WordPress geliştiricileri, web sitelerine yama uygulayarak ve birden fazla güvenlik açığını ortadan kaldırarak milyonlarca kullanıcıya otomatik bir güncelleme gönderdi.
Bu güvenlik açıklarından bazıları o kadar şiddetliydi ki, istismar edilirse saldırganın siteyi tamamen ele geçirmesine izin verebilirken, diğerleri daha az tehlikeliydi ve istismar için belirli bir düzeyde yönetici erişimi gerektiriyordu.
Toplamda, WordPress 5.8.3 sürümüyle dört güvenlik açığı düzeltildi. Web yöneticilerine ve diğer yöneticilere, hedef alınamayacaklarından emin olmak için sitelerinin üzerinde çalıştığı WordPress sürümünü iki kez kontrol etmeleri önerilir.
Büyük platform, büyük hedef
WordPress güvenlik eklentisi geliştiricileri Wordfence, güvenlik sürümünü analiz ederken, yamanın, güvenlik sürümleri için otomatik çekirdek güncellemeleri destekleyen ilk sürüm olan 3.7’den bu yana WordPress’in her sürümüne desteklendiğini söyledi. Bu, neredeyse tüm web sitelerinin güvenli olması gerektiği anlamına gelir, çünkü “savunmasız kalan tüm siteler yalnızca çok özel koşullar altında istismar edilebilir.”
WordPress, dünyanın en popüler web sitesi oluşturucusudur ve bu nedenle, genellikle kötü niyetli aktörlerin ve diğer siber dolandırıcıların hedefidir. Kullanıcılara, çoğu tehlikeli güvenlik açıkları taşıyabilecek binlerce eklenti içeren bir web mağazası sunar.
Bir aydan kısa bir süre önce, 800.000’den fazla WordPress web sitesinin “Hepsi Bir Arada” SEO WordPress eklentisine yama yapmaması nedeniyle “basit” bir devralma güvenlik açığına karşı savunmasız olduğu bildirildi.
Kusurları ilk tespit eden otomatik güvenlik araştırmacısı Marc Montpas, bu kusurları savunmasız sitelerde kötüye kullanmanın kolay olduğunu, çünkü saldırganın tüm ayrıcalık kontrollerini atlatmak için “tek bir karakteri büyük harfe” çevirmesi gerektiğini söyledi.
Yaklaşık iki ay önce, Başlangıç Şablonları – Elementor, Gutenberg & Beaver Builder Templates eklentisindeki bir güvenlik açığı, katkıda bulunan düzeyindeki kullanıcıların sitedeki herhangi bir sayfanın üzerine tamamen yazmasına ve istedikleri zaman kötü niyetli JavaScript yerleştirmesine izin verdi. Bu durumda, bir milyondan fazla site risk altındaydı.
Aynı ay, “WooCommerce için Önizleme E-postaları” eklentisinin de ciddi bir kusur barındırdığı ve potansiyel olarak saldırganların siteyi tamamen ele geçirmesine izin verdiği bulundu. Eklenti 20.000’den fazla site tarafından kullanıldı.
- Şu anda en iyi güvenlik duvarları listemize de göz atmak isteyebilirsiniz.
