Salı, Aralık 6, 2022
Ana Sayfa Webmaster WordPress Güvenlik Sürümü 16 Güvenlik Açığını Düzeltiyor

WordPress Güvenlik Sürümü 16 Güvenlik Açığını Düzeltiyor

- Advertisement -

WordPress, on altı güvenlik açığını gidermek için sitelerin hemen güncellenmesini öneren bir güvenlik güncellemesi yayınladı.

Güvenlik uyarısı, güvenlik açıklarının ciddiyetine ilişkin bir açıklama sunmadı, ancak WordPress’in kabul ettiği güvenlik açıklarının türleri ve çok sayıda olması nedeniyle, bu güvenlik sürümünü ciddiye almak iyi bir fikir olabilir.

WordPress Tarafından Düzeltilen Güvenlik Açıkları

Bu güvenlik sürümünde ele alınan ve birden çok güvenlik açığı türünü gideren toplam on altı düzeltme vardır.

Bu, düzeltilen güvenlik açıklarının bir listesidir:

  • 6 tanesi Depolanmış XSS olmak üzere 9 XSS sorunu
  • 2 E-postayla ilgili güvenlik açıkları
  • 1 Siteler Arası İstek Sahteciliği Güvenlik Açığı
  • 1 SQL Enjeksiyonu
  • 1 Veriye maruz kalma (REST Bitiş Noktası)
  • 1 Yönlendirmeyi aç
  • 1 Paylaşılan kullanıcı örneklerini geri alın (özellik muhtemelen bir güvenlik açığı oluşturdu)

Altı Depolanmış XSS Güvenlik Açığı

Depolanmış bir XSS güvenlik açığı, yükün yüklendiği ve kurbanın web sitesi sunucularında depolandığı bir güvenlik açığıdır.

XSS güvenlik açığı genellikle WordPress’in girişe veya yüklemeye izin verdiği her yerde oluşur.

Bu tür güvenlik açığı, giriş noktasının yüklenebilecekleri yeterince filtrelemediği ve kötü amaçlı bir komut dosyasının veya başka bir beklenmeyen dosyanın yüklenebilmesine neden olan koddaki bir kusurdan kaynaklanır.

Kar amacı gütmeyen güvenlik sitesi Open Web Application Security Project (OWASP) bu tür bir güvenlik açığını açıklar:

“Depolanmış saldırılar, enjekte edilen komut dosyasının bir veritabanında, bir mesaj forumunda, ziyaretçi günlüğünde, yorum alanında vb. hedef sunucularda kalıcı olarak depolandığı saldırılardır.

Kurban, saklanan bilgileri istediğinde sunucudan kötü amaçlı komut dosyasını alır.

Siteler Arası İstek Sahteciliği

Bir Siteler Arası İstek Sahteciliği (CSRF), bir bağlantıyı takip etmek gibi bir eylemi gerçekleştirmek için yönetici ayrıcalığına sahip üst düzey bir web sitesi kullanıcısını kandırmak için biraz sosyal mühendisliğe bağlıdır.

Bu tür bir güvenlik açığı, bir yöneticinin web sitesini tehlikeye atabilecek eylemler gerçekleştirmesine neden olabilir.

Ayrıca, bir kullanıcının giriş e-postasını değiştirmesine veya para çekmesine neden olarak normal web sitesi kullanıcılarını da etkileyebilir.

`wp_nonce_ays` içinde Yönlendirmeyi açın

Açık yönlendirme, bir bilgisayar korsanının yeniden yönlendirmeden yararlanabileceği bir kusurdur.

Bu durumda, bir eylemi onaylamak için bir “emin misiniz” bildirimi ile ilgili yönlendirmedir.

Resmi WordPress bu işlevin açıklaması dır-dir:

“Eylemde nonce açıklama mesajı varsa, “Emin misin?” İle birlikte görüntülenecektir. İleti.”

Nonce, WordPress sitesi tarafından oluşturulan bir güvenlik belirtecidir.

Resmi WordPress kodeksi nonce’ları tanımlar:

“Nonce, URL’leri ve formları kötü amaçlı veya başka türlü belirli yanlış kullanım türlerinden korumaya yardımcı olmak için “bir kez kullanılan bir sayıdır”.

WordPress nonce’leri sayı değildir, sayı ve harflerden oluşan bir karmadır.

…WordPress’in güvenlik belirteçlerine “nonces” adı verilir …çünkü nonces ile aynı amaca hizmet ederler.

CSRF dahil olmak üzere çeşitli saldırı türlerine karşı korunmaya yardımcı olurlar, ancak tek seferlik kullanım için kontrol edilmedikleri için tekrar saldırılarına karşı koruma sağlamazlar.

Kimlik doğrulama, yetkilendirme veya erişim kontrolü için hiçbir zaman nonces’e güvenilmemelidir.

Current_user_can() işlevini kullanarak işlevlerinizi koruyun ve her zaman nonce’ların tehlikeye atılabileceğini varsayın.”

WordPress, bu güvenlik açığının tam olarak ne olduğunu açıklamıyor.

Ancak Google, ne olduğuna dair bir açıklama yayınladı. açık yönlendirme güvenlik açığı:

“Bu, basit bir hata veya güvenlik açığından yararlanmak yerine sitenizin işlevselliğinden yararlandığı için özellikle zahmetli bir kötüye kullanım şeklidir.

Spam gönderenler, e-posta kullanıcılarını, arama yapanları ve arama motorlarını sitenizi işaret ediyor gibi görünen, ancak aslında spam içerikli sitelerine yönlendiren aşağıdaki bağlantılara kandırmak için alanınızı geçici bir “açılış sayfası” olarak kullanmayı umuyor.”

Bu güvenlik açığının hassas bir güvenlik ve erişimle ilgili işlevi nasıl etkilediği göz önüne alındığında, oldukça ciddi olabilir.

‘WP_Date_Query’ içindeki yanlış temizleme nedeniyle SQL Enjeksiyonu

Bu, saldırganın doğrudan veritabanına veri girebildiği bir tür güvenlik açığıdır.

Veritabanı temel olarak bir WordPress sitesinin kalbidir, parolaların, gönderilerin vb. depolandığı yerdir.

Yanlış temizleme, girilebilecekleri sınırlaması gereken bir güvenlik kontrolüne atıfta bulunur.

SQL Injection saldırıları, web sitesinin güvenliğinin ihlal edilmesine neden olabileceğinden çok ciddi olarak kabul edilir.

OWASP uyarıyor:

“SQL enjeksiyon saldırıları, saldırganların kimlik sahtekarlığı yapmasına, mevcut verileri kurcalamasına, işlemlerin geçersiz kılınması veya bakiyelerin değiştirilmesi gibi reddedilme sorunlarına neden olmasına, sistemdeki tüm verilerin tamamen ifşa edilmesine, verileri yok etmesine veya başka bir şekilde kullanılamaz hale getirmesine ve yönetici olmalarına olanak tanır. veritabanı sunucusu.

…SQL Injection saldırılarının ciddiyeti, saldırganın becerisi ve hayal gücüyle ve daha az ölçüde, veritabanı sunucusuna düşük ayrıcalıklı bağlantılar vb. gibi derinlemesine savunma önlemleriyle sınırlıdır. Genel olarak, SQL Injection’ı yüksek bir etki şiddeti olarak kabul edin.”

WordPress Güvenlik Sürümü

WordPress uyarısı, bu güvenlik güncellemesinin WordPress 3.7’nin tüm sürümlerini etkilediğini söyledi.

Duyurunun hiçbir yerinde, güvenlik açıklarından herhangi birinin ciddiyeti hakkında ayrıntılı bilgi verilmedi.

Ancak, altı depolanmış XSS ve bir SQL Injection güvenlik açığı dahil olmak üzere on altı güvenlik açığının endişe konusu olduğunu söylemek muhtemelen abartı olmaz.

WordPress, web sitelerinin hemen güncellenmesini önerir.

RELATED ARTICLES

Pazarlama İlişkilendirme Modelleri İçin Kapsamlı Bir Kılavuz

Müşterilerin, dönüşüme giden yol boyunca birden çok kanal ve kampanya (çevrimiçi ve çevrimdışı) aracılığıyla bir markayla etkileşim kurduğunu hepimiz biliyoruz. Şaşırtıcı bir şekilde, B2B sektöründe...

Arama Tahmini Nedir ve Neden Önemlidir?

Dijital pazarlama, sanat ve bilimi harmanlamak, yaratıcı fikirleri eyleme geçirilebilir, izlenebilir adımlarla birleştirmekle ilgilidir. Ancak, sayfa içeriğinizi değiştirmeden veya web sitenizi yeniden yapılandırmadan önce, neyin...

Alan Adı Bir Google Sıralama Faktörü mü?

İnternetin ilk günlerini hatırlıyor musunuz? Yahoo oyunlarında solitaire oynarken tüm gününüzü AOL messenger'da arkadaşlarınızla sohbet ederek geçirebilirsiniz. Sonra annen bir arama yapmak için telefonu aldı...

Most Popular

AMD Ryzen 7000 ‘Zen 4’ X Olmayan Masaüstü İşlemciler 10 Ocak’ta Piyasaya Sürülecek

AMD Ryzen 7000 "Zen 4" X Olmayan İşlemciler CES 2023'te Tanıtıldı, Aynı Ay Piyasaya Sürüldü AMD'nin en az üç yeni Ryzen 7000 "Zen 4" X...

Mühendis, M1 iMac’ten ‘Çene’ Çerçevesini Çıkartarak Ona Apple’ın Bağımsız Monitörleri Gibi Tekdüze Bir Tasarım Verdi

Apple'ın 24 inç M1 iMac'i, önemli tasarım değişikliği sayesinde yeni bir soluktu, ancak bazı keskin gözlü eleştirmenler bu "çene" çerçevesine hemen dikkat çektiler, ancak...

iPhone 14’ün Uydu Özelliği Üzerinden Acil SOS, Alaska’da Mahsur Kalan Bir Adamın Hayatını Kurtardı

Apple'ın en yeni iPhone 14 ve iPhone 14 Pro modelleri, önceki modellere göre çeşitli iyileştirmeler içeriyor. Apple'ın sahnede duyurduğu en önemli eklemelerden biri, kullanıcıların hücresel...

Intel, 2030’a Kadar Yeni Nesil Çiplerde Bir Trilyon Transistörün Yolunu Açıyor

IEDM'de Intel Research, sergilendi Moore Yasası Nasıl Canlı ve Chipzilla 2030 yılına kadar Trilyon transistörlü yeni nesil çipleri nasıl sunmayı planladığını. Intel Araştırması Moore Yasasını...

Recent Comments