WordPress Güvenlik Açığı Özeti: Ekim 2020, 2. Bölüm

Ekim ayının ikinci yarısında epeyce yeni WordPress eklenti güvenlik açığı açıklandı. Bu yazıda, son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.

WordPress Temel Güvenlik Açıkları

WordPress 5.5.2, 29 Ekim'de piyasaya sürüldü ve 10 WordPress temel güvenlik düzeltmesi içeriyordu.

İşte WordPress 5.5.2 yayın gönderisinde bahsedilen güvenlik düzeltmelerinin listesi.

• Sertleştirilmiş seri durumdan çıkarma istekleri.
• Çok siteli bir ağda devre dışı bırakılmış sitelerden gelen spam yerleştirmelerini devre dışı bırakmak için düzeltme .
• Global değişkenlerden XSS'ye yol açabilecek bir güvenlik sorunu düzeltildi.
• XML-RPC'de bir ayrıcalık yükseltme sorunu düzeltildi.
• XML-RPC aracılığıyla yorum yazımı sırasında ayrıcalık artışıyla ilgili bir sorun düzeltildi.
• Bir DoS saldırısının RCE'ye yol açabileceği bir güvenlik sorunu düzeltildi.
• XSS'yi post sümüklü böceklerinde depolamak için bir yöntem kaldırıldı.
• Rasgele dosya silmeye yol açabilecek korumalı metayı atlamak için kaldırılan yöntem.
• CSRF'ye yol açabilecek bir yöntem kaldırıldı.

WordPress Eklenti Güvenlik Açıkları

1. Canlı Sohbet – Canlı destek

Canlı Sohbet – 3.2.0'ın altındaki canlı destek sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.

2. Hızlı Sohbet

Quick Chat'in tüm sürümlerinde Kimliği Doğrulanmamış Depolanmış Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

3. Orbisius'tan Çocuk Tema Yaratıcısı

Child Theme Creator by Orbisius 1.5.2'nin altındaki sürümlerde CSRF'den Rastgele Dosya Değiştirme/Oluşturma güvenlik açığı vardır.

4. Gerçek

Realia'nın tüm sürümlerinde, Keyfi Post Silme güvenlik açığına yol açan Kimliği Doğrulanmamış bir IDOR vardır.

5. Yorum Basın

2.7.2'nin altındaki Yorum Basın sürümlerinde Kimliği Doğrulanmamış Çapraz Çerçeve Komut Dosyası Çalıştırma güvenlik açığı bulunur.

6. WordPress için Süper Mağaza Bulucu

6.2'nin altındaki WordPress sürümleri için Super Store Finder, Kimliği Doğrulanmamış İsteğe Bağlı Dosya Yükleme güvenlik açığına sahiptir.

7. WordPress için Süper Etkileşimli Haritalar

2.0'ın altındaki WordPress sürümleri için Süper Etkileşimli Haritalar, Kimliği Doğrulanmamış İsteğe Bağlı Dosya Yükleme güvenlik açığına sahiptir.

8. WordPress için Süper Logolar Vitrini

2.3'ün altındaki WordPress sürümleri için Süper Logolar Vitrini, Kimliği Doğrulanmamış İsteğe Bağlı Dosya Yükleme güvenlik açığına sahiptir.

9. Basit İndirme Monitörü

3.8.9'un altındaki Basit İndirme İzleyici sürümlerinde Kimliği Doğrulanmamış Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyon güvenlik açıkları bulunur.

10. Loginizer

1.6.4'ün altındaki Loginizer sürümlerinde Kimliği Doğrulanmamış SQL Enjeksiyon güvenlik açığı bulunur.

11. Helios Solutions Marka Logo Kaydırıcısı

Helios Solutions Marka Logo Kaydırıcısının tüm sürümlerinde Kimliği Doğrulanmış Keyfi Dosya Yükleme güvenlik açığı bulunur.

12. CM İndirme Yöneticisi

2.8.0'ın altındaki CM İndirme Yöneticisi sürümlerinde, Kimliği Doğrulanmış Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.

13. Gelişmiş Rezervasyon Takvimi

1.6.2'nin altındaki Gelişmiş Rezervasyon Takvimi sürümlerinde Kimliği Doğrulanmamış SQL Enjeksiyonu güvenlik açığı bulunur.

WordPress Tema Güvenlik Açıkları

Ekim ayının ikinci yarısında bildirilen herhangi bir WordPress teması güvenlik açığı olmamıştır.

Ekim Güvenlik İpucu: Neden Web Sitesi Güvenlik Etkinliğini Günlüğe Kaydetmelisiniz?

Güvenlik günlüğü, WordPress güvenlik stratejinizin önemli bir parçası olmalıdır. Niye ya?

Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir. Bu nedenle, “yetersiz günlük kaydı”, OWASP web uygulaması güvenlik risklerinin ilk 10'unda yer aldı.

WordPress güvenlik günlükleri, genel güvenlik stratejinizde size yardımcı olan çeşitli avantajlara sahiptir:

1. Kimlik ve kötü niyetli davranışı durdurun.
2. Sizi bir ihlal konusunda uyarabilecek spot aktivite.
3. Ne kadar hasar verildiğini değerlendirin.
4. Saldırıya uğramış bir sitenin onarımında yardım.

Siteniz saldırıya uğrarsa, hızlı bir araştırma ve kurtarma işlemine yardımcı olacak en iyi bilgilere sahip olmak isteyeceksiniz.

İyi haber şu ki, iThemes Security Pro web sitesi günlüğü uygulamanıza yardımcı olabilir. iThemes Security Pro'nun WordPress güvenlik günlükleri, tüm bu web sitesi etkinliklerini sizin için izler:

• WordPress Brute Force Saldırıları
• Dosya Değişiklikleri
• Kötü Amaçlı Yazılım Taramaları
• Kullanıcı Etkinliği

Günlüklerinizdeki istatistikler, WordPress yönetici kontrol panelinizden görüntüleyebileceğiniz gerçek zamanlı bir WordPress güvenlik panosunda görüntülenir.

iThemes Security Pro'yu kullanarak web sitenize WordPress güvenlik günlükleri eklemenin tüm adımlarını açtığımız bu özellik spot yazısına göz atın.

Nasıl çalıştığını gör

Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.