WordPress Güvenlik Açığı Özeti: Kasım 2019, 1. Bölüm
Yayınlanan: 2019-11-15Kasım ayının ilk yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu nedenle sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress çekirdeği
- 2. WordPress eklentileri
- 3. WordPress temaları
- 4. Web'den kaynaklanan ihlaller
*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
WordPress Çekirdek Güvenlik Güncellemesi
WordPress 5.3 bu hafta düştü, bu yüzden sitelerinizi mümkün olan en kısa sürede güncellediğinizden emin olun. İşte WordPress 5.3'teki en iyi 20 yeni özellik ve iyileştirmeye hızlı bir bakış.
WordPress Eklenti Güvenlik Açıkları
Bu Ekim ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. Güvenli SVG
Safe SVG sürüm 1.9.5 ve altı, Siteler Arası Komut Dosyası Çalıştırma Atlama saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın Safe SVG tarafından eklenen korumayı atlamasını sağlar.
Yapmanız Gerekenler
2. WooCommerce için Para Birimi Değiştirici
WooCommerce sürüm 2.11.1 için Para Birimi Değiştirici, bir saldırganın ayarlarda şu anda etkin olmayan bir para birimini etkinleştirmesine olanak tanıyan bir Güvenlik Kısıtlamalarını Atlama güvenlik açığına sahiptir.
Yapmanız Gerekenler
3. Tidio Canlı Sohbet
Tidio Canlı Sohbet sürüm 4.1 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına yol açan Siteler Arası İstek Sahteciliğine karşı savunmasızdır. Güvenlik açığı, bir saldırganın yöneticileri kandırarak tüm ziyaretçilere sunulacak kötü amaçlı bir yük eklemesine olanak tanır.
Yapmanız Gerekenler
4. IgniteUp – Çok Yakında ve Bakım Modu
IgniteUp – Çok Yakında ve Bakım Modu sürüm 3.4 ve altı birden çok güvenlik açığına sahiptir.
- Keyfi Dosya Silme
- E-posta mesajlarında HTML enjeksiyonu ve CSRF
- Depolanan Siteler Arası Komut Dosyası
- Abonelerin e-posta adresinin açıklanması
- İsteğe bağlı abone silme
- Keyfi eklentinin şablon anahtarı
Yapmanız Gerekenler
5. Blog2Social: Sosyal Medya Otomatik Gönderi ve Zamanlayıcı
Blog2Social: Social Media Auto Post & Scheduler sürüm 5.8.1 Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahiptir. Güvenlik açığı, bir saldırganın kötü niyetli bir bağlantı aracılığıyla yürütülebilecek rastgele HTML ve JavaScript kodu yürütmesine olanak tanır.
Yapmanız Gerekenler
6. WP Google İnceleme Kaydırıcısı
WP Google İnceleme Kaydırıcısı sürüm 6.1, Kimliği Doğrulanmış SQL Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
7. YITH Eklenti Çerçevesi (39 Bireysel Eklenti)
YITH WooCommerce eklentileri paketi, Kimliği Doğrulanmış Ayarlar Değişikliği saldırısına karşı savunmasızdır. Bu çizelge, 39 güvenlik açığı bulunan YITH eklentisinin tümünü özetlemektedir:
YITH Eklentisi Güvenlik Açıklarının Özeti
sürüm 2.2.14.
sürüm 2.3.15.
1.3.15.
1.3.12.
1.7.1.
1.3.21.
1.3.7 sürümü.
1.4.9 sürümü.
sürüm 1.3.6.
sürüm 1.2.11.
sürüm 1.2.13.
sürüm 1.2.1.
sürüm 1.2.1.
sürüm 1.5.23.
1.3.8 sürümü.
1.3.6 sürümüne.
1.6.3 sürümüne.
1.4.5 sürümüne.
1.1.17 sürümüne güncelleyin.
1.2.14 sürümüne güncelleyin.
1.7.5 sürümüne güncelleyin.
1.8.13 sürümüne güncelleyin.
1.1.8 sürümüne güncellemelidir.
1.1.13 sürümüne güncellemelidir.
1.3.13 sürümüne güncellemelidir.
1.2.15 sürümüne güncellemelisiniz.
2.0.2 sürümüne güncellemelisiniz.
ve sürüme güncellemelisin
1.3.11.
ve sürüme güncellemelisin
1.3.6.
yamalı ve güncellemelisiniz
1.3.6 sürümüne.
WooCommerce
yamalı ve güncellemelisiniz
1.0.12 sürümüne.
Ödeme Sağlayıcı
yamalı ve güncellemelisiniz
1.1.13 sürümüne.
yamalı ve
1.1.13 sürümüne güncelleyin.
yamalı ve
sürüme güncelle
2.1.4.
Satıcılar
yamalı ve sen
onu güncellemeli
sürüm 3.4.1.
ve Cevaplar
yamalı ve sen
onu güncellemeli
sürüm 1.2.0.
Terk edilmiş sepet
yama yapıldı,
ve yapmalısın
sürüme güncelle
1.2.0.
Şunun için ödeme yapın:
WooCommerce
yama yapıldı,
ve yapmalısın
güncelle
sürüm 1.2.6.
Bildirimler
için
WooCommerce
güvenlik açığı
oldu
yamalı ve sen
güncellemeli
sürüme
1.2.8.
WordPress Temaları
1. Zoner – Emlak Teması
Zoner Emlak Teması sürüm 4.1.1 ve altında Kalıcı Siteler Arası Komut Dosyası Çalıştırma ve Güvenli Olmayan Doğrudan Nesne Başvurusu güvenlik açıkları.
Yapmanız Gerekenler
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik Güncellemeler Yardımcı Olabilir
Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.
Sürüm Yönetimi Güncelleme Seçenekleri
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
- Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC geri pingleri ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. WordPress Kullanıcıları Kendi Sitelerine Korsan Eklentiler ve Temalar Bulaştırıyor
WordFence'e göre, WP-VCD kötü amaçlı reklam kampanyasında bir artış oldu. Bu özel kötü amaçlı yazılım, virüslü bir siteden tamamen kaldırılması çok zor olduğu için oldukça kötüdür ve sunucudaki diğer WordPress sitelerine yayılabilir. WP-VCD kötü amaçlı yazılımından etkilenen site sahipleri için en sinir bozucu kısım, kendi sitelerine bulaşmalarıdır. Ücretli eklentilerin ve temaların ücretsiz ve korsan sürümlerini yükleyen site sahipleri, umduklarından biraz daha fazlasını elde etti. Korsan yazılım, WP-VCD virüsü için bir karşılama paspasıyla bir arka kapı oluşturan kötü amaçlı kod içeriyordu.
iThemes WordPress Afet Haftası'nın 1. gününde, bir güvenlik felaketinin nasıl önleneceğini ele aldık. Ele aldığımız önemli şeylerden biri, yalnızca güvenilir kaynaklardan yazılım yükleyerek PHP istismar fırsatlarını sınırlamaktı. Kötü amaçlı yazılım bulaşmış bir siteye sahip olmak, engellenebileceğini ve engellenmesi gerektiğini bildiğinizde her zaman daha da kötüleşir.
WordPress Güvenlik Açıklarının Özeti
Kasım 2019, Bölüm 1
Safe SVG sürüm 1.9.5 ve altı, Siteler Arası Komut Dosyası Çalıştırma Atlama saldırısına karşı savunmasızdır.
WooCommerce sürüm 2.11.1 ve altı için Para Birimi Değiştirici, bir Güvenlik Kısıtlama Atlama saldırısına karşı savunmasızdır.
Tidio Canlı Sohbet sürüm 4.1 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına yol açan Siteler Arası İstek Sahteciliğine karşı savunmasızdır.
IgniteUp – Çok Yakında ve Bakım Modu 3.4 ve altı sürümlerinde birden fazla Güvenlik Açığı var.
Blog2Social: Social Media Auto Post & Scheduler sürüm 5.8.1 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
WP Google İnceleme Kaydırıcısı sürüm 6.1 ve altı, Kimliği Doğrulanmış SQL Enjeksiyon saldırısına karşı savunmasızdır.
YITH Eklenti Çerçevesi YITH WooCommerce eklentileri paketi, Kimliği Doğrulanmış Ayarlar Değişikliği saldırısına karşı savunmasızdır.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
