WordPress’in en çok kullanılan eklentilerinden WP Super Cache’te büyük bir güvenlik açığı tespit edildi. Eklentinin 1.4.3 sürümünde bu bu açığın farkedilmesinin ardından 1.4.4 sürümü yayınlandı.
1 milyondan fazla kullanıcısı olan WP Super Cache, WordPress altyapılı web sitelerde önbellekleme kullanmasını sağlayan bir eklenti. Bu eklenti PHP derleme süresini azaltarak web sitelerin daha hızlı açılmasını ve daha yüksek performanslı çalışmasını sağlıyor.
Bütün bilgileriniz çalınabilir
WP Super Cache’in 1.4.3 ve altı sürümlerde kritik bir güvenlik açığı olduğu ortaya çıktı. XSS güvenlik açığı tespit edilen yazılımın eski sürümlerini kullanıyorsanız, mevcut bilgilerinizin başka birinin eline geçmesi oldukça kolay. WordPress altyapısı kullanan ve eklentilerini güncellemeyen birçok web sitesi şu an bu risk ile karşı karşıya. WP Super Cache eklentisi sitenizi hızlandırdığı gibi bu kod açığı nedeniyle bütün bilgilerinizi de uçurabilir.
Güvenlik açığının risk analizi ve bilgileri ise şöyle:
Güvenlik Riski : Tehlikeli
Risk Puanı : 8/10
Güvenlik Türü : Persistent XSS
Suistimal Seviyesi : Çok Kolay
Açıklanma Tarihi : 07.04.2015
Açığın olduğu Sürüm : 1.4.3 ve altı
Saldırgan, bu güvenlik açığından faydalanmak için sitenize sorgu kodu ekleyip, güvenlik açığından faydalanır. Böylece önbelleğe işlenmiş tüm bilgiler saldırganın eline geçmiş oluyor. Sonuç olarak, web sitenizde tüm yetkilere sahip yeni bir kullanıcı oluşturulabilir.
Site üzerinde sizin kadar yetkiye sahip
Saldırganın bu yetkiler ile neler yapılabileceğine birkaç örnek verecek olur isek; dosyalarınıza erişip tümünü silebilir ve kodlarınızı çalabilir. Aslında bu güvenlik açığı ile siz ne yetkiye sahipseniz saldırgan da aynı yetkiye sahip olur.
Eklentinizi hemen güncelleyin
WP Super Cache 1.4.3 ve altı sürümlerinden birini kullanıyorsanız, bu riski ortadan kaldırmak için bir an önce eklentinin son sürümüne güncelleme yapmanızı tavsiye ediyoruz. WP Super Cache 1.4.4 sürümü için WordPress.org’u ziyaret edip en son sürümü yükleyin.
XSS nedir?
Tüm kullandığınız yazılımların son sürüm olmasına dikkat edin. Son sürüm yazılımlarda güvenlik açıklarının bulunma ihtimali bir önceki sürüme göre daha düşüktür.
XSS: Cross Site Scripting olarak adlandırılan bir güvenlik açığı türüdür.
