WordPress Güvenlik Açığı Raporu: Ocak 2022, 1. Bölüm

Yayınlanan: 2022-01-06

Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, en son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.

Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır. Bu rapordaki yenilikler: Güvenlik açıkları artık açıklama tarihinden ziyade etkin yükleme sayısına göre sıralanıyor.

Lütfen bu gönderiyi arkadaşlarınızla paylaşın ve WordPress'i herkes için daha güvenli hale getirin !

Bu raporun her hafta gelen kutunuza teslim edilmesini ister misiniz?
Haftalık e-postaya abone olun

2021 WordPress Güvenlik Açığı Raporu Özeti: 1.263 Güvenlik Açığı Açıklandı; %98 Eklentiler

  • 2021 yılında toplam 1.263 eklenti ve tema güvenlik açığı açıklandı. WordPress eklenti güvenlik açıkları, bildirilen tüm güvenlik açıklarının %98'ini oluşturuyordu.
  • Eylül 2021, yalnızca o ayda açıklanan toplam 323 güvenlik açığıyla birlikte bildirilen en fazla güvenlik açığını gördü.
  • 2021'de açıklanan en yaygın eklenti güvenlik açıkları, siteler arası komut dosyası çalıştırma (XSS) ve SQL enjeksiyonlarıydı. Çoğu eklenti yazarı yamaları yayınlarken, bazı eklentiler hala kapalıdır.
  • Güvenlik açığı açıklamalarındaki artış nedeniyle, güvenlik açığı raporunun sıklığını ayda iki yerine haftada bir olarak değiştirdik.
  • Geri bildiriminiz sayesinde eklenti açıklamalarını sırayla veya etkin yüklemeler halinde listelemeye başladık. Ayrıca, eklentileri ücretsiz ve profesyonel olarak gruplandırmaya başladık, kapalı eklentiler için ayrı bir bölüm ve bilinen bir düzeltme olmayan eklentiler.

WordPress Temel Güvenlik Açıkları

WordPress çekirdeğinin en son sürümü 5.8.2'dir. En iyi uygulama olarak, her zaman WordPress çekirdeğinin en son sürümünü çalıştırdığınızdan emin olun!

WordPress Eklenti Güvenlik Açıkları

Bu bölümde, en son WordPress eklenti güvenlik açıkları açıklandı. Her eklenti listesi, güvenlik açığının türünü, etkin yüklemeleri, yama uygulanmışsa sürüm numarasını ve önem derecesini içerir.

1. UpdraftPlus

Eklenti: UpdraftPlus
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 3+ milyon
Sürümde Yamalı: 1.16.569
Önem Puanı : Yüksek

Güvenlik açığı yamalı, bu nedenle 1.16.59 sürümüne güncellemelisiniz.

Eklenti: UpdraftPlus
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 3+ milyon
Sürümde Yamalı: 1.6.59
Önem Puanı : Düşük

Güvenlik açığı düzeltildi, bu nedenle 1.6.59 sürümüne güncellemelisiniz.

Eklenti: UpdraftPlus
Güvenlik Açığı : Yönetici+ Yerel Dosya Dahil Etme
Aktif Kurulum : 3+ milyon
Sürümde Yamalı: 1.16.59
Önem Puanı : Orta

Güvenlik açığı yamalı, bu nedenle 1.16.59 sürümüne güncellemelisiniz.

2. Medya için WebP Dönüştürücü

Eklenti: Medya için WebP Dönüştürücü
Güvenlik Açığı : Kimliği Doğrulanmamış Açık yönlendirme
Aktif Kurulum : 100,000+
Sürümde Yamalı : 4.0.3
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 4.0.3 sürümüne güncellemelisiniz.

3. WOOF – WooCommerce için Ürünler Filtresi

Eklenti: WOOF – WooCommerce için Ürünler Filtresi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 100,000+
Sürümde Yamalı: 1.2.6.3
Önem Puanı : Yüksek

Güvenlik açığı yamalandı, bu nedenle 1.2.6.3 sürümüne güncellemelisiniz.

4. ÖğrenBasın

Eklenti: LearnPress
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 100,000+
Sürümde Yamalı : 4.1.3.2
Önem Puanı : Orta

Güvenlik açığı yamalandı, bu nedenle 4.1.3.2 sürümüne güncellemelisiniz.

5. WP Gönderi Sayfası Klonu

Eklenti: WP Gönderi Sayfası Klonu
Güvenlik Açığı : Yetkisiz Sonradan Erişim
Aktif Kurulum : 80.000+
Sürümde Yamalı : 1.2
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle sürüm 1.2'ye güncellemelisiniz.

6. WP Ekstra Dosya Türleri

Eklenti: WP Ekstra Dosya Türleri
Güvenlik Açığı : CSRF'den Depolanan Siteler Arası Komut Dosyasına
Aktif Kurulum : 50.000+
Sürümde Yamalı : 0.5.1
Önem Puanı : Yüksek

Güvenlik açığı yamalı, bu nedenle 0.5.1 sürümüne güncellemelisiniz.

7. Eğitmen ÖYS

Eklenti: Öğretmen LMS
Güvenlik Açığı : Abone+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 40.000+
Sürümde Yamalı: 1.9.12
Önem Puanı : Yüksek

Güvenlik açığı yamalı, bu nedenle 1.9.12 sürümüne güncellemelisiniz.

Eklenti: Öğretmen LMS
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 40.000+
Sürümde Yamalı: 1.9.12
Önem Puanı : Yüksek

Güvenlik açığı yamalı, bu nedenle 1.9.12 sürümüne güncellemelisiniz.

8. Özel Gösterge Tablosu ve Giriş Sayfası

Eklenti: Özel Kontrol Paneli ve Giriş Sayfası
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 40.000+
Sürüm : 7.0 Yamalı
Önem Puanı : Orta

Güvenlik açığı yamalı, bu nedenle 7.0 sürümüne güncellemelisiniz.

9. Nihai SSS

Eklenti: Nihai SSS
Güvenlik Açığı : Abone+ Keyfi SSS Oluşturma
Aktif Kurulum : 30.000+
Sürümde Yamalı : 2.1.2
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 2.1.2 sürümüne güncellemelisiniz.

10. WP Kullanıcı Ön Uç

Eklenti: WP Kullanıcı Ön Uç
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyasına SQL Enjeksiyonu
Aktif Kurulum : 30.000+
Sürümde Yamalı: 3.5.26
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 3.5.26 sürümüne güncellemelisiniz.

11. kredim

Eklenti: myCred
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 20.000+
Sürümde Yamalı : 2.4
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle sürüm 2.4'e güncellemelisiniz.

12. Görüntü Hover Efektleri Ultimate

Eklenti: Görüntü Hover Efektleri Ultimate
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 20.000+
Sürümde Yamalı : 9.7.1
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 9.7.1 sürümüne güncellemelisiniz.

13. Kubeli

Eklenti: Qubely
Güvenlik Açığı : Abone+ Keyfi SSS Oluşturma
Aktif Kurulum : 10.000+
Sürümde Yamalı : 1.7.8
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 1.7.8 sürümüne güncellemelisiniz.

14. Kayıt Sihri

Eklenti: Kayıt Sihri
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 10.000+
Sürümde Yamalı: 5.0.1.9
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 5.0.1.9 sürümüne güncellemelisiniz.

15. WooCommerce için Sipariş Takibi

Eklenti: WooCommerce için Sipariş Takibi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 10.000+
Sürümde Yamalı : 1.1.10
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 1.1.10 sürümüne güncelleme yapmalısınız.

16. Bağlantı Kitaplığı

Eklenti: Bağlantı Kitaplığı
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 10.000+
Sürümde Yamalı : 7.2.8
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 7.2.8 sürümüne güncellemelisiniz.

Eklenti: Bağlantı Kitaplığı
Güvenlik Açığı : Kitaplık Ayarları CSRF ile Sıfırlanıyor
Aktif Kurulum : 10.000+
Sürümde Yamalı : 7.2.8
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 7.2.8 sürümüne güncellemelisiniz.

Eklenti: Bağlantı Kitaplığı
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Bağlantıların Silinmesi
Aktif Kurulum : 10.000+
Sürümde Yamalı : 7.2.8
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 7.2.8 sürümüne güncellemelisiniz.

17. AF Arkadaşı

Eklenti: AF Companion
Güvenlik Açığı : CSRF aracılığıyla Keyfi Eklenti Kurulumu ve Aktivasyonu
Aktif Kurulum : 9.000+
Sürümde Yamalı : 1.2.0
Önem Puanı : Yüksek

Güvenlik açığı düzeltildi, bu nedenle 1.2.0 sürümüne güncellemelisiniz.

18. KNR Yazar Listesi Widget'ı

Eklenti: KNR Yazar Listesi Widget'ı
Güvenlik Açığı : Kimliği Doğrulanmamış SQL Enjeksiyonu
Aktif Kurulum : 200+
Sürümde Yamalı : 3.0.0
Önem Puanı : Kritik

Güvenlik açığı yamalanmıştır, bu nedenle 3.0.0 sürümüne güncellemeniz gerekir.

19. WP Çerez Kullanıcı Bilgileri

Eklenti: WP Çerez Kullanıcı Bilgisi
Güvenlik Açığı : Yönetici+ SQL Enjeksiyonu
Aktif Kurulum : 200+
Sürümde Yamalı : 1.0.9
Önem Puanı : Orta

Güvenlik açığı düzeltildi, bu nedenle 1.0.9 sürümüne güncellemelisiniz.

WordPress Eklenti Güvenlik Açıkları: Eklenti Kapatıldı

Bu bölümde, kapalı eklentilerdeki en son WordPress eklenti güvenlik açıkları açıklanmıştır. Her eklenti listesi, güvenlik açığının türünü, önem derecesini ve kapatılma tarihini içerir.

20. Laboratuvar Araçları

Eklenti: LabTools
Güvenlik Açığı : Abone+ Keyfi Yayın Silme
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : Orta

Bu güvenlik açığı yamalanmadı. Bu eklenti 28 Aralık 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

21. Etki Alanı Kontrolü

Eklenti: Etki Alanı Kontrolü
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı yamalanmadı. Bu eklenti 28 Aralık 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

22. Hata Günlüğü Görüntüleyici

Eklenti: Hata Günlüğü Görüntüleyici
Güvenlik Açığı : CSRF Yoluyla Keyfi Metin Dosyası Silme
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : Düşük

Bu güvenlik açığı yamalanmadı. Bu eklenti 10 Kasım 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

23. WP Ziyaret Edilen Ülkeler Yeniden Yüklendi

Eklenti: WP Ziyaret Edilen Ülkeler Yeniden Yüklendi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı: 3.1.1- eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 23 Eylül 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

24. Öğrenme Kursları

Eklenti: Öğrenme Kursları
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Sürümde Yamalı : 5.0 – eklenti kapatıldı
Önem Puanı : Düşük

Bu güvenlik açığı düzeltildi. Bu eklenti 8 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

25. Mükemmel Anket

Eklenti: Mükemmel Anket
Güvenlik Açığı : Saklanan XSS'ye Yetkisiz AJAX Çağrısı / Anket Ayarları Güncellemesi
Sürümde Yamalı : 1.5.2 – eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 5 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

Eklenti: Mükemmel Anket
Güvenlik Açığı : Saklanan XSS'ye Yetkisiz AJAX Çağrısı / Anket Ayarları Güncellemesi
Sürümde Yamalı : 1.5.2 – eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 5 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

Eklenti: Mükemmel Anket
Güvenlik Açığı : Kimliği Doğrulanmamış SQL Enjeksiyonu
Sürümde Yamalı : 1.5.2 – eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 5 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

Eklenti: Mükemmel Anket
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : 1.5.2 – eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 5 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

Eklenti: Mükemmel Anket
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : Bilinen bir düzeltme yok - eklenti kapatıldı
Önem Puanı : Yüksek

Bu güvenlik açığı düzeltildi. Bu eklenti 5 Ekim 2021 tarihi itibariyle kapatılmıştır. Kaldırın ve silin.

WordPress Eklenti Güvenlik Açıkları: Bilinen Düzeltme Yok

Bu bölümde, kapalı eklentilerdeki en son WordPress eklenti güvenlik açıkları açıklanmıştır. Her eklenti listesi, güvenlik açığının türünü, önem derecesini ve kapatılma tarihini içerir.

26. Medyatik

Eklenti: Medyamatik
Güvenlik Açığı : Abone+ SQL Enjeksiyonu
Aktif Kurulum : 3.000+
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Yüksek

Bu güvenlik açığı yamalanmadı. Bir yama yayınlanana kadar eklentiyi kaldırın ve silin.

WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?

Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.

1. iThemes Security Pro Eklentisini yükleyin

iThemes Security Pro eklentisi, WordPress sitenizi, web sitelerinin saldırıya uğramasının en yaygın yollarına karşı güçlendirir. Kullanımı kolay tek bir eklentide sitenizi güvence altına almanın 30'dan fazla yolu.

2. Bilinen Güvenlik Açıklarını Kontrol Etmek için Site Taramasını Etkinleştirin

iThemes Security Pro'daki Sürüm Yönetimi özelliği, sitenizi korumak için Site Taraması ile entegre olur. Güvenlik açığı bulunan temalar, eklentiler ve WordPress çekirdek sürümleri sizin için otomatik olarak güncellenecektir.

3. Dosya Değişikliği Algılamayı Etkinleştir

Bir güvenlik ihlalini hızlı bir şekilde tespit etmenin anahtarı, web sitenizdeki dosya değişikliklerini izlemektir. iThemes Security Pro'daki Dosya Değişikliği Algılama özelliği, web sitenizin dosyalarını tarayacak ve web sitenizde değişiklikler meydana geldiğinde sizi uyaracaktır.

7/24 Web Sitesi Güvenlik İzleme ile iThemes Security Pro'yu edinin

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra güvenlik katmanları ekleyebilirsiniz.

  • Eklenti ve tema güvenlik açıkları için site tarayıcı
  • Dosya değişikliği algılama
  • Gerçek zamanlı web sitesi güvenlik panosu
  • WordPress güvenlik günlükleri
  • Güvenilir cihazlar
  • reCAPTCHA
  • kaba kuvvet koruması
  • Ayrıcalık yükseltme
  • Güvenliği ihlal edilmiş parolaların kontrolü ve reddi

iThemes Security Pro'yu edinin