Giriş
Son günlerde, 60,000’den fazla WordPress sitesini etkileyen kritik bir güvenlik açığı ortaya çıkmıştır. Bu açık, siber suçluların yönetici hesapları oluşturarak sitelere tamamen erişim sağlamasına olanak tanımaktadır.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-1492 kodu ile takip edilmektedir ve 9.8’lik kritik bir şiddet derecesine sahiptir. WPEverest tarafından geliştirilen User Registration & Membership eklentisi, kullanıcı kayıt süreçlerinde kullanıcı tarafından sağlanan bir rol kabul ettiği için saldırganlar, kimlik doğrulamaya ihtiyaç duymadan yönetici hesapları oluşturabilmektedir.
Etkilenen Sistemler
Bu güvenlik açığı, User Registration & Membership eklentisinin tüm versiyonlarını etkilemektedir ve bu kapsamda en son güncelleme 5.1.2 sürümüdür. Geliştirici, 5.1.3 sürümünde bir düzeltme sunmuş, şu anda en son sürüm 5.1.4 olarak piyasaya sürülmüştür. Web yöneticileri, eklentinin en son versiyonuna güncelleme yapmaları gerektiği konusunda uyarılmıştır.
Çözüm ve Korunma
Eğer güncelleme mümkün değilse, eklentiyi geçici olarak devre dışı bırakmak veya kaldırmak önerilmektedir. Aksi halde, bu tür bir erişim sağlayan bir saldırgan, kayıtlı kullanıcıların veritabanı gibi hassas verilere ulaşabilir ve ziyaretçilere kötü amaçlı yazılım dağıtmak için zararlı kodlar yerleştirebilir.
- Güncelleme yapın: Eklentinin en son versiyonu 5.1.4’tür.
- Güncelleme yapılamıyorsa: Eklentiyi devre dışı bırakın veya kaldırın.
- Web sitenizin güvenliğini kontrol edin: Güvenlik önlemlerini artırmak için gerekli adımları atın.
Sonuç
Web yöneticileri, bu ciddi güvenlik açığını göz ardı etmemeli ve sitelerinin güvenliğini sağlamak için derhal eklentilerini güncellemeli veya devre dışı bırakmalıdır. Unutmayın, sürekli olarak WordPress siteleri hedef alınmakta ve saldırganlar, kötü niyetli aktiviteleri gerçekleştirmek için sitelerinizi istismar etmektedir.
