2020’de ele alınan birden fazla WordPress eklentisinin vahşi ortamda istismar edildiği tespit edildi. WordPress eklenti güvenlik açığı 2020’den beri yamalanıyor olmasına rağmen, bu eklentiler nedeniyle siteler arası istek sahteciliği (CSRF) saldırıları meydana geldi.
WordPress eklentileri güvenlik açıkları hakkında ayrıntılar
inTheWild’in raporlarına göre, 70’in üzerinde WordPress eklentisi ve teması savunmasızdı ve vahşi ortamda istismar ediliyor. Ancak, kimin hedef alındığı ve verilerin siber suçlular tarafından çalındığı net değil.
Cyber Express, istismarların ayrıntıları için inTheWild ekibine ulaştı. Yanıtını aldıktan sonra bu hikayeyi güncelleyeceğiz.
Yüksek önem dereceli WordPress eklentisi güvenlik açığı CVE-2021-4342, 8.8 önem derecesine sahipti.
Bir Wordfence Intelligence raporuna göre, ilk olarak 26 Eylül 2023’te yayınlandı ve en son 7 Haziran 2023’te güncellendi.
WordPress eklentilerindeki güvenlik açıkları, yanlış uygulanan korumasızlık nedeniyle istismar edilebilir hale getirildi.
Bilgisayar korsanlarının koruma katmanını atlamasına ve web sitelerinin uygulamaya girmesini engellemek için kullanılan önleyici tedbirleri atlatmasına izin verdi. Bilgisayar korsanları, hesap sahipleri gibi çalışabilir ve WordPress eklentileri ve temaları güvenlik açığından yararlanarak sistem verilerini çalabilir.
CSRF saldırıları, veri saldırıları için WordPress eklentilerinin güvenlik açıklarını nasıl kullandı?
Siteler Arası İstek Sahteciliği saldırısı, bir cihazın meşru kullanıcısını, başka bir kullanıcının kimliğini doğrulamak için bir Web uygulamasına kötü amaçlı bir istek göndermek üzere manipüle eder.
Sea Surf veya Session Riding olarak da adlandırılan CSRF, hedefin ayrıcalıklarını elde etmek ve sistemi kötü niyetli olarak kullanmak için kullanılan bir web güvenlik açığıdır.
WordPress eklentileri ve temaları güvenlik açığı, bir kullanıcının kötü amaçlı bir bağlantıya dokunmasına veya bu bağlantıya erişmesine bağlı olduğundan, beklenmedik bağlantılara tıklanmayarak bir CSRF saldırısı yoluyla istismar büyük ölçüde önlenebilir.
WordPress temaları güvenlik açığı yoluyla CSRF saldırılarına karşı azaltma mekanizması
WordPress API, bir istekte nonce’ın geçerliliğini kontrol etmek için nonce adlı tek seferlik bir güvenlik belirteci sundu.
Bir bağlantının meşru olup olmadığını bilmek için, saldırıları önleyen bir CSRF belirteci uygulanabilir. Ancak, oturum tanımlama bilgileri yerine CSRF belirteçlerinin HTML biçiminde saklanmasını gerektirir.
Uygulamanın oturumunu kapatmak, uygulamanın garip saatlerde manipülasyon için açığa çıkmasını da önleyebilir. Kullanıcıların kullanıcı adlarını ve parolalarını hemen değiştirmeleri ve bunu her üç ayda bir yapmaya devam etmeleri yararlı olacaktır.
Parolaların hatırlanmasına izin veren ayarları kaldırın ve kötü amaçlı bir bağlantıya tıklamaktan kaçınmak için tarayıcıdaki diğer sekmelere veya uygulamalara erişmeden uygulamayı tek başına kullanın.
WordPress eklentileri güvenlik açıklarını gidermek için 2020’den beri yayınlanan güncellemelerin listesi
16 Eylül 2020’de bir rapor, savunmasız 25 WordPress eklentisi kaydetti. Bu savunmasız WordPress eklentileri, blog web sitesinde çeşitli özellikler sunuyordu ve genişletilmiş faydaları nedeniyle blog yazarları arasında popülerdi.
Bazıları aşağıdaki gibidir –
- 2020’de 100.000’den fazla kurulumu olan Cartflows.
- 100.000’den fazla kurulumla Ücretli Üyelikler Pro.
- 10.000’den fazla kurulumla Harika Zaman Çizelgesi.
- 70.000’den fazla kez indirilen Özel Alan Şablonu.
- eTicaret Ürün Kataloğu Eklentisi 10.000’den fazla kez indirildi.
26 Eylül 2020’de kataloğa daha fazla WordPress eklentisi ve teması eklendi. Bu raporda ele alınan savunmasız WordPress eklentileri Ocean Extra ve EWWW Image Optimizer idi.
Bu raporda belirtilen savunmasız WordPress temaları, akıllı telefonlarda iyi bir kullanıcı arabirimi için bir WordPress teması olan Customizr’ı içeriyordu.
Mart 2021’de, birden çok WordPress eklentisini ele alan bir raporda güncellemeler sunuldu. Bazıları dahil –
- SMTP Posta Göndericisini/E-postasını Gönder Bir posta eklentisini günlüğe kaydet
- Çeşitli form türleri oluşturmak için Forminator
- E-ticaret ile ilgili çalışmaları olan Dokan
Güncellemeler 8 Haziran 2021 ve 21 Haziran 2021’e kadar devam etti ve burada Qtranslate Slug, Custom css-js-php, Mutlak İncelemeler ve Gelişmiş Açılır Pencereler dahil olmak üzere çeşitli WordPress eklentilerine yamalar sunuldu.
Temmuz 2021 ve Ağustos 2021’de Slider Hero, WP-Backgrounds Lite ve WP Güvenlik Sorusunu ele alan aşağıdaki WordPress eklentisi güvenlik açıkları güncellemeleri sunuldu. Bundan sonra, yakın zamanda vahşi ortamda istismar edildiği tespit edilene kadar, WordPress eklentileri ve temalarının güvenlik açığı için herhangi bir güncelleme yapılmadı.