Bir WordPress eklentisi sorununun raporlarına göz atıyoruz. Düzeltildi, ancak güncellemeniz gerekebilir!
Tüm WordPress eklentilerinizin tamamen güncel olduğundan (veya ihtiyacınız yoksa kaldırıldığından) emin olmanız için bir hatırlatma zamanı. Bleeping Computer, LearnPress adlı bir eklentide 75.000 kadar WordPress sitesinin çeşitli kusurlara açık olabileceğini bildiriyor. Daha da kötüsü, eklenti kullanıcıları için güncelleme çetelesi pek iyi gitmiyor ve site sahiplerinin büyük bir kısmı hala güncellenecek.
Bir web sitesine sahipseniz veya işletiyorsanız, WordPress kullanma şansı çok yüksektir. Web sitelerinin yüzde 40’ından fazlası bunun bir sürümünü kullanıyor ve diğer tüm web sitesi İçerik Yönetim Sistemlerinin (CMS) birleştirdiği daha fazla web sitesinde kullanılıyor. Bu kadar popüler olmasının nedenlerinden biri, sayısı on binlerce olan eklentiler eklenerek kolayca genişletilebilmesidir.
Güncel tutulması ve iki faktörlü kimlik doğrulama ile korunması koşuluyla, WordPress’in kendisi oldukça güvenlidir. Bu nedenle, son yıllarda tehdit aktörleri, doğrudan saldırmak yerine eklentilerdeki güvenlik açıkları aracılığıyla onu kullanmaya odaklandı.
LearnPress, ek özellikler için ekstra ücretli seçeneklerle çevrimiçi kurslar oluşturmak ve satmak için kullanılan bir WordPress eklentisidir. Bu, şirketler ağırlıklı olarak yalnızca çevrimiçi ve uzaktan hizmetlere ağırlık vermeye devam ettiğinden, şüphesiz pandemi sırasında ve aslında günümüze kadar popüler olacak bir şeydi.
O halde istismar ve hedefli saldırılar için olgun bir hedef.
Bölgede 100.000 site LearnPress eklentisini kullanıyor ve eğer henüz yapmamışlarsa hepsinin LearnPress 4.2.0’a yükseltmesi gerekecek.
Güvenlik açıkları şunlardır:
- CVE-2022-47615, API anahtarlarının, kimlik bilgilerinin ve diğer sırların açığa çıkmasına yol açabilecek bir web sunucusundaki yerel dosyaların uzaktan görüntülenmesine izin veren, kimliği doğrulanmamış bir Yerel Dosya Dahil Etme güvenlik açığı.
- CVE-2022-45808 ve CVE-2022-45820, veri değişikliği, kod yürütme ve daha fazlasıyla sonuçlanabilecek bir çift SQL enjeksiyon güvenlik açığı.
Patchstack, 30 Kasım 2022 ile 4 Aralık 2022 arasındaki üç sorunu keşfetti; ilk erişim, ilk keşifle aynı gün ve sonraki ayrıntılar sonraki günlerde aktarıldı. Sorunlar 20 Aralık’ta yamalandı.
Bu, eklentiler için gördüğümüz diğer bazı zaman çizelgesi bildirimlerine kıyasla oldukça hızlı bir geri dönüş. Gerçekten de, bir geliştiriciden hiç haber alamamak ve eklentinin kullanımdan kaldırıldığını keşfetmek alışılmadık bir durum değildir. (Kendinizi terkedilmiş bir eklentiyle uğraşırken bulursanız, sitenizi ondan kurtarmanız gerekir, bu da site yöneticisi için ek komplikasyonlara ve baş ağrısına neden olabilir.)
Tekrarlamak gerekirse, LearnPress kurulumunuzu 4.2.0 sürümüne yükseltmek, bu belirli güvenlik açıklarını kapatmanın yoludur. Bu yapıldığında, daha fazla endişeniz olmamalıdır.
Genel olarak eklentilerinize gelince, bu, sitenizi hızlı bir şekilde temizlemek ve hangi eklentilere ihtiyacınız olup olmadığını görmek için mükemmel bir zaman olabilir:
- Mevcut eklentileri güncelleyin. WordPress kullanıyorsanız, sitenize giriş yaparak ve şuraya giderek güncellenmesi gereken herhangi bir eklentiniz olup olmadığını kontrol edebilirsiniz. Gösterge Paneli > Güncellemeler ( Temalar ve Eklentiler herhangi bir güncelleme gerekiyorsa menü öğelerinin yanında kırmızı daireler de olacaktır.) Her şeyi güncelleyin.
- Eklentiler için otomatik güncellemeleri aç. Varsayılan olarak, WordPress eklentileri otomatik olarak güncellemez. Bunu, şu adrese giderek eklenti bazında etkinleştirebilirsiniz: Eklentiler ekran ve tıklama Otomatik güncellemeleri etkinleştir her eklentinin yanında.
- Desteklenmeyen eklentileri kaldırın. Gitmek Eklentiler ekran ve tıklayın Detayları göster her eklenti için. Bu ekran, eklentinin test edildiği son WordPress sürümünü ve en son ne zaman güncellendiğini gösterir. Ayrıca, eklentinin artık desteklenmediğini düşünürse bir uyarı görüntüler.
- Gereksiz eklentileri kaldırın. Sitenize kaç tane eklenti ve tema yüklediğinize bakın. Hepsine ihtiyacın var mı? Bunlardan herhangi biri çıkarılabilir veya değiştirilebilir mi? Genel olarak, daha azı daha iyidir.
Tema ve eklentileri takip etmek için yeterli zaman ayıramıyorsanız, bunu yapmamanın bir seçenek haline gelmesine izin vermeyin: Bunu sizin için yapması için birisine ödeme yapın.
Orada güvende kalın!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.