WordPress Güvenlik Açığı Özeti: Kasım 2020, 1. Bölüm

Yayınlanan: 2021-03-10

Kasım ayının ilk yarısında epeyce yeni WordPress eklentisi ve tema güvenlik açığı açıklandı. Bu gönderi, en son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.

Kasım, Bölüm 1 Raporunda

    WordPress Temel Güvenlik Açıkları

    WordPress 5.5.2, 29 Ekim'de piyasaya sürüldü ve 10 WordPress temel güvenlik düzeltmesi içeriyordu.

    İşte WordPress 5.5.2 yayın gönderisinde bahsedilen güvenlik düzeltmelerinin listesi.

    • Sertleştirilmiş seri durumdan çıkarma istekleri.
    • Çok siteli bir ağda devre dışı bırakılmış sitelerden gelen spam yerleştirmelerini devre dışı bırakmak için düzeltme .
    • Global değişkenlerden XSS'ye yol açabilecek bir güvenlik sorunu düzeltildi.
    • XML-RPC'de bir ayrıcalık yükseltme sorunu düzeltildi.
    • XML-RPC aracılığıyla yorum yazımı sırasında ayrıcalık artışıyla ilgili bir sorun düzeltildi.
    • Bir DoS saldırısının RCE'ye yol açabileceği bir güvenlik sorunu düzeltildi.
    • XSS'yi post sümüklü böceklerinde depolamak için bir yöntem kaldırıldı.
    • Rasgele dosya silmeye yol açabilecek korumalı metayı atlamak için kaldırılan yöntem.
    • CSRF'ye yol açabilecek bir yöntem kaldırıldı.
    Güvenlik açıkları düzeltildi, bu nedenle WordPress'i 5.5.2 sürümüne güncelleyin.

    WordPress Eklenti Güvenlik Açıkları

    1. SW Ajax WooCommerce Arama

    1.2.8'in altındaki SW Ajax WooCommerce Search sürümlerinde Kimliği Doğrulanmamış Yansıtılmış XSS ve XFS güvenlik açıkları bulunur.

    Güvenlik açığı yamalı ve 1.2.8 sürümüne güncellemeniz gerekir.

    2. AccessPress Sosyal Simgeleri

    1.8.1'in altındaki AccessPress Social Icons sürümlerinde Kimliği Doğrulanmış SQL Enjeksiyon güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 1.8.1 sürümüne güncelleme yapmalısınız.

    3. GDPR CCPA Uyumluluk Desteği

    2.4'ün altındaki GDPR CCPA Uyumluluk Desteği sürümlerinde Kimliği Doğrulanmamış PHP Nesne Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.4 sürümüne güncellemelisiniz.

    4. Artırılmış Gerçeklik

    Artırılmış Gerçekliğin tüm sürümlerinde, RCE güvenlik açığına yol açan Kimliği Doğrulanmamış PHP Dosya Yüklemesi vardır.

    Bir güvenlik düzeltmesi yayınlanana kadar eklentiyi kaldırın.

    5. Welcart e-Ticaret

    1.9.36'nın altındaki Welcart e-Ticaret sürümlerinde Kimliği Doğrulanmış PHP Nesne Enjeksiyonu güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.9.36 sürümüne güncelleme yapmalısınız.

    6. WooCommerce

    4.6.2'nin altındaki WooCommerce sürümlerinde Konuk Hesabı Oluşturma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 4.6.2 sürümüne güncellemeniz gerekir.

    7. WooCommerce Blokları

    3.7.1'in altındaki WooCommerce Blocks sürümlerinde Konuk Hesabı Oluşturma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 3.7.1 sürümüne güncellemeniz gerekir.

    8. WooCommerce için Terk Edilmiş Sepet Lite

    5.8.3'ün altındaki WooCommerce için Abandoned Cart Lite sürümlerinde Kimliği Doğrulanmamış SQL Enjeksiyon güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 5.8.3 sürümüne güncellemeniz gerekir.

    9. WP Etkinlik Günlüğü

    4.1.5'in altındaki WP Etkinlik Günlüğü sürümlerinde, Harici Veritabanı Modülünde SQL Enjeksiyonu güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 4.1.5 sürümüne güncellemeniz gerekir.

    10. Nihai Üye

    2.1.12'nin altındaki Ultimate Üye sürümleri, Kullanıcı Rolleri, Profil Güncellemesi ve Kullanıcı Meta güvenlik açıkları aracılığıyla Kimliği Doğrulanmamış Ayrıcalık Yükseltmesine sahiptir.

    Güvenlik açığı düzeltildi ve 2.1.12 sürümüne güncelleme yapmalısınız.

    11. Nihai İncelemeler

    2.1.33'ün altındaki Ultimate Reviews sürümlerinde Kimliği Doğrulanmamış PHP Nesne Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.1.33 sürümüne güncelleme yapmalısınız.

    WordPress Tema Güvenlik Açıkları

    1. Yeşil Mart

    2.4.3'ün altındaki GreenMart sürümlerinde, Yansıtılan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 2.4.3 sürümüne güncelleme yapmalısınız.

    Kasım Güvenlik İpucu: Neden Bir WordPress Güvenlik Günlüğüne İhtiyacınız Var?

    Günlük kaydı, WordPress güvenlik stratejinizin önemli bir parçasıdır. Yetersiz günlük kaydı ve izleme, bir güvenlik ihlalinin tespitinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor! Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir. Yetersiz Günlüğe Kaydetme, bu nedenlerle OWASP web uygulaması güvenlik risklerinin ilk 10'unda yer aldı.

    Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor!

    WordPress güvenlik günlüklerinin genel güvenlik stratejinizde çeşitli avantajları vardır.

    1. Kimlik ve kötü niyetli davranışı durdurun.
    2. Sizi bir ihlal konusunda uyarabilecek spot aktivite.
    3. Ne kadar hasar verildiğini değerlendirin.
    4. Saldırıya uğramış bir sitenin onarımında yardımcı olun.

    Siteniz saldırıya uğrarsa, hızlı bir araştırma ve kurtarma işlemine yardımcı olacak en iyi bilgilere sahip olmak isteyeceksiniz.

    WordPress Güvenlik Günlükleri nedir?

    iThemes Security Pro'daki WordPress Güvenlik Günlükleri, web sitenizde meydana gelen önemli güvenlik olaylarını takip eder. Bu olayların, bir güvenlik ihlalinin meydana gelip gelmediğini veya ne zaman meydana geldiğini belirtmek için izlenmesi önemlidir.

    Web sitenizin güvenlik günlükleri, herhangi bir güvenlik stratejisinin hayati bir parçasıdır. Bu kayıtlarda bulunan bilgiler, kötü oyuncuları kilitlemek, sitede istenmeyen bir değişikliği vurgulamak ve başarılı bir saldırının giriş noktasını belirleyip düzeltmeye yardımcı olmak için kullanılabilir.

    Web Sitenize WordPress Güvenlik Günlükleri Nasıl Eklenir?

    Web sitenize güvenlik günlüğü eklemenin en kolay yolu, iThemes Security Pro gibi bir eklenti kullanmaktır. iThemes Security Pro yüklenip etkinleştirilir kurulmaz, web sitenizde meydana gelen önemli güvenlik etkinliklerini izlemeye ve kaydetmeye başlayacaktır.

    wordpress güvenlik günlükleri eklentisi

    iThemes Security Pro daha sonra günlüklerinizdeki verileri gerçek zamanlı bir WordPress güvenlik panosuna dönüştürür, böylece sitenizde gerçekleşen tüm güvenlik etkinliklerini daha iyi görebilirsiniz.

    Hangi güvenlik olaylarını izlemeniz gerektiğini ve bunları nasıl kaydedeceğinizi öğrenmek için WordPress güvenlik günlükleriyle ilgili yayınımıza göz atın.

    Nasıl çalıştığını gör

    Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu edinin

    güvenlik açığı toplama