WordPress Güvenlik Açığı Özeti: Ekim 2019, 2. Bölüm
Yayınlanan: 2019-10-30Ekim ayının ikinci yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu nedenle sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.
WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:
- 1. WordPress çekirdeği
- 2. WordPress eklentileri
- 3. WordPress temaları
- 4. Web'den kaynaklanan ihlaller
*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.
Not: Aşağıda listelenen Ekim 2019'un ikinci bölümü için Güvenlik Açığı Özet Tablosuna geçebilirsiniz.
WordPress Temel Güvenlik Açıkları
WordPress Eklenti Güvenlik Açıkları
Bu Ekim ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.
1. Hepsi Bir Arada SEO Paketi
All In One SEO Pack sürüm 3.2.6 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır. Saldırganın, güvenlik açığından yararlanmak için kimliği doğrulanmış bir kullanıcı kullanması gerekir. Saldırgan bir yönetici kullanıcıya erişim kazanırsa, PHP kodunu çalıştırabilir ve sunucunun güvenliğini tehlikeye atabilir.
Yapmanız Gerekenler
2. Kırık Bağlantı Denetleyicisi
Bozuk Bağlantı Denetleyicisi sürüm 1.11.8 ve altı, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
3. Etkinlik Yöneticisi
Events Manager sürüm 5.9.5 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
4. AB Çerez Yasası
AB Çerez Yasası sürüm 3.0.6 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın eklentideki Yazı Tipi Rengi, Arka Plan Rengi ve "Çerez'i Devre Dışı Bırak" Metin ayarlarını değiştirmek için isteğe bağlı HTML ve Javascript eklemesine olanak tanır.
Yapmanız Gerekenler
5. Hızlı Hız Küçült
Fast Velocity Minify sürüm 2.7.6 ve altı, kimliği doğrulanmış bir saldırganın WordPress kurulumunun tam kök yolunu keşfetmesine izin verecek bir güvenlik açığına sahiptir. Tam Yol Güvenlik Açığı kendi başına kritik değildir. Bununla birlikte, kök yolunu bilmek, bir saldırgana diğer daha ciddi güvenlik açıklarından yararlanmak için gerekli bilgileri verecektir.
Yapmanız Gerekenler
6. SyntaxHighlighter Geliştirildi
SyntaxHighlighter Evolved sürüm 3.5.0 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
7. WP HTML Postası
WP HTML Mail sürüm 2.9.0.3 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
8. Dilimlenmiş Faturalar
Sliced Invoices sürüm 3.8.2 ve altı, birden çok güvenlik açığına sahiptir. Güvenlik açıkları arasında Kimliği Doğrulanmış SQL Enjeksiyonu, Kimliği Doğrulanmış Yansıtılmış Siteler Arası Komut Dosyası Oluşturma, faturalara erişime izin veren Kimliği Doğrulanmamış Bilgi Açıklaması ve Siteler Arası İstek Sahteciliği ve Kimlik Doğrulama kontrollerinin olmaması yer alır.
Yapmanız Gerekenler
9. Zoho CRM Kurşun Mıknatıs Eklentisi
Zoho CRM Lead Magnet Plugin 1.6.9 sürümü, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır. Güvenlik açığı, bir saldırganın kullanıcının tarayıcısında kötü amaçlı kod yürütmesine olanak tanır.
Yapmanız Gerekenler
10. Yazar Hakkında
Yazar hakkında 1.3.9 sürümü ve altı, Kimlik Doğrulamalı Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
11. E-posta Şablonları
E-posta Şablonları sürüm 1.3 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
12. Köstebek
Groundhogg sürüm 1.3.11.3 ve altı, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
13. WP E-posta Şablonu
WP E-posta Şablonu sürüm 2.2.10 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress Temaları
14. İş Başında
InJob sürüm 3.3.7 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yapmanız Gerekenler
WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?
Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.
Otomatik Güncellemeler Yardımcı Olabilir
Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.
iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.
Sürüm Yönetimi Güncelleme Seçenekleri
- WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
- Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
- Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
- Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.
Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
- Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC geri pingleri ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
- Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
- E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.
Web Çevresindeki İhlaller
1. NGINX Sunucularında PHP Uzaktan Kod Yürütme Güvenlik Açığı
Sitelerinizden biri PHP-FPM'nin etkin olduğu bir NGINX sunucusundaysa, Uzaktan Kod Yürütme saldırısına karşı savunmasız olabilirsiniz.
Sunucunuzun PHP 7.3.11, 7.2.24 veya 7.1.33'ün bu yamalı sürümlerinden birini çalıştırdığından emin olmak için hemen sunucunuza ulaşmalısınız.
WordPress Güvenlik Açıklarının Özeti
Ekim 2019, 2. Bölüm
All In One SEO Pack sürüm 3.2.6 ve altı, Depolanan Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Bozuk Bağlantı Denetleyicisi sürüm 1.11.8 ve altı, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Events Manager sürüm 5.9.5 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
AB Çerez Yasası sürüm 3.0.6 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Fast Velocity Minify sürüm 2.7.6 ve altı, kimliği doğrulanmış bir saldırganın WordPress kurulumunun tam kök yolunu keşfetmesine izin verecek bir güvenlik açığına sahiptir.
SyntaxHighlighter Evolved sürüm 3.5.0 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
WP HTML Mail sürüm 2.9.0.3 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Sliced Invoices sürüm 3.8.2 ve altı, birden çok güvenlik açığına sahiptir. Güvenlik açıkları arasında Kimliği Doğrulanmış SQL Enjeksiyonu, Kimliği Doğrulanmış Yansıtılmış Siteler Arası Komut Dosyası Oluşturma, faturalara erişime izin veren Kimliği Doğrulanmamış Bilgi Açıklaması ve Siteler Arası İstek Sahteciliği ve Kimlik Doğrulama kontrollerinin olmaması yer alır.
Zoho CRM Lead Magnet Plugin 1.6.9 sürümü, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
Yazar hakkında 1.3.9 sürümü ve altı, Kimlik Doğrulamalı Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.
E-posta Şablonları sürüm 1.3 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Groundhogg sürüm 1.3.11.3 ve altı, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyon saldırısına karşı savunmasızdır.
WP E-posta Şablonu sürüm 2.2.10 ve altı, bir HTML Enjeksiyon saldırısına karşı savunmasızdır.
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir + 31 Ekim'e Kadar %35 İndirim Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Güvenliğini Alın
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
