Uzmanlar, WordPress sisteminin bir eklentisinde güvenlik açığı tespit etti. Bu da kötü niyetli kişilerin bir milyondan fazla web sitesinin tehlike altına alınmasına yol açtı. Wordfence Threat Intelligence ekibine göre, Starter Templates – Elemantor, Gutenberg & Beaver Builder Templates eklentisindeki bir açık, kullanıcıların siteye kötü niyetli JavaScript kodu eklemesine olanak tanıdı.
Güvenlik açığı 4 Ekim itibariyle tespit edildi. 7 Ekim‘de de yama geldi. Bu noktada tüm kullanıcılara artık eklentiyi en az 2.7.5 sürümüne güncellemeleri tavsiye edildi.
Dünya çapında birçok sitenin içerik oluşturma alt yapısı olarak kullanılan WordPress aslında ne kadar güvenli? İşte ayrıntılar...
Kötü niyetli kişi, WordPress tabanlı siteyi ele geçirme imkanına sahip
WordPress eklentisi, site sahiplerinin Elemantor gibi diğer web sitesi oluşturucuları için önceden oluşturulmuş şablonları entegre etmesine olanak tanıyor. Bu oluşturucunun kurulu olduğu siteler için, Wordfence bir örnek teşkil ediyor. Bu noktada edit-post seçeneğine sahip kullanıcılar, astra-page-elemantor-batch-process AJAX eylemi aracılığıyla sayfalardaki blokları içe aktarmak mümkün kılınıyor.
Araştırmacılar bu eylemle ilgili elemantor-batch-process işlevinin bir nonce kontrolü gerçekleştirdiğini açıkladı. Ancak gerekli ajax-nonce WordPress panosunun sayfa kaynağında katkıda bulunanlar kısmı için de geçerli olduğundan bu zayıf bir ağ geçidi oldu.
Teorik olarak kötü niyetli bir kişi, bir sunucuda kötü amaçlı bir blok oluşturabiliyor. Ardından astra-page-elemantor-batch-process olarak bir AJAX isteği gönderebiliyor. Bu da herhangi bir yazının ya da sayfanın üzerinde işlem yapılmasına olanak tanıyor. Sonuç olarak kötü amaçlı JavaScript sayfayı ziyaret eden kişinin tarayıcısında çalıştırılabilir.
Wordfence, kullanıcıları kötü niyetli bir web sitesine yönlendirmek, yeni yöneticiler oluşturmak ya da siteye bir arka kapı eklemek gibi etkilerinin olabileceğini söylüyor. Bu da sitenin tamamen ele geçirilmesine sebebiyet verebilir. İkinci durum üst düzey bir tehdit olduğundan şirket, etkilenen tüm kullanıcıların mevcut durumu yaymasını ve güvenli kaçığı konusunda farkındalık yaratmasını önerdi.
Sizler WordPress hakkında ne düşünüyorsunuz? Fikirlerinizi yorumlar kısmından belirtmeyi unutmayın!
