WordPress Site Sahiplerini Tehdit Eden 3 Yeni Unsur

Merhabalar, bugün WordPress Web Site ve Hosting sahiplerinin oldukça canını sıkan WordPress Açıkları hakkında konulara değinerek artık bu konularda rahatlamanızı sağlayacak bir yazı derledik.

WordPress Web Sitesi sahiplerini tehdit eden unsurlar her zaman eklenti, tema, yükleme dizin izni ve null olarak dağıtılan eklenti – tema – programlardan kaynaklanarak hem kullanıcısı için hem de paylaşımlı bir hosting üzerinde barınıyorsa bulunduğu sunucu için azımsanamayacak bir silah haline dönüşebilir.

İlk olarak güncel WordPress kritik açıklarından bahsedeğiz. Bunlar;

• CVE-2021-29450: WordPress editöründeki bloklardan biri, parola korumalı gönderileri ve sayfaları açığa çıkaracak şekilde kullanılabilir. Bu, en azından katılımcı ayrıcalıkları gerektirir. Bu, küçük sürümler aracılığıyla etkilenen eski sürümlerle birlikte WordPress 5.7.1’de eklenmiştir. Düzeltmeyi sağlamak için otomatik güncellemeleri aktif tutmanızı DALNET olarak önermekteyiz.
• CVE-2021-29447: Dosya yükleme yeteneğine sahip bir kullanıcı (bir Yazar gibi), Ortam Kitaplığındaki bir XML ayrıştırma sorunundan yararlanarak XXE saldırılarına yol açabilir. Bu açık, WordPress kurulumunun PHP 8 kullanmasını gerektirir. Başarılı bir XXE saldırısında dahili dosyalara erişim mümkündür. Bu açık, daha eski etkilenen sürümlerle birlikte WordPress 5.7.1 sürümünde küçük bir sürümle yamalandı.
• CVE-2020-36326: PHPMailer 6.1.8 ila 6.4.0, bir UNC yol adıyla addAttachment aracılığıyla Phar Deserialization yoluyla nesne enjeksiyonuna izin verir. NOT: Bu, CVE-2018-19296’ya benzer, ancak 6.1.8’in UNC yol adlarının güvenli bağlamlarda bile PHPMailer tarafından her zaman okunamaz olarak kabul edildiği bir işlevsellik sorununu düzelttiği için ortaya çıktı. Kasıtsız bir yan etki olarak bu düzeltme, addAttachment kötüye kullanımını engelleyen kodu ortadan kaldırdı.

WordPress Kritik Açıkları Neden Oluşur?

WordPress Kritik Açıkları çoğunlukla PHP, Eklentiler ve Temalardan kaynaklı ortaya çıkarlar. Oluşum aşamaları ise genellikle sürümlerin eskimesi ve güncellenmemesinden sebeptir. Hosting Paketinizde kullandığınız PHP sürümüne ilk etapta oldukça dikkat etmelisiniz. Dikkat etmelisiniz çünkü PHP sürümleri eskidiği ve yenilendiği sürece yeni sürümlere geçiş sağlamanız gerekir.

Yeni sürümlere geçmeyen her bir web sitesi ya da uygulama açık oluşturur ve zarar görebilir. Her zaman kullandığınız yazılım tabanlarının ve hosting servislerinin güncel ve stabil olmasına dikkat etmelisiniz. Güncel olan her platform açık oluşturmaz diye bir kaide yok fakat güncel platformlar üzerinde yapılan araştırmalara göre açık oluşma ya da açıktan dolayı sorun yaşanma oranı çok ama çok azdır.

WordPress Açıklarının Sebepleri Nedir?

Herkes bu sorunun kaynağının WordPress olduğunu düşünse de aslında sorunun temeli kullanıcı tabanlıdır. Kullanıcı tabanlı dememizdeki kasıt şudur ki, eklenti ve temaları geliştiren kullanıcılardır. Bizler WordPress tabanında geliştirilen eklentileri kullandığımız zaman da kullanıcıların geliştirmiş olduğu eklentileri kullanmış oluruz.

Bu sebeple kullanıcıların geliştirdiği eklentilerin çoğu güncel olmayışından dolayı etkilenirler ve açıklar aracılığı ile zararlı ve saldırganların hedefi olurlar.

Bu hususta kullandığımız eklentiler, temalar için güncelliklerini, güncellenebilirliklerini ve son güncelleme tarihlerini iyi kontrol etmeliyiz. Peki, kontrol etmez isek ne olur? Basit bir örnek ile açıklayayım: Güncelleme tarihi en son 3 sene olan bir eklenti PHP sürümü tabanında eski sürüm kullanır ve eski teknoloji ile geliştirilmiş bir eklenti olur. Bu sebeple, eski teknoloji ve eski bir PHP sürümü geliştirilmedikçe ve güncellenmedikçe sizin için potansiyel bir açık aracı haline gelir. Yapmanız gereken son güncelleme tarihi en geç 20 gün ya da 1 ay olan eklentiler, temalar seçmenizdir.

Sorunsuz WordPress Hosting Seçimi

Bu konuda uzun uzadıya yazı yazmak yerine sizleri daha önce kapsamlı olarak yayınını gerçekleştirdiğimiz WordPress Hosting Seçerken Dikkat Edilmesi Gerekenler adlı içeriğimize alalım. İçeriğimiz sizi Hosting seçiminizde daha kararlı yapacak ve nokta atışı seçim yapmanızı sağlayacak.

WordPress Kritik Açıklarından Nasıl Korunulur?

WordPress sürüm ve eklenti güncellemeleri sürekli olarak yapılan ve takip edilmesi gereken önemli unsurlardandır. Bu unsurlara dikkat etmediğiniz sürece açıklara ve saldırılara maruz kalabilir, web sitenize erişimi kaybedebilirsiniz.

WordPress güncelleme işlemlerinde otomatik olarak yapmak esas olmak ile birlikte temanızın güncellenmeyeceğine ya da güncellemelerin temanızı bozacağına inandığınız zamanlar tüm web site yedeğinizi almanızı ve güvenli bir yerde depolamanızı öneririz. Her tema her güncelemeye %100 uyumlu değildir. Bu sebeple birlikte sorun yaşamamanız adına yedekleme işlemi yapmanız önem arz etmekte.

Akabinde WordPress Hosting Ayarlarınızda Otomatik güncellemeler aktif ise devredışı bırakabilir ya da WP-Toolkit gibi araçlar aracılığı ile hızlı yedeklemeler, güncelleme yönetimleri, yedekten geri dönme gibi seçenekleri kullanabilirsiniz.

Bu hususta DALNET olarak sunduğumuz WordPress Hosting(WP Hosting) paketlerimiz içerisinde Yedekle, Geri Yükle, Panelden yönetim gibi eşsiz seçenekleri kullanımınızı kolaylaştırması adına ücretsiz sunuyoruz.

Sorularınızı ve merak ettiklerinizi bizlere bu sayfadan yorum olarak, sosyal medya üzerinden ya da web sitemiz üzerinde bulunan iletişim formundan iletebilirsiniz.