WordPress Güvenlik Açıkları

Yazılımda, özellikle 2007, 2008 ve 2015 yıllarında pek çok güvenlik sorunu ortaya çıkmıştır. Secunia’ya göre, Nisan 2009’da WordPress’in en az Az Kritik.Secunia, WordPress güvenlik açıklarının güncel bir listesini tutar.

Ocak 2007’de, birçok yüksek profilli arama motoru optimizasyonu (SEO) blogunun yanı sıra, AdSense’i içeren pek çok düşük profilli ticari blog hedeflenmemiş ve bir WordPress saldırısı ile saldırıya uğramıştır. Proje sitenin birinde ayrı bir güvenlik açığı web sunucuları bir şeklinde işletilebilir kod tanıtmak için bir saldırganı izin arka kapı WordPress 2.1.1 bazı yüklemeler için. 2.1.2 sürümü bu konuyu ele aldı; zamanda yayınlanan bir tavsiye, tüm kullanıcıların derhal yükseltme yapmasını tavsiye etti.

Mayıs 2007’de yapılan bir çalışma, çalışan WordPress bloglarının %98’inin yazılımın eski ve desteklenmeyen sürümlerini kullandıkları için sömürülebilir olduğunu ortaya koydu. Bu sorunu hafifletmek amacıyla, WordPress yazılımı güncellemeyi çok daha kolay hale getirdi, sürüm 2.7’de otomatik olarak tek tıklamayla Aralık 2008’de yayınlandı. Ancak, güncelleme işlemini etkinleştirmek için gereken dosya sistemi güvenliği ayarları ek bir risk olabilir.

Haziran 2007’de yapılan bir röportajda, PHP Güvenlik Yanıt Ekibi’nin kurucusu Stefan Esser, WordPress’in güvenlik kayıtlarından eleştirel bir şekilde bahsetti ve uygulamanın mimarisiyle ilgili sorunları, SQL enjeksiyon güvenlik açıklarından güvenli bir şekilde kod yazmayı gereksiz yere zorlaştırdı. diğer bazı problemler gibi.

Haziran 2013’te, en çok indirilen 50 WordPress eklentisinin bazılarının SQL enjeksiyonu ve XSS gibi yaygın Web saldırılarına karşı savunmasız olduğu tespit edildi . İlk 10 e-ticaret eklentisinin ayrı bir incelemesi, yedisinin savunmasız olduğunu gösterdi.

Daha iyi güvenlik sağlamak ve genel olarak güncelleme deneyimini kolaylaştırmak amacıyla WordPress 3.7’de otomatik arka plan güncellemeleri tanıtıldı.

WordPress’in bireysel kurulumları, kullanıcı numaralandırmasını önleyen, kaynakları gizleyen ve sondaları engelleyen güvenlik eklentileri ile korunabilir. Kullanıcılar ayrıca tüm WordPress kurulumlarını, temalarını ve eklentilerini güncellemek, yalnızca güvenilir temaları ve eklentileri kullanmak, htaccess birçok SQL türünü engellemek için web sunucusu tarafından destekleniyorsa sitenin yapılandırma dosyasını düzenlemek gibi adımlar atarak WordPress kurulumlarını koruyabilirler. Enjeksiyon saldırıları ve hassas dosyalara yetkisiz erişimi engeller. Korsanların olması nedeniyle WordPress eklentilerini güncel tutmak özellikle önemlidir.Bir sitenin kullandığı tüm eklentileri kolayca listeleyebilir ve daha sonra bu eklentilere karşı güvenlik açıklarını arayarak taramaları çalıştırabilir. Güvenlik açıkları bulunursa, bilgisayar korsanlarının hassas bilgileri toplayan kendi dosyalarını PHP Shell betiği gibi yüklemelerine izin vermek için kullanılabilir.

Geliştiriciler ayrıca, 0pc0deFR tarafından geliştirilen WPScan, WordPress Auditor ve WordPress Sploit Framework gibi potansiyel güvenlik açıklarını analiz etmek için araçlar kullanabilir. Bu tür araçlar, CSRF, LFI, RFI, XSS, SQL enjeksiyonu ve kullanıcı sayımı gibi bilinen güvenlik açıklarını araştırır. Ancak, tüm güvenlik açıkları araçlar tarafından tespit edilemez, bu nedenle diğer geliştiricilerin eklentileri, temaları ve diğer eklentileri kodunu kontrol etmeniz önerilir.

Mart 2015’te, bir o, Arama Motoru Land dahil olmak üzere birçok güvenlik uzmanları ve SEO’lar tarafından rapor edildi SEO WordPress için eklenti olarak adlandırılan Yoast dünya çapında hacker yapabilirsiniz nereye bir istismar yol açabilir bir güvenlik açığını sahiptir fazla 14 milyon kullanıcı tarafından kullanılmaktadır Bir Blind SQL enjeksiyonu. Bu sorunu gidermek için, eklentinin sahip olduğu güvenlik önlemleri nedeniyle web’deki herhangi bir rahatsızlığı önlemek için derhal aynı eklentinin 1.7.4 sürümünü daha yeni bir sürümle tanıttılar.

Ocak 2017’de, Sucuri’deki güvenlik denetçileri, WordPress REST API’sinde, kimliği doğrulanmayan bir kullanıcının WordPress 4.7 veya daha üstünü çalıştıran bir sitedeki herhangi bir yazıyı veya sayfayı değiştirmesine izin verecek bir güvenlik açığı tespit etti. Denetçiler sessizce WordPress geliştiricilerini bilgilendirdiler ve altı gün içinde WordPress 4.7.2 sürümüne yüksek öncelikli bir yama yayınladı ve bu da soruna yönelikti.

WordPress 5.2’den itibaren, asgari PHP sürümü gereksinimi, 28 Ağustos 2014’te yayımlanan ve PHP Grubu tarafından desteklenmeyen ve 31 Aralık 2018’den beri hiçbir güvenlik eki almayan PHP 5.6 dir. Bu nedenle, WordPress PHP sürüm 7.3 veya daha üstü kullanmanızı önerir.

Varsayılan biçimlendirme kodunda belirli değişiklikler olmadığında, WordPress tabanlı web siteleri, tarayıcının doğru şekilde emoji oluşturabildiğini algılamak için canvas öğesini kullanır. Çünkü Tor Tarayıcı şu anda bu meşru kullanımı arasında ayrım yapmaz Tuval API ve gerçekleştirmek için bir çaba tuval parmak izi, bu web sitesi ‘özü HTML5 tuval resim verilerine girişiminde bulunduğunu uyarır. Devam eden çabalar, uygun emoji oluşturma kabiliyetini kontrol etme yeteneğini korurken gizlilik savunucularını güvence altına almak için geçici çözümler aramaktadır.

Tavsiye yazı: Tam olarak WordPress nedir?

Yorumlar / Düşünceler