WordPress Güvenlik Açığı Özeti: Eylül 2019, 1. Bölüm

Yayınlanan: 2019-09-18

Eylül ayının ilk yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu nedenle sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:

  • 1. WordPress çekirdeği
  • 2. WordPress Eklentileri
  • 3. WordPress Temaları
  • 4. Web Çevresindeki İhlaller

* WordPress ekosistemi dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Temel Güvenlik Açıkları

WordPress sürüm 5.2.3, birkaç olası güvenlik açığını düzeltmek için 4 Eylül 2019'da yayınlandı. İşte WordPress 5.2.3 yayın gönderisinden bir alıntı.

WordPress 5.2.3'teki Güvenlik Düzeltmeleri

  • İki sorunu bulma ve açıklama konusunda RIPS Technologies'den Simon Scannell'e destek. İlki, katkıda bulunanlar tarafından yapılan önizlemelerde siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı bulundu. İkincisi, depolanan yorumlarda siteler arası komut dosyası çalıştırma güvenlik açığıydı.
  • Bir URL'nin doğrulanmasının ve sterilize edilmesinin açık bir yönlendirmeye yol açabileceği bir sorunu açıkladığı için Tim Coen'e destek.
  • Medya yüklemeleri sırasında yansıyan siteler arası komut dosyası çalıştırmayı ifşa ettiği için Anshul Jain'e destek.
  • Kısa kod önizlemelerinde siteler arası komut dosyası çalıştırma (XSS) için bir güvenlik açığı açıklayan Fortinet FortiGuard Laboratuvarlarından Zhouyuan Yang'a destek.
  • Ana Güvenlik Ekibinden Ian Dunn'a, yansıyan siteler arası komut dosyası oluşturmanın gösterge tablosunda bulunabileceği bir vakayı bulma ve açıklama konusunda destek.
  • Siteler arası komut dosyası çalıştırma (XSS) saldırılarına yol açabilecek URL temizlemeyle ilgili bir sorunu açıkladığı için NCC Group'tan Soroush Dalili'ye (@irsdl) destek.
  • Yukarıdaki değişikliklere ek olarak, jQuery'yi WordPress'in eski sürümlerinde de güncelliyoruz. Bu değişiklik 5.2.1'de eklendi ve şimdi eski sürümlere getiriliyor.

WordPress Eklenti Güvenlik Açıkları

Eylül ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.

1. 10Web'den Fotoğraf Galerisi

10Web Logo Fotoğraf Galerisi

10Web 1.5.34 ve altı sürümündeki Fotoğraf Galerisi, bir SQL Enjeksiyon ve Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.5.35 sürümüne güncelleme yapmalısınız.

2. Gelişmiş Erişim Yöneticisi

Advanced Acess Manager sürüm 5.9.8.1 ve altı, Rastgele Dosya Erişimi ve İndirme güvenlik açığı içerir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 5.9.9 sürümüne güncellemelisiniz.

3. Etkinlik Biletleri

Etkinlik Biletleri Logosu

Etkinlik Biletleri sürüm 4.10.7.1 ve altı, bir CSV Enjeksiyonuna karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 4.10.7.2 sürümüne güncellemeniz gerekir.

4. Arama Hariç Tut

Arama Hariç Tutma Logosu

Arama Hariç Tutma sürümü 1.2.2 ve altı, Keyfi Ayarlar Değişikliğine karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.2.4 sürümüne güncelleme yapmalısınız.

5. KaldırıcıLMS

LifterLMS sürüm 3.34.5 ve altı, Kimliği Doğrulanmamış Seçenekler İçe Aktarma güvenlik açığına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.2.4 sürümüne güncelleme yapmalısınız.

6. İçerik Yükseltmeleri

İçerik Yükseltmeleri sürüm 2.0.4 ve altı, Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.0.5 sürümüne güncellemeniz gerekir.

7. Qwizcard'lar

Qwiz Logosu

Qwizcards sürüm 3.36 ve altı, Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 3.37 sürümüne güncellemelisiniz.

8. Kontrol listesi

Denetim listesi sürüm 1.1.5 ve altı, Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.1.9 sürümüne güncellemelisiniz.

9. WooCommerce için Bahar Ödemeleri

WooCommerce Logosu için Spryng Ödemeleri

WooCommerce sürüm 1.6.7 ve altı için Spryng Payments, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

10. Portre-Archiv.com Fotoğraf Mağazası

Portre-Archiv.com Fotoğraf Mağazası Logosu

Portrait-Archiv.com Photostore sürüm 5.0.4 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

11. WooCommerce için ECPay Lojistik

WooCommerce için ECPay Lojistik

WooCommerce sürüm 1.2.181030 ve altı için ECPay Logistics, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

12. Elips İnsan Varlığı Teknolojisi

Ellipsis Human Presence Technology sürüm 2.0.8 ve altı, Kimliği Doğrulanmamış Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

13. SlickQuiz

SlickQuiz Logosu

SlickQuiz sürüm 1.6.7 ve altı, Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyon saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Bir yama içeren bir güncelleme yayınlanana kadar eklentiyi kaldırın.

WordPress Temaları

Ağustos 2019'un ikinci yarısında hiçbir WordPress Teması güvenlik açığı açıklanmadı.

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

Otomatik Güncellemeler Yardımcı Olabilir

Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.

Sürüm Yönetimi Güncelleme Seçenekleri
  • WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
  • Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
  • Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
  • Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma
  • Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
  • Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
  • E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. Jack Dorsey'in Twitter Hesabı Hacklendi

heyecan logosu

Twitter CEO'su Jack Dorsey, SIM takas saldırısının kurbanı oldu. SIM Değiştirme, bir saldırganın telefonunuzu farklı bir telefona taşımak için cep telefonu sağlayıcınızla birlikte çalışmasıdır. Telefon numaranızı aldıktan sonra, kötü niyetli kişi SMS iki faktörlü kodlarınızı alabilir.

Chuckling Squad hacker grubu, Dorsey'in cep telefonu numarasının kontrolünü ele geçirdikten sonra, tweet'leri göndermek için Cloudhopper'ı kullanabildiler. Cloudhopper, insanların kısa mesaj yoluyla tweet atmasını kolaylaştırmak için daha önce Twitter tarafından satın alınan bir şirkettir.

2. phpMyAdmin Güvenlik Açığı

phpMyAdmin Logosu

PHP sürüm 4.9.0.1 yeni bir Siteler Arası İstek Sahteciliği saldırısına karşı savunmasızdır ve bu bir Sıfır Gündür. Güvenlik açığı, bir saldırganın Kurulum sayfasındaki herhangi bir sunucuyu silen bir phpMyAdmin kullanıcısına karşı CSRF saldırısını tetiklemesine olanak tanır.

Bir güvenlik yaması yayınlandıktan sonra phpMyAdmin'i güncellediğinizden emin olun.

Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

Daha iyi WordPress güvenliği için basit ipuçları alın. Yeni e-kitabı indirin: WordPress Güvenlik Cebi Kılavuzu
Şimdi İndirin

iThemes Security Pro'yu edinin