#wordpresshack

200.000'den fazla web sitesinde kullanılan WordPress tema eklentisinde bulunan ciddi bir güvenlik açığı bulundu. Güvenlik açığı sayesinde bir web sitesinin veritabanını silmek ve siteye yönetici erişimi elde etmek mümkün. ThemeGrill Demo Importer , WordPress web sitesi yöneticilerinin ThemeGrill temaları için demo içeriği, widget'lar ve ayarları içe aktarmasına izin veren popüler bir eklentidir. Web güvenlik şirketi WebARX'taki araştırmacılar, yakın zamanda eklentinin 1.3.4 ila 1.6.1 sürümlerinin, kimliği doğrulanmamış bir saldırganın bir WordPress web sitesinin tüm veritabanını silmesine izin veren kritik bir güvenlik açığından etkilendiğini keşfetti . Araştırmacılar, kusurun son 3 yıldır var olduğuna inanıyor. Güvenlik açığı, bir ThemeGrill temasının yüklendiği ve etkinleştirildiği web sitelerine karşı kullanılabilir. Güvenlik açığından yararlanılması, veritabanının varsayılan ayarlarla ve verilerle doldurulmasına neden olur ve veritabanı “admin” adlı bir kullanıcı içeriyorsa, saldırganın otomatik olarak yönetici olarak oturum açmasıyla sonuçlanır. WebARX CEO'su Oliver Sild, SecurityWeek'e , ThemeGrill Demo İçe Aktarıcı'nın yüklü olduğu tüm WordPress sitelerinin operatörleri bir temayı gerçekten yüklemek için eklentiyi kullanmamış olabileceğinden saldırılara karşı savunmasız olabileceğini söyledi, daha önce belirtildiği gibi, istismarın çalışması için bir koşuldur. Şirketleri, web sitelerini üçüncü taraf bileşen güvenlik açıklarından korumak için güvenlik açığı algılama ve sanal yama yazılımı sağlayan Sild, ThemeGrill kusurundan yararlanmanın otomatikleştirilebileceğini belirtti. Güvenlik açığı, 6 Şubat'ta ThemeGrill geliştiricilerine bildirildi ve 16 Şubat'ta 1.6.2 sürümüyle  yama yayımlandı. WebARX, güvenlik açığının teknik ayrıntılarını ve geliştiriciler tarafından nasıl yamalandığını açıklayan bir blog yazısı yayınladı. Read the full article

Popüler WordPress eklentisi Jetpack için yayınlanan  bir güncelleme iki yıldan fazla bir süredir var olan kritik bir güvenlik açığını düzeltti. Bugüne kadar 5 milyondan fazla kurulan Jetpack , WordPress site yöneticilerine güvenlik, performans ve site yönetimi yetenekleri sağlar. Eklenti, web sitelerini kaba kuvvet saldırılarına ve yetkisiz oturum açmalardan korumak için tasarlanmıştır ve premium planların bir parçası olarak ek özellikler mevcutken, temel korumayı ücretsiz olarak sunabilir. Jetpack ekibi bu hafta eklentinin 7.9.1 sürümünü yayımladı ve kritik bir güvenlik güncellemesinin dahil edildiğini duyurdu ve kullanıcıları en kısa sürede eklentilerini güncellemeye çağırdı. Ekip ayrıca, güncellemenin Jetpack'in gömme kodunu işleme biçimindeki bir güvenlik açığını giderdiğini ve güvenlik açığının Temmuz 2017'de yayımlanan Jetpack 5.1'den bu yana popüler eklentide bulunduğunu açıkladı. “Bu güvenlik açığının istismar edildiğine dair hiçbir kanıtımız yok. Ancak, güncelleme yayınlandığında, birileri bu güvenlik açığından yararlanmaya çalışmadan önce bu sadece bir zaman meselesidir ”diyor. Güvenlik açığı, Jetpack'e sorumlu bir şekilde bildiren Adham Sadaqah tarafından keşfedildi. Ekip ayrıca, 5.1'den beri Jetpack'in her sürümü için yamalar yayınlamak için WordPress.org Güvenlik Ekibi ile birlikte çalıştıklarını açıkladı. Etkilenen web sitelerinin birçoğunun, güvenli bir sürüme güncellendiğini ya da yakında güncelleneceğini açıkladı. Yayımlanan sürümler şunlardır: 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2,2, 7.3.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1 ve 7.9.1. Jetpack 7.9.1 diğer sorunları da düzeltir ve WordPress'in yeni teması olan Twenty Twenty ile olan uyumluluğunu geliştirir. Read the full article

Hackercombat provides immediate solutions to fix malware form WordPress website. Visit us to know more!