WordPress Güvenlik Açığı Özeti: Eylül 2019, 2. Bölüm

Yayınlanan: 2019-11-13

*Rich Reviews by Starfish Reviews'ın benimsenmesini ve yamasını yansıtacak şekilde 13 Kasım 2019'da güncellendi. Zengin İncelemeler eklentisini kurtardığı için Starfish Reviews'a çok teşekkürler!

Eylül ayının son yarısında birkaç yeni WordPress eklentisi ve tema güvenlik açığı açıklandı, bu yüzden sizi bilgilendirmek istiyoruz. Bu yazıda, en son WordPress eklentisi ve tema güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.

WordPress Güvenlik Açığı Özetini dört farklı kategoriye ayırıyoruz:

1. WordPress çekirdeği
2. WordPress Eklentileri
3. WordPress Temaları
4. Web Çevresindeki İhlaller

*WordPress ekosisteminin dışındaki güvenlik açıklarından da haberdar olmak çok önemli olduğundan, web'deki ihlalleri dahil ediyoruz. Sunucu yazılımına yönelik saldırılar, hassas verileri açığa çıkarabilir. Veritabanı ihlalleri, sitenizdeki kullanıcıların kimlik bilgilerini açığa çıkararak saldırganların sitenize erişmesine kapı açabilir.

WordPress Temel Güvenlik Açıkları

Eylül 2019'un ikinci yarısında hiçbir WordPress güvenlik açığı açıklanmadı.

WordPress Eklenti Güvenlik Açıkları

Bu Ağustos ayında birkaç yeni WordPress eklenti güvenlik açığı keşfedildi. Eklentiyi güncellemek veya tamamen kaldırmak için aşağıdaki önerilen işlemi uyguladığınızdan emin olun.

1. Woody Reklam Snippet'leri

Woody Reklam Parçacıkları Logosu

Woody Ad Snippets sürüm 2.2.8 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.2.9 sürümüne güncellemelisiniz.

2. Kolay FancyBox

Kolay FancyBox Logosu

Easy FancyBox sürüm 1.8.17 ve altı, Siteler Arası Komut Dosyası Çalıştırma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.8.18 sürümüne güncellemelisiniz.

3. Gelişmiş AJAX Ürün Filtreleri

gelişmiş ajax ürünleri filtre logosu

Gelişmiş AJAX Ürün Filtreleri sürüm 1.3.6 ve altı, Kimliği Doğrulanmamış Ayarlar Güncellemesine karşı savunmasızdır. Güvenlik açığı, bir saldırganın trafiği kötü amaçlı bir siteye yönlendirmesine olanak tanır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.3.7 sürümüne güncellemeniz gerekir.

4. ver

Versiyon 2.5.4 ve altı, bir Kimlik Doğrulama Atlama saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.5.5 sürümüne güncellemelisiniz.

5. Motors Araba Satıcısı ve İlanlar

Motorlu Satıcı ve Seri İlanlar Logosu

Motors Car Dealer & Classified Ads sürüm 1.4.0 ve altı, Depolanmış Siteler Arası Komut Dosyası Çalıştırma saldırısına yol açan Kimliği Doğrulanmamış Ayarları İçe Aktarma ve Dışa Aktarma dahil olmak üzere birden çok güvenlik açığına sahiptir. Güvenlik açığı, bir saldırganın trafiği kötü amaçlı bir siteye yönlendirmesine olanak tanır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.4.1 sürümüne güncelleme yapmalısınız.

6. Nihai SSS

Nihai SSS Logosu

Ultimate FAQ sürümü 1.8.24 ve altı, Kimliği Doğrulanmamış Ayarları İçe Aktarma ve Dışa Aktarma saldırısına karşı savunmasızdır.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.8.25 sürümüne güncellemelisiniz.

7. DELUCKS SEO

Seo Logosu

DELUCKS SEO sürüm 2.1.7 ve altı, Kimliği Doğrulanmamış Seçenek Güncelleme güvenlik açığına sahiptir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 2.1.8 sürümüne güncellemelisiniz.

8. Zengin İncelemeler

Zengin İnceleme Logosu

Zengin İncelemeler sürüm 1.7.4 ve altı, Kimliği Doğrulanmamış Eklenti Seçenekleri Güncelleme güvenlik açığına sahiptir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.83 sürümüne güncellemelisiniz.

WordPress Temaları

9. Selio – Emlak Rehberi

Selio Logosu

Selio – Emlak Dizini sürüm 1.1 ve altı, SQL Enjeksiyon ve Kalıcı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahiptir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.1.1 sürümüne güncellemelisiniz.

10. Nexos – Emlak

Nexos Logosu

Nexos – Emlak sürüm 1.1 ve altı, SQL Enjeksiyon ve Kalıcı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığına sahiptir.

Yapmanız Gerekenler

Güvenlik açığı düzeltildi ve 1.1.1 sürümüne güncellemelisiniz.

WordPress Tema ve Eklenti Güvenlik Açıkları Hakkında Nasıl Proaktif Olabilirsiniz?

Eski yazılımları çalıştırmak, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

Otomatik Güncellemeler Yardımcı Olabilir

Otomatik güncellemeler, çok sık değişmeyen WordPress web siteleri için harika bir seçimdir. Dikkat eksikliği genellikle bu siteleri ihmal edilir ve saldırılara karşı savunmasız bırakır. Önerilen güvenlik ayarlarıyla bile, sitenizde güvenlik açığı bulunan yazılımları çalıştırmak, bir saldırgana sitenize giriş noktası verebilir.

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak , en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Bu ayarlar, yeni sürümlere otomatik olarak güncelleme seçenekleriyle veya sitenin yazılımı eski olduğunda kullanıcı güvenliğini artırma seçenekleriyle sitenizin korunmasına yardımcı olur.

Sürüm Yönetimi Güncelleme Seçenekleri

WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
Eklenti Otomatik Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu sitenin günlük olarak aktif olarak bakımını yapmadığınız ve güncellemeleri yayınlandıktan kısa bir süre sonra manuel olarak yüklemediğiniz sürece, bu etkinleştirilmelidir.
Tema Otomatik Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Temanızda dosya özelleştirmeleri yoksa bu etkinleştirilmelidir.
Eklenti ve Tema güncellemeleri üzerinde Granüler Kontrol – Manuel olarak güncellemek istediğiniz eklentiler/temalar olabilir veya sürümün kararlı olduğunu kanıtlayana kadar güncellemeyi geciktirebilirsiniz. Her bir eklentiyi veya temayı ya hemen güncellenecek ( Etkinleştir ), otomatik olarak güncellenmeyecek ( Devre Dışı Bırak ) veya belirli bir günlük gecikmeyle güncellenecek ( Gecikme ) olarak atama fırsatı için Özel'i seçebilirsiniz.

Kritik Sorunları Güçlendirme ve Uyarıda Bulunma

Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin. iThemes Security eklentisi, bir ay boyunca güncelleme yüklenmediğinde otomatik olarak daha sıkı güvenlik sağlar. İlk olarak, iki faktörlü etkinleştirilmemiş tüm kullanıcıları tekrar oturum açmadan önce e-posta adreslerine bir oturum açma kodu göndermeye zorlayacaktır. İkinci olarak, WP Dosya Düzenleyicisini devre dışı bırakacaktır (insanların eklenti veya tema kodunu düzenlemesini engellemek için) , XML-RPC pingback yapar ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).
Diğer Eski WordPress Sitelerini Tara – Bu, barındırma hesabınızdaki diğer eski WordPress yüklemelerini kontrol eder. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
E-posta Bildirimleri Gönder – Müdahale gerektiren sorunlar için yönetici düzeyindeki kullanıcılara bir e-posta gönderilir.

Web Çevresindeki İhlaller

1. Kapı Çizgisi

Kapı Dash Logosu

DoorDash, 4 Mayıs 2019'da gerçekleşen bir ihlal sırasında 4,9 milyon müşteri, tüccar ve çalışan verilerinin güvenliğinin ihlal edildiğini bir blog gönderisinde açıkladı.

İhlal, isimleri, e-posta adreslerini, fiziksel adresleri, telefon numaralarını ve şifreli şifreleri içeriyordu. Neyse ki şifreleri düz metin olarak kaydetmediler, bu nedenle saldırganın şifreleri çözmesi ve kullanması çok zor olacak.

Bazı kredi kartlarının son 4 hanesi ele geçirildi, ancak tam kredi kartı numaralarına veya CVV numaralarına erişilmedi.

Ne yazık ki, bazı çalışan ehliyet numaraları ihlale dahil edildi.

DoorDash müşterisiyseniz, destek için 855–646–4683 numaralı telefondan özel çağrı merkezinden onlarla iletişime geçebilirsiniz.

2. Son Geçiş

LastPass Logosu

Chrome Project Zero, Chrome ve Opera için LastPass uzantısında bir güvenlik açığı keşfetti ve açıkladı. Güvenlik açığı, kötü niyetli bir web sitesinin açılır pencere oluşturmasına ve LastPass kullanılarak oturum açmış son hesabın kimlik bilgilerini almak için do_popupregister() işlevini atlamasına olanak tanır.

Bu güvenlik açığının doğada istismar edildiğine dair bir kanıt yok ve LastPass, uzantılarının Chrome ve Opera sürümleri için bir yama yayınladı.

Güvenlik açığı, iki faktörlü kimlik doğrulama kullanmanın önemini vurguluyor ve beni parolasız gelecek konusunda daha da heyecanlandırıyor.

Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

10 önemli ipucu ile WordPress güvenliği hakkında daha fazla bilgi edinin. E-kitabı şimdi indirin: WordPress Güvenliği Kılavuzu

Şimdi İndirin

iThemes Güvenliğini Alın

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.