İnternetteki tüm web sitelerinin yüzde 35’inden fazlasının altyapısını oluşturan WordPress, siber saldırılar konusunda da çok fazla sızma girişimine maruz kalan bir sistem. Popüler içerik yönetim sistemi WordPress eklentileri, yine hackerların hedefinde. Ancak geçtiğimiz yıllar kadar yoğun değil.
WordPress güvenliğine yönelik tehditlerin yoğun olduğu 2019’un ardından, 2020 sessiz başladı denebilir. Bunun nedeni, bilgisayar korsanlarının geliştirdikleri kötü amaçlı yazılımlara şu ana kadar etkin önlemler alınması. Ancak gelen bilgiler, hackerların ‘kış tatilinden döndüğünü’ gösteriyor.
WordPress güvenliği konusunda çalışan Wordfence, Webarx ve Nintechnet şirketleri, WordPress altyapılı sitelere saldırı girişimlerinde artış olduğunu kaydetti.
Geçtiğimiz ay tespit edilen WordPress altyapısı saldırılarında, odağın ana sistemden ziyade, WordPress eklentilerindeki açıklar olduğu belirlendi. Yamalı eklentilerdeki hataları hedefleyen bilgisayar korsanları, site yöneticileri açıkları fark etmeden, siteleri ele geçirmeyi umuyordu. Ancak bazı korsanlar, eklenti geliştiricileri tarafından bilinmeyen güvenlik açıklarını ifade etmek için kullanılan ‘sıfır gün’ -zero days- açıklarını keşfetti ve kullanmaya başladı.
Duplicator eklentisindeki açık, veritabanının ele geçirilmesine neden olabilir
Wordfence, yayınladığı raporunda bilgisayar korsanlarının Şubat ayının ortalarından itibaren, site yöneticilerinin içeriği dışa aktarmasına olanak tanıyan bir eklenti olan Duplicator’deki bir hatayı kullandığını belirtti. Eklentinin 1.3.28 sürümünde düzeltilen hata, saldırganların sitenin bir kopyasını aktarmasına izin vermenin yanı sıra, veritabanı kimlik bilgilerinin ayıklanmasına ve WordPress sitelerin MySQL veritabanının ele geçirilmesine neden olabileceği belirtildi.
İşin ciddiyetinin boyutlarını görmek için, Duplicator adlı eklentinin WordPress’in en popüler eklentileri içinde olduğunu belirtmemiz gerekiyor. Saldırıların başladığı dönemde bir milyondan fazla sitede yüklü olan eklenti, ticari sürümü olan Duplicator Pro ile de 170 bin sitede kullanılıyor.
Profil Builder eklentisi, yetkisiz yönetici hesabı açılmasına neden olabilir
Hackerların hedefindeki diğer bir WordPress eklentisi ise Profile Builder. Bu eklentideki açık, bilgisayar korsanlarının WordPress sitelerine yetkisiz bir şekilde yönetici hesabı kaydetmesine neden olabiliyor.
Şubat ayında bir çalışma yapılan hata, bunun ardından da çeşitli siber saldırılar almayı sürdürdü. Yayınlanan bir rapora göre, en az iki hacker grubu bu açığı kullandı. Şu anda eklentiyi kullanan 65 binden fazla site, eklentiyi güncellemediği müddetçe saldırılara hala açık. Eklentiyi kullanan 65 bin sitenin 50 bini ücretsiz sürümü kullanırken, 15 bini ise ücretli pro versiyonu kullanıyor.
Themegrill Demo Importer açığı ile içeriğiniz silinebilir
Yukarıdaki açıkları kullanan hacker gruplarının, ticari WordPress temaları geliştiricisi ThemeGrill tarafından geliştirilen ThemeGrill Demo Importer adlı eklentideki hatayı hedeflediği düşünülüyor.
200 binden fazla sitede yüklü olan eklenti, bilgisayar korsanlarına site içeriğini ‘silme’ ve bazı koşullar yerine getirilirse yönetici hesabını ele geçirme imkanı sunuyor.
Twitter’da Wordfence, Webarx ve bazı bağımsız siber güvenlik uzmanları tarafından doğrulanan açıktan ötürü, bu eklentiyi eski sürümü ile kullanan tüm sitelerin en kısa süre içinde 1.6.3 versiyonuna güncelleme yapması gerekiyor.
Themerex eklerindeki tehlikelere dikkat
Saldırılar aynı zamanda, Themerex temalarında standart olarak yüklenmiş olan ThemeREX Addons’u da etkiledi. Wordfence, raporunda hackerların Themerex Addons’ta bir sıfır gün açığı bulduğunu ve kötü amaçlı yönetici hesabı oluşturmak için girişimlerde bulunduklarını belirtti. Saldırıların devam etmesine rağmen, açıkla ilgili bir yama geliştirilmezken, site yöneticilerine eklentiyi sitelerinden kaldırmaları önerildi.
Woocomerce de hedef altında
WordPress’in e-ticaret yapısı olan Woocomerce de saldırılardan etkilendi. Esnek kasa alanları, yani Flexible checkout fields kullanan siteler hedef alındı. 20 binden fazla Woocomerce tabanlı e-ticaret sitesinde kullanılan flexible checkout fields’ta, bilgisayar korsanları buldukları sıfır gün açığı ile savunmasız sitelerde yönetici hesapları oluşturdu.
Async Javascript, 10Web Builder for Google Maps, Modern Events Calendar Lite eklentileri de açık bulunan WordPress eklentileri içinde. Bu eklentiler de on binlerce sitede kullanılıyor. Bu eklentilerin tamamı, ilgili açıkların öğrenilmesinden sonra güncellense de, içerdikleri buglardan ötürü sızma girişimlerinin hedefi oldu. Eğer bu eklentileri kullanıyorsanız, acilen güncelleme yapmanızı öneriyoruz.
