WordPress Güvenlik Açığı Özeti: Şubat 2021, 1. Bölüm
Yayınlanan: 2021-02-10Şubat ayının ilk yarısında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.
WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.
Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Önem dereceleri, Ortak Güvenlik Açığı Puanlama Sistemini temel alır.
WordPress Temel Güvenlik Açıkları
WordPress Eklenti Güvenlik Açıkları
1. uListing – Kritik
1.7'nin altındaki uListing sürümleri, Kimliği Doğrulanmamış SQL Enjeksiyonları, Kimliği Doğrulanmamış Keyfi Hesap Oluşturma ve Kimliği Doğrulanmamış WordPress Seçenekleri Değişikliği dahil olmak üzere birden çok güvenlik açığına sahiptir.
2. Süper Formlar – Kritik
4.9.703'ün altındaki Super Forms sürümlerinde Kimliği Doğrulanmamış PHP Dosyasını RCE'ye Yükleme güvenlik açığı vardır.
3. Modern Etkinlik Takvimi Lite – Kritik
5.16.5'in altındaki Modern Events Calendar Lite sürümlerinde, Uzaktan Kod Yürütme güvenlik açığına yol açan Kimliği Doğrulanmış İsteğe Bağlı Dosya Yükleme dahil olmak üzere birden çok sorun vardır.
4. Fildişi Arama - Orta
4.5.11'in altındaki Ivory Search sürümlerinde, Kimliği Doğrulanmış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
5. WP Editörü – Kritik
1.2.7'nin altındaki WP Düzenleyici sürümlerinde Kimliği Doğrulanmış SQL Enjeksiyon güvenlik açığı bulunur.
6. MStore API – Yüksek
3.2.0'ın altındaki MStore API sürümlerinde, Apple ile Oturum Açma ile Kimlik Doğrulama Atlaması bulunur.
7. Açılır Pencere Oluşturucu – Orta
3.74'ün altındaki Popup Builder sürümlerinde Kimliği Doğrulanmış Yansıtmalı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
8. Hediye Çeki – Kritik
Hediye Kuponunun tüm sürümlerinde Kimliği Doğrulanmamış Kör SQL Enjeksiyonu güvenlik açığı bulunur.
9. İsim Dizini – Orta
1.18'in altındaki Ad Dizini sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
10. İletişim Formu 7 Stil – Yüksek
İletişim Formu 7 Stili'nin tüm sürümlerinde, Depolanan Siteler Arası Komut Dosyası Çalıştırma için Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
11. Nihai GDPR ve CCPA Uyumluluk Araç Seti – Kritik
2.5'in altındaki Ultimate GDPR ve CCPA Uyumluluk Araç Seti sürümleri, Kötü Amaçlı Yeniden Yönlendirme güvenlik açığına yol açan Kimliği Doğrulanmamış Eklenti Ayarlarını Dışa Aktarma ve İçe Aktarma.
12. Düğme Derecelendirmesini beğendiniz mi? LikeBtn – Yüksek
Düğme Derecelendirmesini beğendiniz mi? 2.6.32'nin altındaki LikeBtn sürümlerinde Kimliği Doğrulanmamış Keyfi Blog Ayarları Değişikliği ve Kimliği Doğrulanmamış Tam Okuma SSRF güvenlik açıkları bulunur.
13. Ücretli Üyelik Pro – Orta
2.5.3'ün altındaki Ücretli Üyelik Pro sürümlerinde, Yetkisiz Sipariş Bilgilerinin Açıklanmasına yol açan bir Kimlik Doğrulama Atlama güvenlik açığı bulunur.
14. Supsystic ile Yedekleme – Kritik
Backup by Supsystic'in tüm sürümlerinde Yerel Dosya Ekleme güvenlik açığı vardır.
15. Supsystic'ten İletişim Formu – Kritik
Contact Form by Supsystic'in tüm sürümlerinde Kimliği Doğrulanmış SQL Enjeksiyon güvenlik açığı vardır.
16. Supsystic - Critical tarafından Veri Tabloları Oluşturucu
Data Tables Generator by Supsystic by Supsystic'in tüm sürümlerinde Authenticated SQL Injection güvenlik açığı vardır.
17. Supsystic'ten Dijital Yayınlar – Medium
Digital Publications by Supsystic'in tüm sürümlerinde, Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
18. Supsystic Üyeliği – Kritik
Üyelik by Supsystic'in tüm sürümlerinde Authenticated SQL Injection güvenlik açığı bulunur.
19. Supsystic'ten Bülten – Kritik
Newsletter by Supsystic'in tüm sürümlerinde Authenticated SQL Injection güvenlik açığı bulunur.
20. Supsystic'e Göre Fiyatlandırma Tablosu - Kritik
Pricing Table by Supsystic'in tüm sürümlerinde Kimliği Doğrulanmış SQL Enjeksiyon güvenlik açığı vardır.
21. Supsystic'ten Nihai Haritalar – Kritik
Tüm sürümlerinde Ultimate Maps by Supsystic Authenticated SQL Injection güvenlik açığı bulunur.
22. NextGen Galerisi – Kritik
3.5.0'ın altındaki NextGen Gallery sürümlerinde CSRF, Dosya Yükleme, Stored XSS ve RCE güvenlik açıkları bulunur.
23. Google Haritalar için Harita Bloğu – Orta
1.32'nin altındaki Google Haritalar için Harita Bloğu sürümleri, Yetkisiz Google API Anahtarı değişikliğine yol açan bir Bozuk Erişim Kontrolü güvenlik açığına sahiptir.
WordPress Tema Güvenlik Açıkları
1. Wyzi – Orta
2.4.3'ün altındaki Wyzi sürümlerinde Yansıtılan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
2. Çoklu Paralel Temalar – Orta
2.0'ın altındaki Çoklu Parallelus Temaları sürümlerinde, Yansıtılan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
Şubat Güvenlik İpucu: Neden Web Sitesi Güvenlik Etkinliğini Günlüğe Kaydetmelisiniz?
Güvenlik günlüğü, WordPress güvenlik stratejinizin önemli bir parçası olmalıdır. Niye ya?
Yetersiz günlük kaydı ve izleme, bir güvenlik ihlalinin tespit edilmesinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor!Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir. Bu nedenle, “yetersiz günlük kaydı”, OWASP web uygulaması güvenlik risklerinin ilk 10'unda yer aldı.
WordPress güvenlik günlükleri, genel güvenlik stratejinizde size yardımcı olan çeşitli avantajlara sahiptir:
- Kimlik ve kötü niyetli davranışı durdurun.
- Sizi bir ihlal konusunda uyarabilecek spot aktivite.
- Ne kadar hasar verildiğini değerlendirin.
- Saldırıya uğramış bir sitenin onarımında yardım.
Siteniz saldırıya uğrarsa, hızlı bir araştırma ve kurtarma işlemine yardımcı olacak en iyi bilgilere sahip olmak isteyeceksiniz.
İyi haber şu ki, iThemes Security Pro web sitesi günlüğü uygulamanıza yardımcı olabilir. iThemes Security Pro'nun WordPress güvenlik günlükleri, tüm bu web sitesi etkinliklerini sizin için izler:
- WordPress Brute Force Saldırıları
- Dosya Değişiklikleri
- Kötü Amaçlı Yazılım Taramaları
- Kullanıcı Etkinliği
Günlüklerinizdeki istatistikler, WordPress yönetici kontrol panelinizden görüntüleyebileceğiniz gerçek zamanlı bir WordPress güvenlik panosunda görüntülenir.
iThemes Security Pro'yu kullanarak web sitenize WordPress güvenlik günlükleri eklemenin tüm adımlarını açtığımız bu özellik spot yazısına göz atın.
Nasıl çalıştığını gör
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
