WordPress Güvenlik Açığı Raporu: Ocak 2022, 2. Bölüm
Yayınlanan: 2022-01-12Güvenlik açığı bulunan eklentiler ve temalar, WordPress web sitelerinin saldırıya uğramasının 1 numaralı nedenidir. WPScan tarafından desteklenen haftalık WordPress Güvenlik Açığı Raporu, en son WordPress eklentisini, temasını ve temel güvenlik açıklarını ve web sitenizde güvenlik açığı bulunan eklentilerden veya temalardan birini çalıştırırsanız ne yapmanız gerektiğini kapsar.
Her güvenlik açığı, Düşük , Orta , Yüksek veya Kritik önem derecesine sahip olacaktır. Güvenlik açıklarının sorumlu bir şekilde ifşa edilmesi ve raporlanması, WordPress topluluğunu güvende tutmanın ayrılmaz bir parçasıdır. Bu rapordaki yenilikler: Güvenlik açıkları artık açıklama tarihinden ziyade etkin yükleme sayısına göre sıralanıyor.
Lütfen bu gönderiyi arkadaşlarınızla paylaşın ve WordPress'i herkes için daha güvenli hale getirin !
WordPress Temel Güvenlik Açıkları
WordPress çekirdeğinin en son sürümü, kısa döngülü bir güvenlik sürümü olarak 6 Ocak 2022'de yayınlandı. WordPress 5.8.3 bir güvenlik sürümü olduğundan, tüm sitelerinizi hemen güncellemenizi öneririz.
WordPress.org'dan indirerek veya WordPress yönetici panonuz > Güncellemeler'i ziyaret edip Şimdi Güncelle'yi tıklayarak WordPress 5.8.3'e güncelleme yapabilirsiniz.
Otomatik arka plan güncellemelerini etkinleştirmiş siteleriniz varsa, bunların zaten başarıyla güncellenmiş olması gerekir.
WordPress Çekirdeği
Güvenlik Açığı : WP_Query aracılığıyla SQL Enjeksiyonu
Sürümde Yamalı : 5.8.3
Açıklama: WP_Meta_Query'deki uygun temizleme eksikliği nedeniyle, kör SQL Enjeksiyonu potansiyeli vardır.
Güvenlik Açığı : Yazar+ Depolanan XSS, Post Slug'lar aracılığıyla
Sürümde Yamalı : 5.8.3
Açıklama: WordPress çekirdeğindeki düşük ayrıcalıklı kimliği doğrulanmış kullanıcılar (yazar gibi), yüksek ayrıcalıklı kullanıcıları etkileyebilecek post sümüklü böcekler yoluyla JavaScript/depolanmış XSS saldırısı gerçekleştirebilir.
Güvenlik Açığı : Çoklu Sitelerde Süper Yönetici Nesnesi Enjeksiyonu
Sürümde Yamalı : 5.8.3
Açıklama: Bir çoklu sitede, Süper Yönetici rolüne sahip kullanıcılar, belirli koşullar altında nesne yerleştirme yoluyla açık/ilave sertleştirmeyi atlayabilir.
Güvenlik Açığı : WP_Meta_Query aracılığıyla SQL Enjeksiyonu
Sürümde Yamalı : 5.8.3
Açıklama: WP_Meta_Query'deki uygun temizleme eksikliği nedeniyle, kör SQL Enjeksiyonu potansiyeli vardır.
WordPress Eklenti Güvenlik Açıkları
Bu bölümde, en son WordPress eklenti güvenlik açıkları açıklandı. Her eklenti listesi, güvenlik açığının türünü, etkin yüklemeleri, yama uygulanmışsa sürüm numarasını ve önem derecesini içerir.
1. SVG Desteği
Eklenti: SVG Desteği
Güvenlik Açığı : Yönetici+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 800.000+
Sürümde Yamalı : 2.3.20
Önem Puanı : Düşük
2. Varlık Temizleme
Eklenti: Varlık Temizleme
Güvenlik Açığı : AJAX Eylemi aracılığıyla Yansıtılan Siteler Arası Komut Dosyası
Aktif Kurulum : 100,000+
Sürümde Yamalı: 1.3.8.5
Önem Puanı : Yüksek
Eklenti: Varlık Temizleme
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 100,000+
Sürümde Yamalı: 1.3.8.5
Önem Puanı : Orta
3. Ücretli Üyelikler Pro
Eklenti: Ücretli Üyelikler Pro
Güvenlik Açığı : Kimliği Doğrulanmamış Kör SQL Enjeksiyonu
Aktif Kurulum : 100,000+
Sürümde Yamalı: 2.6.7
Önem Puanı : Kritik
4. NextScripts: Sosyal Ağlar Otomatik Posteri
Eklenti: NextScripts: Sosyal Ağlar Otomatik Posteri
Güvenlik Açığı : CSRF aracılığıyla Keyfi Gönderi Silme
Aktif Kurulum : 90.000+
Yamalı Sürüm : 4.3.25
Önem Puanı : Orta
Eklenti: NextScripts: Sosyal Ağlar Otomatik Posteri
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanmış XSS
Aktif Kurulum : 90.000+
Yamalı Sürüm : 4.3.25
Önem Puanı : Yüksek
5. Fildişi Arama
Eklenti: Fildişi Arama
Güvenlik Açığı : Contributor+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 80.000+
Sürümde Yamalı : 5.4.1
Önem Puanı : Yüksek
6. Kolay Sosyal Besleme
Eklenti: Kolay Sosyal Besleme
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Aktif Kurulum : 70.000+
Sürümde Yamalı : 6.2.7
Önem Puanı : Yüksek
7. Görsel CSS Stil Editörü
Eklenti: Görsel CSS Stil Düzenleyicisi
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 50.000+
Sürümde Yamalı : 7.5.4
Önem Puanı : Yüksek
8. İletişim Formu Girişleri
Eklenti: İletişim Formu Girişleri
Güvenlik Açığı : Kimliği Doğrulanmamış Depolanan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 40.000+
Sürümde Yamalı : 1.1.7
Önem Puanı : Yüksek
9. Gelişmiş Cron Yöneticisi
Eklenti: Gelişmiş Cron Yöneticisi
Güvenlik Açığı : Abone+ Keyfi Olaylar/Program Oluşturma/Silme
Aktif Kurulum : 30.000+
Sürümde Yamalı : 2.4.2
Önem Puanı : Orta
10. WPYasal Sayfalar
Eklenti: WPLegalPages
Güvenlik Açığı : Kayıtlı XSS'de Abone+ Keyfi Ayarları Güncellemesi
Aktif Kurulum : 20.000+
Sürümde Yamalı : 2.7.1
Önem Puanı : Orta
11. WP Ziyaretçi İstatistikleri (Gerçek Zamanlı Trafik)
Eklenti: WP Ziyaretçi İstatistikleri (Gerçek Zamanlı Trafik)
Güvenlik Açığı : Abone+ SQL Enjeksiyonu
Aktif Kurulum : 20.000+
Sürümde Yamalı : 4.8
Önem Puanı : Yüksek
12. Kötü Klasörler
Eklenti: Kötü Klasörler
Güvenlik Açığı : Abone+ SQL Enjeksiyonu
Aktif Kurulum : 10.000+
Yamalı Sürüm : 2.8.10
Önem Puanı : Yüksek
13. DestekŞeker
Eklenti: SupportCandy
Güvenlik Açığı : Contributor+ Depolanan Siteler Arası Komut Dosyası
Aktif Kurulum : 10.000+
Sürümde Yamalı : 2.2.7
Önem Puanı : Orta
Eklenti: SupportCandy
Güvenlik Açığı : CSRF'den Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 10.000+
Sürümde Yamalı : 2.2.7
Önem Puanı : Orta
Eklenti: SupportCandy
Güvenlik Açığı : CSRF Yoluyla Keyfi Bilet Silme
Aktif Kurulum : 10.000+
Sürümde Yamalı : 2.2.7
Önem Puanı : Yüksek
Eklenti: SupportCandy
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Bilet Silme
Aktif Kurulum : 10.000+
Sürümde Yamalı : 2.2.7
Önem Puanı : Yüksek
Eklenti: SupportCandy
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Aktif Kurulum : 10.000+
Sürümde Yamalı : 2.2.7
Önem Puanı : Orta
14. WooCommerce Ürünlerini Yeniden Düzenleyin
Eklenti: WooCommerce Ürünlerini Yeniden Düzenleyin
Güvenlik Açığı : Abone+ SQL Enjeksiyonu
Aktif Kurulum : 10.000+
Sürümde Yamalı : 3.0.8
Önem Puanı : Yüksek
15. IP2Location Ülke Engelleyici
Eklenti: IP2Location Ülke Engelleyici
Güvenlik Açığı : CSRF aracılığıyla Keyfi Ülke Yasağı
Aktif Kurulum : 10.000+
Sürümde Yamalı: 2.26.6
Önem Puanı : Orta
Eklenti: IP2Location Ülke Engelleyici
Güvenlik Açığı : Abone+ Keyfi Ülke Yasağı
Aktif Kurulum : 10.000+
Sürümde Yamalı: 2.26.6
Önem Puanı : Orta
Eklenti: IP2Location Ülke Engelleyici
Güvenlik Açığı : Bypass'ı Yasaklama
Aktif Kurulum : 10.000+
Sürümde Yamalı: 2.26.6
Önem Puanı : Orta
16. Müthiş Destek – WordPress Yardım Masası ve Destek Eklentisi
Eklenti: Harika Destek – Titan Framework
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Aktif Kurulum : 10.000+
Sürümde Yamalı: 6.0.11
Önem Puanı : Yüksek
17. Nihai Ürün Kataloğu
Eklenti: Nihai Ürün Kataloğu
Güvenlik Açığı : Abone+ Keyfi Ürün Oluşturma ve Ayarlar Güncellemesi
Aktif Kurulum : 10.000
Sürümde Yamalı: 5.0.26
Önem Puanı : Orta
18. Belge Gömücü
Eklenti: Belge Gömücü
Güvenlik Açığı : Abone+ Keyfi Özel/Taslak Gönderi Başlığı Açıklaması
Aktif Kurulum : 9.000+
Yamalı Sürüm : 1.7.9
Önem Puanı : Orta
Eklenti: Belge Gömücü
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Özel/Taslak Gönderi Başlığı Açıklaması
Aktif Kurulum : 9.000+
Yamalı Sürüm : 1.7.9
Önem Puanı : Orta
19. RVM – Duyarlı Vektör Haritaları
Eklenti: RVM – Duyarlı Vektör Haritaları
Güvenlik Açığı : Abone+ Keyfi Dosya Okuma
Aktif Kurulum : 6,000+
Sürümde Yamalı : 6.4.2
Önem Puanı : Yüksek
20. Medyamatik
Eklenti: Medyamatik
Güvenlik Açığı : Abone+ SQL Enjeksiyonu
Aktif Kurulum : 3.000+
Sürümde Yamalı : 2.8.1
Önem Puanı : Yüksek
21. Woopra
Eklenti: Woopra
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Dosya Yükleme
Aktif Kurulum : 2.000+
Sürümde Yamalı: 1.4.3.2
Önem Puanı : Kritik
22. Kullanıcı Hakları Erişim Yöneticisi
Eklenti: Kullanıcı Hakları Erişim Yöneticisi
Güvenlik Açığı : Erişim Kısıtlama Atlaması
Aktif Kurulum : 900+
Sürümde Yamalı : 1.0.8
Önem Puanı : Orta
23. YuMoney düğmesi
Eklenti: YuMoney düğmesi – Titan Framework
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Aktif Kurulum : 900+
Sürümde Yamalı : 2.4.0
Önem Puanı : Yüksek
24. WooCommerce için TrustMate.io entegrasyonu
Eklenti: WooCommerce için TrustMate.io entegrasyonu
Güvenlik Açığı : Abone+ Keyfi Eklenti Ayarları Güncellemesi
Aktif Kurulum : 300+
Sürümde Yamalı: 1.8.12
Önem Puanı : Yüksek
Eklenti: WooCommerce için TrustMate.io entegrasyonu
Güvenlik Açığı : Abone+ Keyfi Blog Seçeneği Güncellemesi
Aktif Kurulum : 300+
Sürümde Yamalı : 1.7.1
Önem Puanı : Yüksek
25. Gerçek Sıralayıcı
Eklenti: True Ranker
Güvenlik Açığı : Yol Geçişi Yoluyla Kimliği Doğrulanmamış Keyfi Dosya Erişimi
Aktif Kurulum : 300+
Sürümde Yamalı : 2.2.4
Önem Puanı : Yüksek
26. WordPress için WebHotelier
Eklenti: WordPress için WebHotelier – Titan Framework
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Aktif Kurulum : 200+
Sürümde Yamalı : 1.6.1
Önem Puanı : Yüksek
Premium Eklenti Güvenlik Açıkları
Bu bölümde, en son WordPress premium eklenti güvenlik açıkları açıklandı. Her eklenti listesi, güvenlik açığının türünü, yama uygulanmışsa sürüm numarasını ve önem derecesini içerir.
27. Gelişmiş Cron Yöneticisi Pro
Eklenti: Gelişmiş Cron Manager Pro
Güvenlik Açığı : Abone+ Keyfi Olaylar/Program Oluşturma/Silme
Versiyonda Yamalı : 2.5.3
Önem Puanı : Orta
WordPress Eklenti Güvenlik Açıkları: Bilinen Düzeltme Yok
Bu bölümde, kapalı eklentilerdeki en son WordPress eklenti güvenlik açıkları açıklanmıştır. Her eklenti listesi, güvenlik açığının türünü, önem derecesini ve kapatılma tarihini içerir.
28. İletişim Formu 7 Dış Görünüm
Eklenti: İletişim Formu 7 Skins
Güvenlik Açığı : Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS)
Aktif Kurulum : 30.000+
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta
29. WooRockets Nitro
Eklenti: WooRockets Nitro
Güvenlik Açığı : Kimliği Doğrulanmamış Keyfi Eklenti Kurulumu
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Kritik
30. Amazon İş Ortağı
Eklenti: Amazon Bağlı Kuruluşu
Güvenlik Açığı : Yansıyan Siteler Arası Komut Dosyası Çalıştırma
Sürümde Yamalı : Bilinen bir düzeltme yok
Önem Puanı : Orta
WordPress Web Sitenizi Savunmasız Eklentilerden ve Temalardan Nasıl Korursunuz?
Bu rapordan da görebileceğiniz gibi, her hafta birçok yeni WordPress eklentisi ve tema güvenlik açığı ifşa ediliyor. Bildirilen her güvenlik açığı açıklamasını takip etmenin zor olabileceğini biliyoruz, bu nedenle iThemes Security Pro eklentisi, sitenizin bilinen bir güvenlik açığına sahip bir tema, eklenti veya WordPress çekirdek sürümü çalıştırmadığından emin olmanızı kolaylaştırır.
1. iThemes Security Pro Eklentisini yükleyin
iThemes Security Pro eklentisi, WordPress sitenizi, web sitelerinin saldırıya uğramasının en yaygın yollarına karşı güçlendirir. Kullanımı kolay tek bir eklentide sitenizi güvence altına almanın 30'dan fazla yolu.
2. Bilinen Güvenlik Açıklarını Kontrol Etmek için Site Taramasını Etkinleştirin
iThemes Security Pro'daki Sürüm Yönetimi özelliği, sitenizi korumak için Site Taraması ile entegre olur. Güvenlik açığı bulunan temalar, eklentiler ve WordPress çekirdek sürümleri sizin için otomatik olarak güncellenecektir.
3. Dosya Değişikliği Algılamayı Etkinleştir
Bir güvenlik ihlalini hızlı bir şekilde tespit etmenin anahtarı, web sitenizdeki dosya değişikliklerini izlemektir. iThemes Security Pro'daki Dosya Değişikliği Algılama özelliği, web sitenizin dosyalarını tarayacak ve web sitenizde değişiklikler meydana geldiğinde sizi uyaracaktır.
7/24 Web Sitesi Güvenlik İzleme ile iThemes Security Pro'yu edinin
WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra güvenlik katmanları ekleyebilirsiniz.
