Cyber Express, İnternette en yaygın kullanılan içerik yönetim sistemi (CMS) olan WordPress’i kullanır. Popülerliği ayrıca, WordPress güvenlik açıkları ve ardından bilgisayar korsanlığı için daha yüksek geliştirici incelemesiyle karşı karşıya olduğu anlamına gelir.
Sitenizin karşılaşabileceği günlük tehditlerin sayısını tahmin etmek imkansız olsa da, bir saldırının kurbanı olmanız durumunda WordPress’e özgü potansiyel güvenlik açıklarının farkında olmanız ve bunları anlamanız önemlidir.
WordPress ortamında birden fazla sıfır gün güvenlik açığını ve bunları mümkün olan en kısa sürede düzeltmemenin sonuçlarını zaten gördük. WordFence tehdit istihbarat ekibi, Eylül ayında WPGateway eklentisi hakkında bir uyarı yayınladı.
CVE-2022-3180 (CVSS puanı 9.8), saldırganların WPGateway kullanan web sitelerine bir yönetici hesabı eklemesine izin veren güvenlik açığına atandı.
Wordfence’e göre, YITH WooCommerce hediye kartları premium WordPress uzantısında başka kritik WordPress güvenlik açıkları var. Bu güvenlik açığı, saldırganlar tarafından sistemi ele geçirmek için kullanılabilir.
YITH WooCommerce Hediye Kartı uzantısı sayesinde, çevrimiçi perakendeciler müşterileri için hediye kartları oluşturabilir ve satabilir. Geliştiricisi, premium sürümün 50.000’den fazla kuruluma sahip olduğunu iddia ediyor.
bu CVE-2022-45359 güvenlik açığı (CVSS puanı 9.8)) bildirildikten sonra Kasım ayında düzeltildi.
Bir güvenlik firması, bir saldırganın güvenlik açığıyla dolu bir kuruluma arka kapı yerleştirerek sistemi ele geçirebileceğini kaydetti.
Bilinmesi gereken bir diğer kritik şey de, bir saldırgan yönetici ayrıcalıklarına sahip olduğunda, pratik olarak web sitesinin kontrolünü ele geçirebilir ve yöneticileri siteden ekleyebilir/kaldırabilir.
İşte 2022’de tespit edilen WordPress güvenlik açıklarından bazıları.
Önemli WordPress Güvenlik Açıkları Arasında Yarışma Galerisi
19.1.5.1 sürümünden önceki Yarışma Galerisi eklentisi de bir güvenlik açığının kurbanı oluyor. Uzmanlara göre, eklenti, users-registry-check-registering-and-login.php içindeki bir SQL sorgusuna birleştirmeden önce Fields POST parametresini sabitleyemiyor. Bunun anlamı, herhangi bir yetkisiz kullanıcının sitenin veritabanına erişerek hassas bilgiler ve sahiplik için bir tehdit oluşturmasıdır.
Spam Yapanların Güvenliğini Durdurun
Stop Spammers Security, spam yorumlara karşı koruma sağlayan, güvenlik açısından zengin bir WordPress eklentisidir. Ancak, bir güvenlik açığı eklentinin arızalanmasına neden oldu ve koruma sağlayamadı. Kaynaklara göre eklenti, base64 kodlu kullanıcı girdisini unserialize() PHP işlevine iletir. Bu, blogda kurulu eklentinin uygun bir gadget zincirine sahip olması durumunda PHP Nesne enjeksiyonuna yol açabilir.
WooCommerce için Güçlendirici
Booster for WooCommerce, mağaza sahiplerinin satışları artırmak için ürün ve ödeme sayfalarında müşteriler için teklifler oluşturmasına olanak tanır. 6.0.0’dan önceki sürümler, bazı URL’ler geçemediğinden ve bir saldırganın bir web sitesine kötü amaçlı kod enjekte etmesine olanak tanıyan bir web güvenlik açığı olan Yansıtılmış Siteler Arası Komut Dosyası Oluşturma için kapılar açtığından sınırlı güvenlik sağlar. Bu kod, kurbanın web tarayıcısı tarafından yürütülür ve saldırganın hassas bilgileri çalmasına veya başka kötü niyetli eylemler gerçekleştirmesine olanak tanır.
Menü Öğesi Görünürlüğü
Menü Öğesi Görünürlüğü, WordPress menülerine birincil kontrol sağlayan bir WordPress eklentisidir ve kaynağa göre, eklenti herhangi bir koruma sağlamaz ve WordPress menü öğeleri için “Görünürlük mantığı” seçeneğini doğrular. Bu güvenlik açığı, “yüksek düzeyde ayrıcalıklı” kullanıcıların keyfi PHP kodu yürütmesine izin verebilir.
Son olarak, şifreler!
WordPress yöneticileri, güçlü parolalar kullanmanın önemini ve zayıf parolalarla ilişkili riskleri bilmelidir. Güçlü parolaların hatırlanması zor olabilir, bu nedenle insanlar hatırlaması daha kolay olan daha basit, daha savunmasız parolaları tercih edebilir.
Bu, daha sık saldırılara katkıda bulunur ve yetkisiz erişim alma riski birkaç kat artar. Son birkaç ayda, WordPress web sitelerine hala zarar verebilecek birkaç WordPress güvenlik açığı olmuştur.
Bu WordPress web sitelerinde, kullanılabilecek diğer güvenlik açıklarının yanı sıra, belirli sayıda karakter gerektirmek veya belirli karakterlerin kullanılmasını yasaklamak gibi, kullanılabilecek şifre türleri üzerinde sınırlamalar olabilir.