Sonuçları görmek ve/veya aramayı sonlandırmak için "esc" tuşuna basın.

Popüler WordPress AMP Eklentisinde Güvenlik Açığı Tespit Edildi

Aktif olarak 150 bin sitede kullanılan popüler WordPress AMP eklentisinde güvenlik açığı tespit edildi. Tespit edilen güvenlik açığı sebebi ile WordPress altyapısına sahip siteniz tehlikede olabilir.

Popüler WordPress AMP Eklentisinde Güvenlik Açığı

Sadece geçen hafta 28 Bin kere, toplamda 3.2 Milyon kere indirilen ve şuan 150 Binden fazla WordPress sitede aktif olarak kullanılan “AMP for WP” isimli eklentide ciddi bir güvenlik açığı tespit edildi.

Aslında her şey geçen ay eklentinin WordPress.org resmi eklentiler bölümünden kaldırılması ile başladı.Ancak WordPress’in resmi eklentiler bölümünden kaldırdığı “AMP for WP” kullanıcılarının çoğu bu durumun fark etmedi. Kullanıcılar eklentiyi kullanmaya devam ederken sitelerinin nasıl bir tehlike içerisinde olduğundan habersizlerdi. WordPress için AMP eklentisi geçtiğimiz günlerde WordPress resmi eklentiler bölümüne yeniden eklendi. Peki bu resmi eklentiler bölümünden kaldırılma ve yeniden eklenme işleminin altında yatan güvenlik problemi neydi?

İşte WordPress AMP Eklentisinde Güvenlik Açığı ve Açık ile Neler Yapılabileceği

WordPress resmi eklentiler bölümünden kaldırılıp, sonra yeniden eklenen AMP for WP eklentisinin geliştiricisinden olayla alakalı bir açıklama geldi. Geliştirici, eklentinin WordPress resmi eklentileri arasından kaldırılmasının sebebini “Sitenin, site yöneticisi olmayan kişiler tarafından suistimal edilebilecek” bir güvenlik açığı olarak açıkladı. Peki bu güvenlik açığı ne kadar kötü ve bu açık yüzünden sitenize ne gibi zararlar gelebilir?

Öncelikle açık oldukça büyük ve kötüye kullanımı halinde siteniz ciddi zararlar alabilir. Eklentiden kaynaklı açık sayesinde, açığı kullanan kötü amaçlı kişi yada kişiler herhangi bir yönetici yetkisine sahip olmamalarına rağmen, sitenin bileşenler bölümünde yer alan alt ve/veya üst kısmına, “Özel HTML” ögesini ekleyerek bu öge üzerinde düzenleme yapabiliyor. “Özel HTML” ögesi içine eklenen JS kodları ile sitenize kötü amaçlı JavaScript kodları (Mining vb.) veya reklam kodları eklenebilir.

Güvenlik Açığı İle Alakalı Güncelleme Yayınlandı

“AMP for WP” geliştiricileri tarafından güvenlik açığı ile alakalı güncelleme yayınlandı. WordPress sisteminizde otomatik güncelleme açık ise bugün itibari ile en güncel ve güvenilir sürümü kullanıyorsunuz demektir. Yani korkmanızı gerektirecek herhangi bir durum yok. Ancak WordPress eklentileriniz otomatik olarak güncellenmiyor ise hemen eklentinizi manuel olarak güncellemelisiniz.

En güncel sürüm şu anda (23 Kasım 2018) 0.9.97.21. Eğer eklenti sürümünüz kontrol ettiğinizde bu veya daha yüksek bir versiyonu kullanıyor ise bu açık ile alakalı korkmanızı gerektirecek bir durum söz konusu değil demek oluyor.

WordPress güvenlik eklentileri için daha önce hazırladığımız “WordPress için En İyi Güvenlik Eklentileri” başlıklı yazımızı okuyabilirsiniz.

Yorumlar

Yorum yap

Bir Cevap Yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.