Kritik WordPress REST API Hatası: Blogunuzun Hacklenmesine Engel Olun! (28.02.2017)
WordPress üç güvenlik açığını yamadı. Açıklardan biri uzaktan yetkili olmayan bilgisayar korsanlarının bir WordPress sitesi içindeki herhangi bir yayın veya sayfanın içeriğini değiştirmesine izin veren sıfırıncı gün açığı.
Wordpress REST API'ında bulunan bu açıklık, iki yeni güvenlik zafiyeti oluşmasına sebebiyet veriyor: Uzaktan yetki yükseltme ve İçeriğe sızma (content injection) açıklığı.
Wordpress, milyonlarca web sitesinde kullanılan dünyanın en popüler içerik yönetim sistemidir (CMS). CMS kısa süre önce WordPress 4.7.0'da varsayılan olarak REST API'yı ekledi ve etkinleştirdi.
Açıklık, yetkili olmayan bir bilgisayar korsanının ziyaretçileri kötü amaçlı saldırılara yönlendirmesine olanak tanıyor.
Bu güvenlik açığı, kolay istismar edilebilir durumda ve Wordpress içerik yönetim sisteminin (CMS) sürüm 4.7 ve 4.7.1'i etkilemekte. Kimliği doğrulanmamış bir saldırganın düzeltilmemiş sitelerdeki tüm sayfaları değiştirmesine ve ziyaretçileri kötü amaçlı yazılımlara ve çok sayıda saldırıya yönlendirmesine izin verir durumda.
Güvenlik açığını Sucuri firmasından Marc-Alexandre Montpas keşvederek WordPress güvenlik ekibine bildirildi. WordPress açığı kapatan yamayı yayınladı ancak bu zafiyet ile ilgili ayrıntıları milyonlarca kullanıcısı yamayı yaptıktan sonra açıklamayı tercih etti.
Peki, WordPress Neden Güvenlik Açığı Açıklamasını Geciktirdi?
Konu 22 Ocak'ta keşfedildi ve 26 Ocak'ta düzeltildi ve düzeltme, popüler CMS'yi kullanan web sitelerine 4.7.2 sürümünde sunuldu.
Sucuri güvenlik sağlayıcıları ve sunucuları, WordPress güvenlik ekibi ile yamayı kurmak için bir hafta kadar çalışıp, konunun kısa bir süre önce kamuoyuna açıklanmadan yamanmasını sağladı.
Şirket ayrıca, açıklama ve yama arasındaki 9 günlük sürede SiteLock, Cloudflare ve Incapsula gibi güvenlik şirketlerini haberdar etti.
Wordpress'in, kullanıcıların otomatik sürüm güncelleme özelliği açık olanlarda güncellendikten sonra açığı duyurmasının çoğunluğu korumak amaçlı yapıldığını söyleyen Aaron Campbell otomatik sürüm güncellemenin olmadığı durumlarda açığın istismar edilmemesi için güncellemelerin bir an önce yapılması gerektiğini vurguladı.
Hala güncelleme yapmamış olan WordPress yöneticilerine CMS'lerini Wordpress 4.7.2 sürümüne güncellemelerini öneriyoruz.