Açık kaynaklı WordPress içerik yönetim sisteminin arkasındaki şirket olan Automattic, Jetpack WordPress eklentisindeki kritik bir güvenlik açığını gidermek için bugün milyonlarca web sitesine zorunlu bir güvenlik yaması yüklemeye başladı.
Jetpack, site yedeklemeleri, kaba kuvvet saldırı koruması, güvenli oturum açma, kötü amaçlı yazılım taraması ve daha fazlasını içeren ücretsiz güvenlik, performans ve web sitesi yönetimi iyileştirmeleri sağlayan son derece popüler bir eklentidir.
Resmi WordPress eklenti deposuna göre, eklenti Automattic tarafından sağlanmaktadır ve şu anda 5 milyondan fazla aktif kuruluma sahiptir.
Otomatik Geliştirici İlişkileri Mühendisi Jeremy Herve, “Dahili bir güvenlik denetimi sırasında, 2012’de yayınlanan 2.0 sürümünden beri Jetpack’te bulunan API’de bir güvenlik açığı bulduk” dedi.
“Bu güvenlik açığı, bir sitedeki yazarlar tarafından WordPress kurulumundaki herhangi bir dosyayı değiştirmek için kullanılabilir.”
Şu anda eklentiyi kullanan tüm WordPress web sitelerine otomatik olarak yayılan güvenlik düzeltme eki Jetpack 12.1.1, bugün kullanıma sunuldu ve 2.0’dan beri Jetpack’in her sürümünü kullanan 4.130.000’den fazla siteye yüklendi.
Bu, savunmasız web sitelerinin çoğunun otomatik olarak en son güvenli sürüme güncellendiği ve geri kalanının da yakında yamalanacağı anlamına gelir.
Herve ayrıca web sitesi yöneticilerini, hatanın saldırılarda kötüye kullanıldığına dair hiçbir işaret olmasa da, saldırganların büyük olasılıkla kusurun ayrıntılarını alacakları ve yama uygulanmamış WordPress web sitelerini hedef alan açıklardan yararlanacakları için sitelerinin güvenli olduğundan emin olmaları gerektiği konusunda uyardı.
Herve, “Bu güvenlik açığının vahşi ortamda istismar edildiğine dair hiçbir kanıtımız yok. Ancak, güncelleme yayınlandığına göre, birisinin bu güvenlik açığından yararlanmaya çalışması olasıdır” dedi.
“Sitenizin güvenliğini sağlamak için lütfen Jetpack sürümünüzü mümkün olan en kısa sürede güncelleyin. Bu süreçte size yardımcı olmak için, 2.0’dan bu yana her Jetpack sürümünün yamalı sürümlerini yayınlamak için WordPress.org Güvenlik Ekibi ile yakın bir şekilde çalıştık. Çoğu web siteleri otomatik olarak güvenli bir sürüme güncellendi veya yakında güncellenecek.”
Bu, Automattic’in WordPress eklentileri veya kurulumlarındaki kritik sorunları gidermek için güvenlik güncellemelerinin otomatik dağıtımını ilk kez kullanması değil.
Örneğin, WordPress geliştiricisi Samuel Wood, Ekim 2020’de Automattic’in bu yaklaşımı, WordPress 3.7 piyasaya sürüldüğünden beri “eklentiler için birçok kez güvenlik sürümlerini” zorlamak için kullandığını söyledi.