Oynatma Hızı:
Bu Yazı içinde Neler Mevcut?
WordPress Güvenlik Açıkları
WordPress, temel geliştirme ekibi tarafından sunulan çok kritik düzeydeki güvenlik açıklarını bildirdi.
WordPress, 10 üzerinden 8 gibi yüksek derece güvenlik açıklarının kapatıldığını duyurdu. Bu güvenlik açıkları “WordPress Core” denilen temel dosyalarda bulunduğu için, WordPress geliştirme ekibinin bizzat kendisi tarafından ortaya konuldu.
Dört WordPress Güvenlik Açığı
WordPress’in bildirisi, ilgili güvenlik açıklarının ne derecede ciddi ve detaylı olduğunu anlamak konusunda yetersizdi.
Ancak, güvenlik açıklarının kaydediliği ve halka duyurulduğu Amerika Birleşik Devletleri Ulusal Güvenlik Açığı Veritabanı, bu açıkları 1 ile 10 üzerinden 8 gibi çok yüksek bir tehdit oranında derecelendirdi.
İşte dört güvenlik açığı:
- WP_Meta_Query’de bulunan veri temizleme kaynaklı SQL enjeksiyonu
(tehdit seviyesi 7.4) - Çoklu sitelerde “Kimliği Doğrulanmış Nesne Enjeksiyonu”
(tehdit seviyesi 6.6) - Kimliği doğrulanmış kullanıcılar aracılığı ile Siteler Arası Betik Çalıştırma (XSS)
(tehdit seviyesi 8.0) - Uygunsuz temizleme kaynaklı Wp_Query aracılığı ile SQL Enjeksiyonu
(tehdit seviyesi 8.0)
Dört güvenlik açığından üçü WordPress dışı güvenlik araştırmacıları tarafından keşfedildi. WordPress’in bu açıklar fark edilene kadar konu hakkında hiçbir fikri yoktu. Açıkların yayılıp herkes tarafından bilinmesini önlemek için ilgili güvenlik sorunları WordPress’e özel olarak iletildi.
WordPress’in Hızlı Gelişimi Tehlikeli mi?
WordPress’in gelişimi 2022 yılında yavaşlamıştı. Çünkü en son dağıtım olan ve 2023’ye ertelenen 7.x sürümündeki çalışmalar bitirilemedi.
WordPress içerisinde, stabilite ile ilgili endişeler nedeniyle geliştirme hızının yavaşlatıldığı konuşulmakta.
WordPress core geliştiricilerin kendileri 2022’nin sonlarında gelişme hızının tehlikelerine dikkat çekti ve daha fazla zaman talep etti.
Geliştiricilerden biri uyardı:
“Genel olarak, şu anda işleri tehlikeli bir şekilde aceleye getiriyoruz gibi görünüyor.”
WordPress’in sürümlerinin yayın tarihlerine yetişemediği ve 2022’de yayınlanması planlanan 4 sürümün 3’e indirildiği göz önünde bulundurulduğunda, WordPress’in gelişim hızı ve kullanıcılarla dikkatsizce paylaşılan güvenlik açıkları üzerine daha fazla çaba sarf edilip edilmemesi konusu sorgulanmalı.
WordPress’te Veri Temizleme Sorunları
Veri temizleme, veritabanına ne türden bilgilerin gireceğini kontrol etmenin bir yoludur. Veritabanı, şifreler, kullanıcı adları, kullanıcı bilgileri, içerik ve sitenin işlevleri için gerekli olan bilgilerin tutulduğu yerdir.
Veri Temizlemeyi tanımlayan WordPress Dökümanı
“Temizleme (Sanitization), girdi verilerinin filtrelenmesi ve temizlenmesi işlemidir. Ne bekleyeceğinizi bilmediğinizde veya veri doğrulama konusunda katı olmak istemediğinizde, verinin bir API, web servisi ya da kullanıcıdan olduğuna bakılmaksızın, temizlemeyi (sanitization) kullanırsınız.”
Doküman, WordPress’in kötü niyetli veri girdilerine ve asgari çaba gerektiren yardımcı gömülü fonksiyonların kullanımına karşı koruma sağlamak için yardımcı gömülü fonksiyonları içermesi gerektiğini belirtir.
WordPress’in kendi dökümanına göre bu açıklar zaten beklenmektedir ve dolayısıyla WordPress’in kendi çekirdeğinde bunların ortaya çıkması son derecede şaşırtıcıdır.
Uygunsuz Temizleme (Improper Sanitization) ile ilgili iki yüksek seviye güvenlik açığı vardı:
- WordPress: WP_Meta_Query’de “Uygunsuz Temizleme”den dolayı SQL enjeksiyonu:
WP_Meta_Query’deki uygun temizleme eksikliğinden dolayı, SQL Enjeksiyonu için potansiyel körleme (blind). - WordPress: WP_Query’de uygunsuz temizleme kaynaklı WP_Query aracılığı ile SQL Enjeksiyonu: Belli biçimler kullanan tema ve eklentiler aracılığı ile SQL enjeksiyonlarının mümkün olduğu durumlar var olabilir.
Diğer güvenlik açıkları:
- WordPress: Çoklu Sitelerde Kimliği Doğrulanmış Nesne Enjeksiyonu:
Bir çoklu sitede Super Admin rolüne sahip kullanıcılar belli koşullar altında açık/ek zorlaştırmaları nesne yerleştirme yolu ile aşabilir. - WordPress: XSS aracılığı ile kimliği doğrulanmış kullanıcılar:
Yazar statüsü benzeri düşük yetkili kullanıcılar WordPress temel dosyalarında yüksek yetkili kullanıcıları etkileyebilecek Javascript/XSS saldırıları başlatabilir.
WordPress Derhal Güncelleme Yapılmasını Tavsiye Ediyor!
Güvenlik zafiyetleri şu anda mevcut olduğundan dolayı, WordPress kullanıcılarının sitelerini şu an en son sürüm olan 6.1.X versiyonuna güncellemesi çok önemlidir. WordPress ilgili güncellemeyi acil olarak edinmenizi tavsiye ediyor.
PHP 7.4 veya üstü ve MySQL 5.7 veya MariaDB sürüm 10.3 veya üstü önerilir.