Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Eklentisi OptinMonster Güvenlik Açığı +1 Milyon Siteyi Etkiliyor

WordPress Eklentisi OptinMonster Güvenlik Açığı +1 Milyon Siteyi Etkiliyor

Yayınlanma Tarihi 17 Aralık 2021 | Kategori Güvenlik

Wordfence’deki WordPress güvenlik araştırmacıları, OptinMonster WordPress eklentisindeki bir kusurun, bilgisayar korsanlarının site ziyaretçilerine saldırmak ve sitenin tamamını ele geçirmelerine neden olmak için kötü amaçlı komut dosyaları yüklemesine izin verdiğini bildirdi.

Temel bir güvenlik kontrolünün yapılmaması, bir milyondan fazla siteyi olası bilgisayar korsanlığı olaylarına maruz bırakır. Wordfence araştırmacıları şu yorumu yaptı:

“… OptinMonster eklentisinde, kimliği doğrulanmamış saldırganların bir sitenin hassas verilerini almasını ve savunmasız sitelere kötü amaçlı komut dosyaları eklemek için kullanılabilecek OptinMonster kullanıcı hesaplarına yetkisiz erişim elde etmesini mümkün kılan tehlikeli bir istismar zincirini etkinleştiren bir kusuru ayrıntılı olarak açıkladık. ”

REST-API Uç Nokta Yeteneği Kontrolü Eksikliği

Bu güvenlik açığı, bilgisayar korsanlarının gerçekten akıllı olmaları ve mükemmel kodlanmış bir WordPress eklentisinden yararlanmanın akıllıca bir yolunu bulmalarından kaynaklanmıyor. Tam tersi. Popüler WordPress güvenlik şirketi Wordfence’deki güvenlik araştırmacılarına göre, istismar, OptinMonster WordPress eklentisindeki WordPress REST-API uygulamasında ” yetersiz yetenek kontrolü ” ile sonuçlanan bir başarısızlıktan kaynaklandı .

Doğru şekilde kodlandığında, REST-API, eklentilerin ve temaların içeriği yönetmek ve yayınlamak için bir WordPress sitesiyle etkileşime girmesine izin vererek WordPress işlevselliğini genişletmek için güvenli bir yöntemdir. Bir eklentinin veya temanın, güvenlikten ödün vermeden web sitesi veritabanıyla doğrudan etkileşime girmesine izin verir… düzgün kodlanmışsa. WordPress REST-API belgeleri şunları belirtir:

“…API hakkında anlaşılması gereken en önemli şey, sitenizin güvenliğinden veya gizliliğinden ödün vermeden blok düzenleyiciyi ve modern eklenti arayüzlerini etkinleştirmesidir.”

WordPress REST-API’nin güvenli olması gerekiyor. Ne yazık ki, OptinMonster kullanan tüm web sitelerinin güvenliği, OptinMonster’ın WordPress REST-API’yi nasıl uyguladığı nedeniyle tehlikeye attı.

REST-API Uç Noktalarının Çoğunluğu Tehlikede

REST-API uç noktaları, bir WordPress sitesindeki bir eklentinin veya temanın değiştirebileceği ve değiştirebileceği gönderileri ve sayfaları temsil eden URL’lerdir. Ancak Wordfence’e göre, OptinMonster’daki hemen hemen her REST-API uç noktası, web sitesi güvenliğini tehlikeye atacak şekilde yanlış kodlanmıştır. Wordfence, OptinMonster’ın REST-API uygulamasının ne kadar zayıf olduğu konusunda yorum yaptı:

“…REST-API uç noktalarının çoğu güvenli olmayan bir şekilde uygulandı, bu da kimliği doğrulanmamış saldırganların eklentinin savunmasız bir sürümünü çalıştıran sitelerdeki çeşitli uç noktaların çoğuna erişmesini mümkün kıldı.

…Eklentide kayıtlı neredeyse tüm diğer REST-API uç noktaları, yetersiz yetenek denetimi nedeniyle, kimliği doğrulanmamış ziyaretçilerin veya bazı durumlarda minimum izinlere sahip kimliği doğrulanmış kullanıcıların yetkisiz eylemler gerçekleştirmesine izin vermesi nedeniyle yetkilendirme atlamasına karşı savunmasızdı.”

Kimliği doğrulanmamış, saldırıya uğrayan web sitesine hiçbir şekilde kayıtlı olmayan bir saldırgan anlamına gelir. Bazı güvenlik açıkları, bir saldırganın abone veya katkıda bulunan olarak kaydedilmesini gerektirir; bu, özellikle bir site abone kayıtlarını kabul etmiyorsa, bir siteye saldırmayı biraz daha zorlaştırır.

ilgili konu  WordPress Facebook Akışı Eklentisi Güvenlik Açığı

Bu güvenlik açığının böyle bir engeli yoktu, kimliği doğrulanmış açıklardan yararlanmalara kıyasla en kötü durum senaryosu olan OptinMonster’dan yararlanmak için kimlik doğrulaması gerekli değildi. Wordfence, OptinMonster kullanan bir web sitesine yapılan saldırının ne kadar kötü olabileceği konusunda uyardı:

“…kimliği doğrulanmamış herhangi bir saldırgan, OptinMonster çalıştıran bir siteye kötü amaçlı JavaScript ekleyebilir, bu da sonuçta site ziyaretçilerinin harici kötü amaçlı alanlara yönlendirilmesine ve yeni yönetici kullanıcı hesapları eklemek veya eklentinin üzerine yazmak için JavaScript eklenmesi durumunda sitelerin tamamen ele geçirilmesine neden olabilir. bir siteye arka kapı erişimi elde etmek için bir web kabuğu ile kodlayın.

Önerilen Eylem Planı

Wordfence, OptinMonster’ın yayıncılarını bilgilendirdi ve yaklaşık on gün sonra, tüm güvenlik açıklarını kapatan OptinMonster’ın güncellenmiş bir sürümünü yayınladı. OptinMonster’ın en güvenli sürümü 2.6.5 sürümüdür. Wordfence, OptinMonster’ın tüm kullanıcılarının eklentilerini güncellemelerini önerir:

“WordPress kullanıcılarının, sitelerinin bu yayın sırasında 2.6.5 sürümü olan mevcut en son yamalı sürüme güncellendiğini hemen doğrulamasını öneririz.”

WordPress, REST-API için en iyi uygulamalar hakkında belgeler sunar ve bunun güvenli bir teknoloji olduğunu iddia eder. Öyleyse, bu tür güvenlik sorunlarının ortaya çıkmaması gerekiyorsa, neden olmaya devam ediyorlar? REST-API için en iyi uygulamalara ilişkin WordPress belgeleri şunları belirtir:

“…sitenizin güvenliğinden veya gizliliğinden ödün vermeden blok düzenleyiciyi ve modern eklenti arayüzlerini etkinleştirir.”

Bu güvenlik açığından etkilenen bir milyondan fazla siteyle, en iyi uygulamalar varsa, neden bu tür bir güvenlik açığının son derece popüler OptinMonster eklentisinde meydana geldiğini merak etmek gerekir. Bu WordPress’in kendi hatası olmasa da, bu tür şeyler tüm WordPress ekosistemine olumsuz olarak yansır.

WordPress Eklentisi OptinMonster Güvenlik Açığı +1 Milyon Siteyi Etkiliyor
WordPress Eklentisi OptinMonster Güvenlik Açığı +1 Milyon Siteyi Etkiliyor

Kaynak: OptinMonster Güvenlik Açıklarından Etkilenen 1.000.000 Site

  • wordpress güvenlik açıkları
  • wordpress güvenlik eklentisi
  • wordpress güvenlik önlemleri

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu
  • OpenAI ChatGPT İçin Eklenti Desteği
  • WordPress Ödeme Eklentisi Güvenlik Açığı

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık