WordPress eklentileri, kuruluşların herhangi bir kodlama veya ileri teknik beceri gerektirmeden web sitelerinin işlevselliğini hızla genişletmelerine olanak tanır. Ancak son yıllarda web sitesi operatörleri için en büyük risk kaynağı da oldular.
En yeni örnek, bir milyondan fazla WordPress web sitesinin kullandığı, Essential Addons for Elementor Plugin adlı bir eklentideki kritik bir ayrıcalık yükseltme güvenlik açığıdır. Şu şekilde izlenen güvenlik açığı: CVE-2023-32243, eklentinin 5.4.0 ila 5.7.1 sürümlerini etkiler ve kimliği doğrulanmamış bir saldırganın, bir yöneticininki de dahil olmak üzere WordPress sitesindeki herhangi bir kullanıcının ayrıcalıklarına yükseltmesine olanak tanır.
Ayrıcalık Yükseltme Hatası
Patchstack’teki araştırmacılar, 8 Mayıs’ta güvenlik açığını keşfettiler ve Essential Addons for Elementor’ın yazarı WPDeveloper’a bildirdiler. 11 Mayıs’ta WPDeveloper, yazılımın yeni bir sürümünü yayınladı (sürüm 5.7.2) bu hatayı giderir. Satıcı, yeni sürümün yazılım için oturum açma ve kayıt formunda bir güvenlik geliştirmesi içerdiğini açıkladı.
Patchstack’e göre hata, Essential Addons’ın ilgili parola sıfırlama anahtarlarının mevcut ve meşru olup olmadığını doğrulamadan parolaları sıfırlama koduyla ilgili. Bu, kimliği doğrulanmamış bir saldırganın, etkilenen bir WordPress sitesindeki herhangi bir kullanıcının parolasını sıfırlaması ve hesaplarında oturum açması için bir yol sunar.
“Bu güvenlik açığı, çünkü [the] şifre sıfırlama işlevi, bir şifre sıfırlama anahtarını doğrulamaz ve bunun yerine doğrudan verilen kullanıcının şifresini değiştirir.” Patchstack bir gönderide söyledi.
Yeni hata, araştırmacıların son yıllarda WordPress eklentilerinde keşfettiği binlerce güvenlik açığından biri.
yama yığını sayıldı 4.528 yeni güvenlik açığı Yalnızca 2022’de WordPress eklentilerinde, 2021’de gözlemlediği 1.382’ye göre %328’lik şaşırtıcı bir artış. 2022’de WordPress ortamında bildirilen hataların %93’ünü eklentiler oluşturuyordu. Hataların yaklaşık %14’ü ya yüksek ya da kritik düzeydeydi.
Amansız Kusurlar Yağmuru
Trend bu yıl hız kesmeden devam etti. WordPress eklenti kusurlarını haftalık olarak izleyen bir şirket olan iThemes 160 güvenlik açığı sayıldı sadece 26 Nisan’da sona eren bir haftalık dönemde. Hatalar, yaklaşık 8 milyon WordPress web sitesini etkiledi ve bunların yalnızca 68’inde güvenlik açığı ifşa edildiğinde yamalar vardı.
Daha geçen hafta Patchstack, iki milyon web sitesini etkileyen farklı bir WordPress eklentisinde (Gelişmiş Özel Alanlar Eklentileri) başka bir ayrıcalık yükseltme güvenlik açığı bildirdi. Güvenlik açığı, saldırganlara hem etkilenen sitelerden hassas verileri çalmanın hem de bu sitelerdeki ayrıcalıkları artırmanın bir yolunu verdi.
Nisan ayında Sucuri, bir tehdit aktörünün en az son beş yıldır savunmasız eklentiler aracılığıyla WordPress sitelerine sistematik olarak kötü amaçlı yazılım enjekte ettiği “Balada Enjektörü” adlı bir kampanya hakkında bilgi verdi. Güvenlik satıcısı, kampanyanın arkasındaki tehdit aktörünün en az bir milyon WordPress sitesine site ziyaretçilerini sahte teknik destek sitelerine, hileli piyango sitelerine ve diğer dolandırıcılık sitelerine yönlendiren kötü amaçlı yazılım bulaştırdığını değerlendirdi.
Sucuri, tehdit aktörünün WordPress sitelerine karşı büyük saldırı dalgaları başlatmak için yeni açıklanan güvenlik açıklarını ve bazı durumlarda sıfır gün hatalarını kullandığını tespit etti.
Saldırganın WordPress ekosistemine olan ilgisinin çoğu, yaygın kullanımıyla ilgilidir. Dünya çapındaki WordPress sitelerinin tam sayısına ilişkin tahminler, bazıları sayıyı 100’den fazla olarak sabitlemekle birlikte büyük ölçüde değişmektedir. 800 milyon. Bazılarının WordPress ile ilgili istatistikler için güvenilir bir kaynak olduğunu düşündüğü teknoloji anketi web sitesi W3Techs, bazılarının Tüm web sitelerinin %43’ü dünya çapında şu anda WordPress kullanıyor.
Patchstack’e göre, WordPress ekosisteminde rapor edilen artan sayıda güvenlik açığı, eklenti geliştiricilerin daha özensiz hale geldiğinin bir işareti olmayabilir. Bunun yerine, güvenlik araştırmacılarının daha dikkatli baktığını gösteriyor.
Patchstack, “Bu aynı zamanda WordPress ekosisteminin daha güvenli hale geldiği anlamına geliyor çünkü bu güvenlik hatalarının çoğu ele alınıyor ve yamalanıyor” dedi.