WordPress için Ninja Forms eklentisinde dört büyük hata tespit edildi.
Bir milyondan fazla siteye yüklenen WordPress için Ninja Forms eklentisinde tespit edilen istismarlar, yamalanmazsa bir sitenin tamamen ele geçirilmesine neden olabilir.
Wordfence, Ninja Forms WordPress eklentisinde saldırganların şunları yapmasına izin verebilecek toplam dört güvenlik açığı tespit etti:
- Site yöneticilerini rastgele konumlara yönlendirin.
- Tüm posta trafiğini engellemek için kullanılabilecek bir eklenti kurun.
- Ninja Forms merkezi yönetim panosuyla bağlantı kurmak için kullanılan Ninja Formu OAuth Bağlantı Anahtarını alın.
- Bir site yöneticisini, bir sitenin OAuth Bağlantısını kesebilecek bir eylemi gerçekleştirmesi için kandırın.
Bu güvenlik açıkları, saldırganların bir sitenin kontrolünü ele geçirmesine ve çok sayıda kötü amaçlı eylem gerçekleştirmesine neden olabilir.
Açıklardan yararlanmanın ciddiyeti nedeniyle, eklentinin derhal güncellenmesi önerilir. 8 Şubat itibariyle, tüm güvenlik açıkları Ninja Forms eklentisinin 3.4.34.1 sürümünde yamalandı.
Ninja Forms, site sahiplerinin karmaşık olmayan bir sürükle ve bırak arayüzü kullanarak iletişim formları oluşturmasına izin veren popüler bir eklentidir.
Şu anda 1 milyondan fazla aktif kurulumu var. Sitenizde bir iletişim formunuz varsa ve hangi eklentiyle oluşturulduğundan emin değilseniz, Ninja Formları kullanıp kullanmadığınızı kontrol etmeye değer.
Eklentinin hızlı bir şekilde güncellenmesi, sitenizi yukarıda listelenen tüm güvenlik açıklarından koruyacaktır.
Bu güvenlik açıklarının yamalandığı hız, eklenti geliştiricilerinin onu güvende tutmak için ne kadar kararlı olduklarını gösteriyor.
Wordfence, Ninja Forms geliştiricilerinin 20 Ocak’taki güvenlik açıklarından haberdar olduğunu bildirdi ve tümü 8 Şubat’a kadar yamalandı.
Güvenlik Açığı İstismarları – WordPress Sitelerine Yönelik En Büyük 3. Tehdit
Güvenlik açığı istismarları, WordPress siteleri için önemli bir tehdittir. En son güvenlik yamalarına sahip olmanız için eklentilerinizi düzenli olarak güncellemeniz önemlidir.
Geçen ay yayınlanan bir rapor, güvenlik açığı istismarlarını WordPress sitelerine yönelik en büyük 3 tehdit arasında üçüncü sırada listeliyor.
Toplamda 2020’de 9,7 milyondan fazla benzersiz IP adresinden güvenlik açıklarından yararlanmak için 4,3 milyar girişim yapıldı.
Raporda analiz edilen 4 milyon siteden her biri geçen yıl en az bir güvenlik açığı istismar girişimi yaşadı.
WordPress sitenize bir güvenlik duvarı eklemek, onu güvende tutmanın başka bir yoludur, çünkü saldırganların henüz yama uygulanmamış olsa bile eklenti güvenlik açıklarını kötüye kullanmasını önleyebilir.
Sitenize yeni bir eklenti eklerken, en son ne zaman güncellendiğini kontrol etmek iyi bir uygulamadır. Eklentilerin son haftalarda veya aylarda güncellenmesi iyi bir işarettir.
Terk edilmiş eklentiler, yamalanmamış güvenlik açıkları içerebileceğinden siteler için daha büyük bir tehdittir.
Korsan Eklentilerden Kaçının
WordPress güvenliğine yönelik en yaygın tehdidin kaynağı olduklarından, ne pahasına olursa olsun, ücretli eklentilerin korsan sürümlerini kullanmaktan kaçının.
Korsan temalardan ve eklentilerden gelen kötü amaçlı yazılım, WordPress sitelerine yönelik bir numaralı tehdittir. 2020’de tüm virüslü sitelerin %17’sinden fazlası korsan bir eklenti veya temadan kaynaklanan kötü amaçlı yazılımlara sahipti.
Yakın zamana kadar korsan eklentileri resmi WordPress depolarından indirmek mümkündü, ancak bu hafta itibariyle kaldırıldılar.
Kaynak : searchenginejournal.com
İlk Yorumu Siz Yapın