Skip to content
Menu
Beytullah Güneş
  • Ana Sayfa
  • Araçlar
    • SEO Analizi Yap
    • En Yeni SEO Analizleri
    • Domain Yaşı Sorgula
    • Google Önbellek Analiz
    • Yapılandırılmış Veri Aracı
  • Blog
    • Bilgisayar
    • Dijital Pazarlama
    • Google
    • Güvenlik
    • İnternet
    • Oyun
    • SEO
    • Sosyal Medya
    • Teknoloji ve Bilim
    • Yazılım Tasarım Kodlama
  • Hakkında
    • Hakkında
    • İletişim
    • Referanslar
    • Sıkça Sorulan Sorular
Beytullah Güneş
WordPress Güvenlik Eklentisi Güvenlik Açığı

WordPress Güvenlik Eklentisi Güvenlik Açığı

Yayınlanma Tarihi 12 Nisan 2023 | Kategori Güvenlik

WordPress Güvenlik Eklentisi Güvenlik Açığı; WordPress güvenlik eklentisinin, kötü amaçlı bir yüklemeye, siteler arası komut dosyası çalıştırmaya ve rastgele dosyaların içeriğinin görüntülenmesine izin verebilecek iki güvenlik açığı olduğu keşfedildi.

All-In-One Security (AIOS)

UpdraftPlus yayıncıları tarafından sağlanan Hepsi Bir Arada Güvenlik (AIOS) WordPress eklentisi, bilgisayar korsanlarını engellemek için tasarlanmış güvenlik ve güvenlik duvarı işlevleri sunar.

Saldırganları kilitleyen oturum açma güvenliği koruması, intihal koruması, hotlinking’i bloke etme, spam yorum engelleme ve bilgisayar korsanlığı tehditlerine karşı savunma görevi gören bir güvenlik duvarı sunar.

Eklenti, kullanıcıları “admin” kullanıcı adının kullanılması gibi yaygın hatalara karşı uyararak proaktif güvenliği de zorunlu kılar.

En güvenilir WordPress eklenti yayıncılarından biri olan Updraft Plus’ın yapımcıları tarafından desteklenen kapsamlı bir güvenlik paketidir. Bu nitelikler, bir milyondan fazla WordPress kurulumuyla AIOS’u oldukça popüler hale getiriyor.

WordPress Güvenlik Eklentisi Güvenlik Açığı

Amerika Birleşik Devletleri hükümeti Ulusal Güvenlik Açığı Veritabanı (NVD), iki güvenlik açığı hakkında bir çift uyarı yayınladı.

Veri Temizleme Hatası

İlk güvenlik açığı, bir veri temizleme hatasından, özellikle de günlük dosyalarından kaçamamaktan kaynaklanmaktadır.

Veri çıkışı, herhangi bir hassas veriyi bir eklenti tarafından oluşturulan çıktılardan çıkaran temel bir güvenlik işlemidir.

WordPress’in konuya ayrılmış, nasıl ve ne zaman yapılacağına dair örnekler içeren bir geliştirici sayfası bile vardır. WordPress geliştirici sayfası şunları açıklar :

“Çıktıdan kaçmak, hatalı biçimlendirilmiş HTML veya komut dosyası etiketleri gibi istenmeyen verileri çıkararak çıktı verilerini koruma işlemidir.

Bu işlem, verilerinizin son kullanıcı için işlenmeden önce güvenliğini sağlamaya yardımcı olur.”

NVD bu güvenlik açığını şöyle açıklıyor:

“5.1.5’ten önceki Hepsi Bir Arada Güvenlik (AIOS) WordPress eklentisi, eklenti yönetici sayfasına göndermeden önce günlük dosyalarının içeriğinden kaçmaz ve yetkili bir kullanıcının (admin+) kötü amaçlı JavaScript kodu içeren sahte günlük dosyaları yerleştirmesine izin verir. bu sayfayı ziyaret eden herhangi bir yönetici bağlamında yürütülecektir.”

WordPress geliştirici sayfası

Dizin Geçişi Güvenlik Açığı

İkinci güvenlik açığı, Yol Geçişi güvenlik açığı gibi görünüyor. Bu güvenlik açığı, bir saldırganın normalde erişilemeyecek dosyalara erişmek için bir güvenlik hatasından yararlanmasına olanak tanır.

ilgili konu  Hacker’lar 20 bin FBI çalışanının kişisel bilgilerini internete sızdırdı

Kâr amacı gütmeyen Açık Dünya Çapında Uygulama Güvenliği Projesi (OWASP), başarılı bir saldırının kritik sistem dosyalarını tehlikeye atabileceği konusunda uyarıda bulunuyor.

“Yol geçişi saldırısı (dizin geçişi olarak da bilinir), web kök klasörünün dışında saklanan dosyalara ve dizinlere erişmeyi amaçlar.

Dosyalara ‘nokta-nokta-eğik çizgi (../)’ dizileri ve varyasyonları ile başvuran değişkenleri manipüle ederek veya mutlak dosya yolları kullanarak, uygulama kaynak kodu veya yapılandırma dahil olmak üzere dosya sisteminde depolanan rasgele dosyalara ve dizinlere erişmek mümkün olabilir. ve kritik sistem dosyaları.”

(OWASP)

NVD bu güvenlik açığını şöyle açıklıyor:

“5.1.5’ten önceki All-In-One Security (AIOS) WordPress eklentisi, ayarlar sayfalarında hangi günlük dosyalarının görüntüleneceğini sınırlamaz ve yetkili bir kullanıcının (admin+) herhangi bir yerde rastgele dosyaların ve liste dizinlerinin içeriğini görüntülemesine izin verir. sunucu (web sunucusunun erişimi olduğu). Eklenti, dosyanın yalnızca son 50 satırını görüntüler.”

NVD

Her iki güvenlik açığı da bir saldırganın saldırıdan yararlanabilmesi için yönetici düzeyinde kimlik bilgileri edinmesini gerektirir ve bu da saldırının gerçekleşmesini zorlaştırabilir. Bununla birlikte, bir güvenlik eklentisinin bu tür önlenebilir güvenlik açıklarına sahip olmaması beklenir.

AIOS WordPress Eklentisini Güncellemeyi Düşünün

AIOS, eklentinin 5.1.6 sürümünde bir yama yayınladı. Kullanıcılar, en azından 5.1.6 sürümüne ve muhtemelen güvenlik duvarı kurulmadığında meydana gelen bir çökmeyi düzelten en son sürüm olan 5.1.7’ye güncelleme yapmayı düşünebilir.

  • güvenlik açığı
  • Güvenlik Eklentisi
  • wordpress

Bir cevap yazın Cevabı iptal et

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Beytullah GÜNEŞ

Beytullah GÜNEŞ

GNSNetwork Founder

beytullahgunes.com ve GNSNetwork kurucusu. Aktif olarak 2002, profesyonel olarak 2012 yılından bu yana web tasarım, geliştirme ve SEO alanında hizmet vermekte. 2019 yılından bu yana hizmetlerini GNSNetwork üzerinden sunmayı sürdürmektedir.

Yeni Neler Var?

  • Google Sahte Yerel İşletme Yorumları
  • Yoast SEO WordPress Erişilebilirlik Eklentisi
  • Google Arama Güncellemeleri
  • Açık Kaynak ChatGPT Klonu
  • OpenAI ChatGPT İçin Eklenti Desteği

SEO Araçları

  • SEO Analizi Yap
  • En Yeni SEO Analizleri
  • Domain Yaşı Sorgula
  • Google Önbellek Analiz
  • Yapılandırılmış Veri Aracı

Kategoriler

  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • Oyun
  • SEO
  • Sosyal Medya
  • Teknoloji ve Bilim
  • Yazılım Tasarım Kodlama

Başlıca

  • Ana Sayfa
  • Bilgisayar
  • Dijital Pazarlama
  • Google
  • Güvenlik
  • İnternet
  • SEO

Kurumsal

  • Hakkında
  • Sıkça Sorulan Sorular
  • Kullanım Koşulları
  • Çerez Politikası
  • Gizlilik politikası
  • KVKK
  • Beytullah Güneş İletişim

Sosyal

  • Facebook
  • Twitter
  • Instagram
  • tumblr
  • Linkedin

Beytullah Güneş İletişim

[email protected]

Tuğçe Güneş | Mutfaktan Yemek Tarifi | Kullanıcı Yorumluyor | Güzel Anlamlı Sözler | Açıklanamayan Doğaüstü Olaylar

DMCA compliant image btk
GNS Network - SEO Tasarım Reklamcılık