WordPress Güvenlik Açığı Özeti: Eylül 2020, 2. Bölüm
Yayınlanan: 2020-10-23Eylül ayının ikinci yarısında epeyce yeni WordPress eklentisi ve tema güvenlik açığı açıklandı ve bu, bugüne kadarki en büyük toparlanmalarımızdan biri oldu. Bu yazıda, son WordPress eklentisi, teması ve temel güvenlik açıklarını ve web sitenizde savunmasız eklentilerden veya temalardan birini çalıştırıyorsanız ne yapmanız gerektiğini ele alıyoruz.
WordPress Güvenlik Açığı Özeti üç farklı kategoriye ayrılmıştır: WordPress çekirdeği, WordPress eklentileri ve WordPress temaları.
WordPress Temel Güvenlik Açıkları
Eylül ayının ikinci yarısında hiçbir WordPress temel güvenlik açığı açıklanmadı. Sadece WordPress'in 5.5.1 sürümü olan en son sürümünü çalıştırdığınızdan emin olun.
WordPress Eklenti Güvenlik Açıkları
1. Varlık Temizleme
1.3.6.7'nin altındaki Varlık Temizleme sürümlerinde Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.
2. Yapışkan Menü, Yapışkan Başlık
Yapışkan Menü, 2.21'in altındaki Yapışkan Başlık sürümleri, Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıklarına sahiptir.
3. Çerez robotu
3.6.1'in altındaki Cookiebot sürümlerinde Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.
4. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı
4.4.4'ün altındaki All In One WP Güvenlik ve Güvenlik Duvarı sürümlerinde Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.
5. Kesinlikle Göz Alıcı Özel Yönetici
6.5.5'in altındaki Kesinlikle Büyüleyici Özel Yönetici sürümlerinde Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.
6. Elementor Eklenti Öğeleri
1.6.4'ün altındaki Elementor Addon Elements sürümlerinde Siteler Arası İstek Sahteciliği ve Siteler Arası Komut Dosyası Çalıştırma güvenlik açıkları bulunur.
7. E-posta Aboneleri ve Bültenler
4.5.6'nın altındaki E-posta Aboneleri ve Haber Bültenleri sürümlerinde Kimliği Doğrulanmamış E-posta Sahteciliği/Spoofing güvenlik açığı bulunur.
8. 10Web Sosyal Gönderi Beslemesi
1.1.27'nin altındaki 10Web Social Post Feed sürümlerinde, Kimliği Doğrulanmış SQL Enjeksiyon güvenlik açığı bulunur.
9. Ortaklık Yöneticisi
2.7.8'in altındaki Affiliate Manager sürümlerinde Kimliği Doğrulanmamış Depolanmış Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
10. WP Otel Rezervasyonu
1.10.2'nin altındaki WP Hotel Booking sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
11. WP Proje Yöneticisi
2.4.1'in altındaki WP Proje Yöneticisi sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
12. 10Web Analitiği
1.2.9'un altındaki 10WebAnalytics sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
13. En İyi 10 – WordPress için Popüler Yazılar Eklentisi
En İyi 10 – 2.9.5'in altındaki WordPress sürümleri için popüler gönderiler eklentisi, Siteler Arası İstek Sahteciliği güvenlik açığına sahiptir.
14. Hafif Kenar Çubuğu Yöneticisi
1.1.4'ün altındaki Hafif Kenar Çubuğu Yöneticisi sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
15. Taksonomiler için Radyo Düğmeleri
2.0.6'nın altındaki Taksonomiler sürümleri için Radyo Düğmeleri, Siteler Arası İstek Sahteciliği güvenlik açığına sahiptir.
16. Ürün Kataloğu X
1.5.13'ün altındaki Ürün Kataloğu X sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
17. Ücretli Üyelikler Pro
2.4.3'ün altındaki Ücretli Üyelikler Pro sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
18. BildirimX
1.8.3'ün altındaki NotificationX sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
19. Çok Yakında ve Bakım Modu Sayfası
Çok Yakında ve Bakım Modu 1.58'in altındaki Sayfa sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
20. Menü Değiştirici
1.1.1'in altındaki Menü Değiştirici sürümleri, Siteler Arası İstek Sahteciliği güvenlik açığına sahiptir.
21. Woody reklam parçacıkları
2.3.10'un altındaki Woody reklam parçacıkları sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
22. Biçimlendirici
1.13.5'in altındaki Forminator sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
23. Feedzy'den RSS Toplayıcı
Feedzy'nin 3.4.3'ün altındaki RSS Toplayıcı sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
24. Onları Sosyal Olarak Besleyin
Feed Them Social 2.8.7'nin altındaki sürümlerde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
25. WP ERP
1.6.4'ün altındaki WP ERP sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
26. e-Ticaret Ürün Kataloğu
2.9.44'ün altındaki e-Ticaret Ürün Kataloğu sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
27. Kolay Görüşler
3.7'nin altındaki Easy Testimonials sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
28. Dokan
3.0.9'un altındaki Dokan sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
29. En İyi WooCommerce Çok Satıcılı Pazar Yeri Çözümü
3.5.8'in altındaki En İyi WooCommerce Çok Satıcılı Pazar Yeri Çözümü sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
30. Özel Alan Şablonu
2.5.2'nin altındaki Özel Alan Şablonu sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
31. Kupon Oluşturucu
3.1.1'in altındaki Kupon Oluşturucu sürümleri, Siteler Arası İstek Sahteciliği güvenlik açığına sahiptir.
32. Harika Zaman Çizelgesi
2.0.3'ün altındaki Harika Zaman Çizelgesi sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
33. CartFlows'tan Huni Oluşturucu
Huni Oluşturucu by CartFlows 1.5.16'nın altındaki sürümlerde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
34. Özelleştirici Ayarlarını İçe / Dışa Aktarma
1.0.4'ün altındaki Özelleştirici Ayarlarını İçe / Dışa Aktarma sürümlerinde Siteler Arası İstek Sahteciliği güvenlik açığı bulunur.
35. WooCommerce için İndirim Kuralları
2.2.1'in altındaki WooCommerce sürümleri için İndirim Kuralları, birden çok Yetkilendirme Atlama güvenlik açığına sahiptir.
36. Meta Kaydırıcı
3.17.2'nin altındaki MetaSlider sürümlerinde, Kimliği Doğrulanmış Depolanan Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı bulunur.
37. Sürükle ve Bırak Çoklu Dosya Yükleme
1.3.5.5'in altındaki Sürükle ve Bırak Birden Çok Dosya Yükleme sürümlerinde Kimliği Doğrulanmamış Uzaktan Kod Yürütme güvenlik açığı bulunur.
WordPress Tema Güvenlik Açıkları
1. İş Canavarı
4.6.6.1'in altındaki JobMonster sürümlerinde Klasörü Karşıya Yükleme güvenlik açığı vardır.
iThemes Security Pro Özelliği Öne Çıkanlar: Güvenilir Cihazlar
iThemes Security Pro'da, bilgisayar korsanlarının WordPress eklentileri ve temalarındaki güvenlik açıklarından yararlanmasını engelleyebilecek birçok özellik vardır. Kimlik Doğrulama Atlaması ve Oturum Ele Geçirme, en tehlikeli güvenlik açıklarından ikisidir. Bu güvenlik açıklarının her ikisi de bilgisayar korsanları tarafından kimlik doğrulama korumalarını atlamak ve web sitenizin kontrolünü ele geçirmek için kullanılabilir.
Bugün, kimlik doğrulamayı atlama veya oturum ele geçirme saldırılarına karşı savunmasız olduğunda bile web sitenizi korumak için sağlam bir güvenlik yöntemi olan Güvenilir Cihazları ele alacağız .
Güvenilir Cihazlar, kimlik doğrulama veya oturum kaçırma saldırılarına karşı savunmasız olduğunda bile web sitenizi korumak için sağlam bir güvenlik yöntemidir.
Neden Güvenilir Cihazlar Geliştirdik?
Kullanıcı hesabınızı korumak için tüm WordPress güvenlik en iyi uygulamalarını uyguladığınızı varsayalım. Her site için yalnızca benzersiz, güçlü bir parola kullanmakla kalmaz, aynı zamanda tüm çevrimiçi hesaplarınızı iki faktörlü kimlik doğrulama ile kilitlersiniz. WordPress güvenliğini ciddiye almanın nasıl göründüğüne iyi bir örneksiniz .
Ancak, aldığınız tüm güvenlik önlemlerine rağmen bir şekilde web siteniz saldırıya uğradı. Daha da kötüsü, saldırgan siteyi hacklemek için SİZİN WordPress kullanıcınızı kullandı. Bu sana nasıl oldu, güvenlik gurusu ?!
Ne yazık ki, WordPress kullanıcı hesabınızın güvenliğini sağlamak için her şeyi doğru yapsanız bile, bilgisayar korsanlarının hesabınızı sömürmek için kullanabileceği yöntemler hala var.
Örneğin, WordPress, web sitenize her giriş yaptığınızda bir oturum çerezi oluşturur. Diyelim ki geliştirici tarafından terk edilen ve artık güvenlik güncellemeleri yayınlamayan bir tarayıcı uzantınız var. Ne yazık ki sizin için ihmal edilen tarayıcı uzantısında bir güvenlik açığı var. Güvenlik açığı, daha önce bahsedilen WordPress oturum çerezi de dahil olmak üzere kötü niyetli kişilerin tarayıcı çerezlerinizi ele geçirmesine olanak tanır. Bu tür bir hack, Session Hijacking olarak bilinir. Böylece, bir saldırgan, oturum açma bilgilerinizi geri almak ve WordPress kullanıcınızla kötü niyetli değişiklikler yapmaya başlamak için uzantı güvenlik açığından yararlanabilir .
Oldukça berbat, değil mi? Kabul ediyoruz, bu nedenle kötü niyetli kişiler diğer güvenlik açıklarını bulup bunlardan yararlanabilse bile hesabınızı korumanın bir yolunu oluşturduk.
Güvenilir Cihazlar Nelerdir?
iThemes Security Pro'daki Güvenilir Cihazlar özelliği, sizin ve diğer kullanıcıların WordPress sitenize giriş yapmak için kullandığı cihazları tanımlamaya çalışır. Cihazlarınız tanımlandıktan sonra, oturum korsanlarının ve diğer kötü niyetli kişilerin web sitenize zarar vermesini durdurabiliriz.
Bir kullanıcı tanınmayan bir cihazda oturum açtığında, Güvenilir Cihazlar yönetici düzeyindeki yeteneklerini kısıtlayabilir . Bu, eğer bir saldırgan WordPress sitenizin arka ucuna girebilseydi, web sitenizde herhangi bir kötü niyetli değişiklik yapma becerisine sahip olmayacaktı.
Bu senaryoda, birisinin tanınmayan bir cihazdan sitenize giriş yaptığını bildiren bir e-posta alacaksınız. E-posta, bilgisayar korsanının cihazını engelleme seçeneği içerir. O zaman kötü bir adamın gününü mahvettiğini bilerek gülüp gülebilirsin.
Güvenilir Cihazların bir başka yararı da, Oturum Ele Geçirme olayını geçmişte bırakmasıdır. Bir oturum sırasında bir kullanıcının cihazı değişirse, iThemes Security, kullanıcının e-posta adresini değiştirmek veya kötü amaçlı eklentiler yüklemek gibi kullanıcının hesabında herhangi bir yetkisiz etkinliği önlemek için kullanıcının oturumunu otomatik olarak kapatır.
Dostum, kötü niyetli saldırıların başarılı olmasını engellemek kesinlikle iyi hissettiriyor!
iThemes Security Pro'da Güvenilir Cihazlar Özelliği Nasıl Kullanılır
Güvenilir Cihazları kullanmaya başlamak için, bunları güvenlik ayarlarının ana sayfasında etkinleştirin ve ardından Ayarları Yapılandır düğmesine tıklayın.
Güvenilir Cihazlar ayarlarında, özelliği kullanmak istediğiniz kullanıcılara karar verin ve ardından Yetenekleri Kısıtla ve Oturum Ele Geçirme Koruması özelliklerini etkinleştirin.
Yeni Güvenilir Cihazlar ayarını etkinleştirdikten sonra, kullanıcılar, tanınmayan cihazlar hakkında WordPress yönetici çubuğunda bir bildirim alacaklardır. Mevcut cihazınız güvenilir cihazlar listesine eklenmemişse, yetkilendirme e-postasını göndermek için Bu Cihazı Onayla bağlantısını tıklayın .
Mevcut cihazlarınızı Güvenilir Cihazlar listesine eklemek için Tanınmayan Oturum Açma e-postasındaki Cihazı Onayla düğmesini tıklayın.
Güvenilir Cihazlar etkinleştirildiğinde, kullanıcılar cihazları WordPress Kullanıcı Profili sayfasından yönetebilir. Bu ekrandan, Güvenilir Cihazlar listesindeki cihazları onaylayabilir veya reddedebilirsiniz.
Ek olarak, Güvenilir Cihaz tanımlamasının doğruluğunu iyileştirmek için bazı üçüncü kısım API'lerine kaydolma ve tanınmayan bir oturum açma işleminin yaklaşık konumunu görüntülemek için statik görüntü haritaları kullanma seçeneğiniz vardır. Hangi entegrasyonların mevcut olduğunu görmek için Güvenilir Cihazlar ayarına bakın,
Bir WordPress Güvenlik Eklentisi Web Sitenizin Güvenliğini Sağlayabilir
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.
iThemes Security Pro'yu edinin
Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.
