulanmış Seçenekler Güncellemesi güvenlik açığına sahiptir.
Süper liste sürümleri 2.9.2 ve altı, Depolanan Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
ListingPro sürüm 2.0.14.2 ve altı, Yansıtılmış ve Kalıcı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahiptir.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Güvenliğini Alın
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
