20 Nisan 2015 tarihi itibariyle WordPress XSS Güvenlik Açığı bildirildi. Yapılan açıklamalarda birçok WordPress eklentisinin bu açıktan etkilendiği ve blog sitelerinin zarar gördüğü açıklandı.
XSS (Cross Site Scripting) açığı olarak bildirilen bu probleme add_query_arg() ve remove_query_arg() fonksiyonlarını kullanan eklentiler maruz kaldı. Bu bahsedilen fonksiyonları sorgulama yapmak için eklentiler içerisinde birçok geliştirici tarafından kullanmaktadır.
Bu yazıyı kaleme aldığımda etkilenmiş olan eklentilerin listesi aşağıdakiler olarak bildirilmişti:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Birçok iThemes ürünü, Builder ve Exchange dahil
- Broken-Link-Checker
- Ninja Forms
Bu açığı fark eden birçok eklenti geliştiricisi önlem almış durumdadır. WordPress resmi sitesinden yapılan açıklamada ilk iş olarak Yönetici sayfasına giderek güncellemesi gelen eklentilerin güncellemesinin yapılması gerektiği bildirilmiştir.
WordPress geliştiricileri ekibi tüm eklentileri gözden geçirip bu fonksiyonları kullanan eklentilere gerekli yamaları uygulamışlar. Bununla ilgili olarak sorunun giderildiğini de bildirmişler.
Sucure sitesinden yapılan açıklamada hali hazırda birçok eklentinin bu açığı barındırdığını bildirmektedir. Bu sebepten dolayı eğer bir eklenti geliştiricisi iseniz mutlaka bu açıkla ilgili önlem almanız tavsiye edilmektedir.
WordPress bu fonksiyonların kullanımı ile ilgili ayrıntılı olarak bir sayfa düzenlemiş olup buradan ilgili yazıya ulaşabilirsiniz.
Eğer yukarıda liste olarak verdiğim eklentileri kullanıyorsanız mutlaka güncellemeleri yapınız. Ayrıca aşağıda verdiğim Sucure sitesinin sayfasında güncellenen eklenti listesine ulaşabilirsiniz.
Şu aşamada yapılması gereken öncelikle güncellemeleri gerçekleştirmenizdir. Ayrıca site güvenliği ile ilgili yazdığım yazılara bir göz atarak blog sitenizi (özellikle Yönetici sayfanızı) koruma altına alın.
Güvenli bloglamalar dilerim…
