WordPress Güvenlik Açığı Özeti: Aralık 2020, 2. Bölüm

Yayınlanan: 2020-12-23

Aralık ayının ikinci yarısında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.

Aralık, Bölüm 2 Raporunda

    WordPress Temel Güvenlik Açıkları

    Bu ay hiçbir yeni WordPress temel güvenlik açığı açıklanmadı.

    WordPress çekirdeğinin en son sürümü şu anda 5.6. En iyi WordPress güvenliği uygulaması olarak, WordPress çekirdeğinin en son sürümünü çalıştırdığınızdan emin olun.

    WordPress Eklenti Güvenlik Açıkları

    1. Dalış Kitabı

    1.1.4'ün altındaki DiveBook sürümlerinde Uygunsuz Yetkilendirme Kontrolü, Kimliği Doğrulanmamış SQL Enjeksiyonu ve Kimliği Doğrulanmamış Yansıtılmış XSS güvenlik açıkları bulunur.

    Bir güvenlik düzeltmesi yayınlanana kadar eklentiyi kaldırın.

    2. Sayfacı

    1.3.5'in altındaki Pagelayer sürümlerinde Çoklu Yansıtılan Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.

    Güvenlik açığı yamalı ve 1.3.5 sürümüne güncellemeniz gerekir.

    3. Nihai Kategori Dışlayıcı

    1.2'nin altındaki Ultimate Kategori Dışlayıcı sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.2 sürümüne güncellemeniz gerekir.

    4. Dizinler Profesyonel

    1.3.46'nın altındaki Dizinler Pro sürümlerinde, Kimliği Doğrulanmış Yansıyan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.3.46 sürümüne güncellemeniz gerekir.

    5. Toplam Bakım

    1.14.10'un altındaki Toplam Bakım sürümlerinde Hassas Veri İfşası ve Kimliği Doğrulanmamış Yedek İndirme güvenlik açıkları bulunur.

    Güvenlik açığı düzeltildi ve 1.14.10 sürümüne güncelleme yapmalısınız.

    6. Redux Çerçevesi

    4.1.21'in altındaki Redux Framework sürümlerinde CSRF Nonce Validation Bypass güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 4.1.21 sürümüne güncellemeniz gerekir.

    7. İletişim Formu 7

    5.3.2'nin altındaki İletişim Formu 7 sürümleri, Sınırsız Dosya Yükleme güvenlik açığına sahiptir.

    Güvenlik açığı yamalı ve 5.3.2 sürümüne güncellemeniz gerekir.

    8. Basit Sosyal Medya Paylaşım Düğmeleri

    3.2.1'in altındaki Basit Sosyal Medya Paylaşım Düğmeleri sürümlerinde Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 3.2.1 sürümüne güncellemeniz gerekir.

    9. Envira Galeri Lite

    1.8.3.3'ün altındaki Envira Gallery Lite sürümlerinde, Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 1.8.3.3 sürümüne güncelleme yapmalısınız.

    10. Yeniden Yüklenen Giriş Denemelerini Sınırlandırın

    Oturum Açma Denemelerini Sınırla 2.16.0'ın altındaki yeniden yüklenen sürümlerde, Kimliği Doğrulanmış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma ve Oturum Açma Hızı Sınırlama Atlama güvenlik açıkları bulunur.

    Güvenlik açığı yamalı ve 2.16.0 sürümüne güncellemeniz gerekir.

    WordPress Tema Güvenlik Açıkları

    1. ListelemePro

    2.6.1'in altındaki ListingPro sürümlerinde Kimliği Doğrulanmamış Keyfi Eklenti Kurulumu/Etkinleştirmesi/Devre Dışı Bırakma ve Kimliği Doğrulanmamış Hassas Veri İfşası güvenlik açıkları bulunur.

    Güvenlik açığı düzeltildi ve 2.6.1 sürümüne güncelleme yapmalısınız.

    Aralık Güvenlik İpucu: Neden Destek İçin Evrensel Bir Kullanıcıya İhtiyacınız Var?

    Web sitenizde her yeni kullanıcı oluşturduğunuzda, bir bilgisayar korsanının yararlanabileceği başka bir giriş noktası eklersiniz. Ancak, destek ararken veya bağımsız bir yükleniciyi işe aldıktan sonra olduğu gibi, web siteniz için dışarıdan yardıma ihtiyaç duyabileceğiniz zamanlar olabilir. Web sitenize geçici yönetici erişimi eklemek için güvenli ve güvenli bir yola ihtiyacınız var.

    Web Sitenize Dışarıdan Erişim Verme: Tipik Kötü Seçenekleriniz

    Tipik olarak, web sitenize harici erişim sağlamak için iki seçeneğiniz vardır …. ve ikisi de harika değil .

    1. Yönetici Kullanıcınızın Kimlik Bilgilerini Paylaşın

    İlk ve en kötü seçeneğiniz, WordPress yönetici kullanıcınızın kullanıcı adını ve şifresini paylaşmaktır.

    Yönetici Kimlik Bilgilerinizi Paylaşmak Neden Korkunç Bir Fikirdir?

    • Azaltılmış Güvenlik – Kullanıcınızın kimlik bilgilerini paylaşırsanız, kimlik bilgilerinizi kullanan kişinin oturum açmasına izin vermek için iki faktörlü kimlik doğrulamayı devre dışı bırakmanız gerekir. Google, blogunda iki faktörlü kimlik doğrulama veya 2 adımlı doğrulama kullanmanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı. İki faktörlü kimlik doğrulamayı kısa bir süre için bile devre dışı bırakmak, web sitenizin güvenliğini büyük ölçüde azaltır.
    • Uygunsuz – Kimlik bilgilerinizi paylaşmak, şifrenizi değiştirmenizi gerektirir. Şifrenizi değiştirmeyi unutursanız, web sitenize istedikleri zaman yönetici erişimi olan bir veya daha fazla kişi vardır.

    2. Destek Teknolojisi için Ayrı Bir Kullanıcı Oluşturun

    Destek uzmanı için yepyeni bir yönetici kullanıcı oluşturmak, yönetici kimlik bilgilerinizi paylaşmaktan daha iyi olsa da, yine de harika değil.

    Destek Teknolojisi için Kullanıcı Yaratmak Neden Korkunç?

    • Artan Güvenlik Açığı – Yeni bir yönetici kullanıcı oluşturmak, istismar edilebilecek başka bir giriş noktası ekler. Geçerli bir parola politikanız yoksa, destek teknolojisi zayıf bir parola seçerek WordPress girişinizi saldırılara karşı daha savunmasız hale getirebilir.
    • Uygunsuz – Dışarıdan yardıma ihtiyacınız olduğunda yeni bir kullanıcı oluşturma sürecinden geçmek zaman alıcıdır. Yeni kullanıcıyı oluşturmanız ve ardından artık web sitenize erişmeleri gerekmediğinde kullanıcıyı silmeyi unutmayın. Kullanılmayan kullanıcıları web sitenizden kaldırmak bir WordPress güvenliği en iyi uygulamasıdır.

    Web Sitenize Dışarıdan Erişim Verme: En İyi Yol

    iThemes Security Pro Ayrıcalık Yükseltme özelliği, bir kullanıcıya geçici olarak ekstra yetenekler vermenizi sağlar.

    Ayrıcalık Yükseltme, web sitenize geçici olarak erişmesi gereken herhangi bir dış geliştiriciye veya destek teknisyenine verebileceğiniz evrensel bir kullanıcı oluşturmayı kolay ve güvenli hale getirir.

    Ayrıcalık Yükseltme ile yeni bir kullanıcı oluşturabilir ve ona Destek adını verebilir ve ona Abone kullanıcı rolü verebilirsiniz. Bir dahaki sefere web sitenize geçici erişim sağlamanız gerektiğinde, Destek kullanıcısını bir aboneden bir yöneticiye dönüştürebilirsiniz. Bunu nasıl yapacağınızı yazının ilerleyen bölümlerinde anlatacağız, ancak önce, neden Ayrıcalık Yükseltmenin web sitenize erişim sağlamanın daha iyi bir yolu olduğundan bahsedelim.

    Ayrıcalık Yükseltme Neden Daha İyidir?

    • Kolay – Web sitenize her erişim izni vermeniz gerektiğinde yeni bir kullanıcı oluşturmanız gerekmez.
    • Otomatik – Ayrıcalık yükseltme yalnızca 24 saat sürer. 24 saat dolduktan sonra, kullanıcı tüm ek ayrıcalıkları otomatik olarak kaybeder. Kullanıcıları kaldırmayı veya herhangi bir şifreyi değiştirmeyi hatırlamanız gerekmez.
    • Güvenlikten Ödün Vermeyin – Yine de bu evrensel destek kullanıcısının oturum açmak için iki faktörlü e-posta yöntemini kullanmasını isteyebilirsiniz; bu, diğer yönetici kullanıcılarınızla aynı düzeyde güvenliğe sahip olduğunuz anlamına gelir. Gerçek kullanıcı rolü bir abone olduğundan, onu web sitenizde bırakarak gerçek bir risk almazsınız.

    iThemes Security Pro'da Ayrıcalık Yükseltme Nasıl Kullanılır

    Başlamak için, güvenlik ayarlarının ana sayfasında Ayrıcalık Yükseltmeyi etkinleştirin.

    Yeni bir kullanıcı oluşturabilir ve ona Destek adını verebilir ve ona Abone kullanıcı rolü verebilirsiniz. Bir daha web sitenize geçici erişim sağlamanız gerektiğinde, Destek kullanıcınızın Profil sayfasına gidin.

    Dış destek görevlisinin yeni bir şifre talep etmesine izin vermek için e-posta adresini güncelleyin. Ardından Geçici Ayrıcalık Yükseltme ayarlarını görene kadar aşağı kaydırın. Geçici Rol Ayarla geçiş düğmesini tıklayın ve Yönetici'yi seçin. Kullanıcı artık önümüzdeki 24 saat boyunca Yönetici erişimine sahip olacak.

    24 saatin tamamına ihtiyaçları yoksa, kullanıcı profili sayfasından ayrıcalık yükseltmeyi iptal edebilirsiniz. 24 saatten fazla zamana ihtiyacınız varsa, Günler alanında ihtiyacınız olan tam gün sayısını ayarlayabilirsiniz.

    Nasıl çalıştığını gör

    Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu edinin