WordPress Güvenlik Açığı Özeti: Ekim 2020, 1. Bölüm

Yayınlanan: 2020-12-08

Ekim ayının ilk yarısında yeni WordPress eklentisi ve tema güvenlik açıkları açıklandı. Bu yazıda, son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.

Ekim, Bölüm 1 Raporunda

    WordPress Temel Güvenlik Açıkları

    Temmuz ayının ikinci yarısında açıklanan herhangi bir WordPress temel güvenlik açığı olmamıştır.

    WordPress Eklenti Güvenlik Açıkları

    1. XKloner

    4.2.15'in altındaki XCloner sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 4.2.15 sürümüne güncelleme yapmalısınız.

    2. Ninja Formları İletişim Formu

    3.4.27.1'in altındaki Ninja Forms İletişim Formu sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 3.4.27.1 sürümüne güncellemeniz gerekir.

    3. kodlayıcı

    Coditor'ın tüm sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.

    Bir güvenlik düzeltmesi yayınlanana kadar eklentiyi kaldırın.

    4. Basit: Basın

    Basit: 6.6.1'in altındaki basın sürümlerinde, Uzaktan Kod Yürütme saldırısına yol açabilecek bir Bozuk Erişim Denetimi güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 6.6.1 sürümüne güncellemeniz gerekir.

    5. WP Kursları LMS

    2.0.29'un altındaki WP Courses LMS sürümlerinde Bozuk Erişim Denetimi güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.0.29 sürümüne güncellemelisiniz.

    6. 10Web tarafından kaydırıcı

    Slider by 10Web 1.2.36'nın altındaki sürümler, Çoklu Kimlik Doğrulamalı SQL Enjeksiyon güvenlik açıklarına sahiptir.

    Güvenlik açığı yamalı ve 1.2.36 sürümüne güncellemeniz gerekir.

    7. WordPress + Microsoft Office 365 / Azure AD

    11.7'nin altındaki WordPress + Microsoft Office 365 / Azure AD sürümlerinde Kimlik Doğrulama Atlaması güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 11.7 sürümüne güncellemelisiniz.

    8. Takım Vitrini

    1.22.16'nın altındaki Team Showcase sürümlerinde, Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı yamalandı ve 1.2.2.16 sürümüne güncellemelisiniz.

    9. Izgara Sonrası

    2.0.73'ün altındaki Izgara Sonrası sürümlerinde Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.0.73 sürümüne güncellemeniz gerekir.

    10. WPBakery Sayfa Oluşturucu

    6.4.1'in altındaki WPBakery Sayfa Oluşturucu sürümlerinde, Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 6.4.1 sürümüne güncellemeniz gerekir.

    11. Hiper yorumlar

    Hypercomments Kimliği Doğrulanmamış İsteğe Bağlı Dosya Silme güvenlik açığının tüm sürümleri.

    Bir güvenlik düzeltmesi yayınlanana kadar eklentiyi kaldırın.

    12. Elementor için Dinamik İçerik

    1.9.6'nın altındaki Elementor sürümleri için Dinamik İçerik, Kimliği Doğrulanmış Uzaktan Kod Yürütme güvenlik açığına sahiptir.

    Güvenlik açığı düzeltildi ve 1.9.6 sürümüne güncelleme yapmalısınız.

    13. PowerPress Podcasting

    8.3.8'in altındaki PowerPress Podcasting sürümlerinde, Uzaktan Kod Yürütme güvenlik açığına yol açan, Kimliği Doğrulanmış İsteğe Bağlı Dosya Yükleme sorunları vardır.

    Güvenlik açığı yamalı ve 8.3.8 sürümüne güncellemeniz gerekir.

    WordPress Tema Güvenlik Açıkları

    1. Düzgün

    v1.2.9'un altındaki düzgün sürümler, Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığına sahiptir.

    Güvenlik açığı yamalı ve v1.2.9 sürümüne güncelleme yapmalısınız.

    2. HaberMag

    2.4.2'nin altındaki NewsMag sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.4.2 sürümüne güncellemeniz gerekir.

    3. Aktifello

    1.4.2'nin altındaki Activello sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.4.2 sürümüne güncellemeniz gerekir.

    4. Illdy

    2.1.7'nin altındaki Illdy sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 2.1.7 sürümüne güncelleme yapmalısınız.

    5. Sadık

    1.2.6'nın altındaki Allegiant sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.2.6 sürümüne güncellemeniz gerekir.

    6. Gazete X

    1.3.2'nin altındaki Gazete X sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.3.2 sürümüne güncellemeniz gerekir.

    7. Pixova Lite

    2.0.7'nin altındaki Pixova Lite sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.0.7 sürümüne güncellemeniz gerekir.

    8. Parlaklık

    1.3.0'ın altındaki Brilliance sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 1.3.0 sürümüne güncelleme yapmalısınız.

    9. MedZone Lite

    1.2.6'nın altındaki MedZone Lite sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.2.6 sürümüne güncellemeniz gerekir.

    10. Regina Lite

    2.0.6'nın altındaki Regina Lite sürümlerinde Kimliği Doğrulanmamış İşlev Enjeksiyonu güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 2.0.6 sürümüne güncellemeniz gerekir.

    12. Aşmak

    1.2.0'ın altındaki Transcend sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı düzeltildi ve 1.2.0 sürümüne güncelleme yapmalısınız.

    13. Zengin

    1.1.2'nin altındaki varlıklı sürümler, Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığına sahiptir.

    Güvenlik açığı yamalı ve 1.1.2 sürümüne güncellemeniz gerekir.

    14. Deliler

    1.0.6'nın altındaki Bonkers sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.0.6 sürümüne güncellemeniz gerekir.

    15. Antreler

    1.0.7'nin altındaki Antreas sürümlerinde Kimliği Doğrulanmamış İşlev Ekleme güvenlik açığı bulunur.

    Güvenlik açığı yamalı ve 1.0.7 sürümüne güncellemeniz gerekir.

    16. NatureMag Lite

    NatureMag Lite'ın tüm sürümlerinde Kimliği Doğrulanmamış İşlev Enjeksiyonu güvenlik açığı bulunur.

    Bir güvenlik düzeltmesi yayınlanana kadar eklentiyi kaldırın.

    Ekim Güvenlik İpucu: Neden İki Faktörlü Kimlik Doğrulamayı Kullanmalısınız?

    WordPress web sitesi kullanıcı oturumlarınız için iki faktörlü kimlik doğrulamayı kullanmak, güvenlik açığı toplamasının bu sürümündeki eklentilerden birini bir kimlik doğrulama atlama güvenlik açığıyla birlikte kullansanız bile web sitenizin güvenli kalmasına yardımcı olabilir.

    WordPress web sitesi kullanıcı girişleriniz için iki faktörlü kimlik doğrulamayı kullanmak, kimlik doğrulama atlama güvenlik açığı olan bir eklenti kullanıyor olsanız bile web sitenizi güvende tutmanıza yardımcı olabilir.

    Niye ya? İki faktörlü kimlik doğrulama, kimliği doğrulanmamış bir kullanıcının web sitenize giriş yapmasını neredeyse imkansız hale getirir.

    İki faktörlü kimlik doğrulama nedir? İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. İki faktörlü kimlik doğrulama, oturum açan kişinin parolanıza erişen (hatta tahmin eden) biri olmadığını doğrulamak için fazladan bir WordPress güvenliği katmanı ekler.

    WordPress girişinize başka bir koruma katmanı eklemek için iki faktörlü kimlik doğrulamayı kullanmanın birkaç nedeni daha var.

    • Yeniden kullanılan parolalar zayıf parolalardır. Verizon Veri İhlali Araştırmaları Raporuna göre, çalışanların %70'inden fazlası iş yerinde parolaları yeniden kullanıyor . Ancak rapordaki en önemli istatistik, “ hack ile ilgili ihlallerin %81'inin çalıntı veya zayıf şifrelerden yararlandığı ”.
    • İnsanların %91'i parolaları yeniden kullanmanın kötü bir uygulama olduğunu bilse de şaşırtıcı bir şekilde %59'u parolalarını her yerde yeniden kullanmaya devam ediyor!
    • Birçok kişi hala bir veritabanı dökümünde görünen parolaları kullanıyor. Bir bilgisayar korsanı, bir kullanıcı veritabanına başarıyla eriştiğinde ve ardından içeriği çevrimiçi bir yere döktüğünde, bir veritabanı dökümü meydana gelir. Ne yazık ki bizim için bu dökümler bir ton hassas oturum açma ve hesap bilgisi içeriyor.
    • Barındırılan MEGA'da barındırılan "Koleksiyon #1" Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu . Bu tür bir puan, kaba kuvvet saldırılarında kullanmak için bir milyardan fazla kimlik bilgisine sahip kötü niyetli bir bot sağlayacaktır. Bir kaba kuvvet saldırıları, bir web sitesine girmek için kullanıcı adı ve şifre kombinasyonlarını keşfetmek için kullanılan bir deneme yanılma yöntemini ifade eder.
    • Güçlü bir şifre olsa bile, yalnızca sitenizdeki her yönetici kullanıcı olarak güvenli olarak konum. Tamam, yani her hesabınız için güçlü ve benzersiz şifreler oluşturmak için LastPass gibi bir şifre yöneticisi kullanan kişi sizsiniz. Peki ya sitenizdeki diğer yönetici ve editör kullanıcıları? Bir saldırgan hesaplarından birinin güvenliğini ihlal edebildiyse, web sitenize yine de bir ton zarar verebilir.
    • Google, iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'üne karşı etkili olduğunu söyledi . Bu tek başına oldukça iyi bir sebep.

    iThemes Security Pro ile WordPress Girişinizi Güvenli Hale Getirmek için İki Faktörlü Kimlik Doğrulama Nasıl Eklenir

    iThemes Security Pro eklentisi, WordPress web sitelerinize iki faktörlü kimlik doğrulama eklemeyi kolaylaştırır. iThemes Security Pro'nun WordPress iki faktörlü kimlik doğrulamasıyla, kullanıcıların akıllı telefon veya tablet gibi bir mobil cihaza gönderilen hem bir parola hem de ikincil bir kod girmeleri gerekir. Bir kullanıcı hesabında başarılı bir şekilde oturum açmak için hem şifre hem de kod gereklidir.

    Web sitenizde İki Faktörlü Kimlik Doğrulamayı kullanmaya başlamak için, iThemes Security Pro ayarlarının ana sayfasında bu özelliği etkinleştirin.

    Bu gönderide, Google Authenticator veya Authy gibi üçüncü taraf bir uygulamanın nasıl kullanılacağı da dahil olmak üzere, iThemes Security Pro ile sitenize iki faktörlü kimlik doğrulamanın nasıl ekleneceğinin tüm adımlarını açıyoruz.

    Nasıl çalıştığını gör

    Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu edinin