Faydalı Bilgiler

WordPress Kullanıcıları İçin Uyarı, All in One Seo Pack Açığı

  • 0 Comment
  • 4 Haziran 2014
About Hakan Demirel

Özel bir şirkette Front-end Developer olarak çalışmakta. Twitter üzerinden @hakandemirel hesabını takip edebilir yada hakandemirel.com adresinden daha fazla bilgi alabilirsiniz.

Social Links

WordPress kullanıcılarının genellikle en çok tercih ettiği SEO ayarlarını kolaylaştıran All in One Seo Pack eklentisinde 2 adet yeni güvenlik açığı tespit edildi. Bu eklentiyi kullanan ve güncellemeyen siteler risk altında.

Eklentide bulunan açıklar;

En önemli açıklardan biri wordpress sitenize yönetici izinleri olmadan wp-admin bölüme erişim sağlanması. Yani sitenizde üyeleriniz, yazarlarınız ve admin olmayan ve wp-admin (yönetim paneli) kısmına erişebilmeleridir.

Bu açık sayesinde, normalde izni olmayan kullanıcıların All in One Seo Pack parametrelerine istedikleri gibi ulaşıp değiştirmelerini sağlıyor. Erişim sağladıkları parametreler sayesinde sitenizin yada yazılarınızın title, meta ve etiketleri gibi All in One Seo Pack‘te bulunan alanları istedikleri gibi değiştirebiliyorlar.

SERP sonuçlarınızı , istatistiklerinizi ve gelirinizi ciddi anlamda olumsuz yönde etkileyecektir.

Diğer önemli bir açık ise;  XSS (Cross site scripting) diye bilinen, kötü niyetli kullanıcıların yönetici panelinden Javascript dosyalarını çalıştırabilmesi, tetikleyebilmesi. Bu şu anlama geliyor, bu kişiler sitenize Javascript kodu enjekte ederek yönetici şifrelerini değiştirebillir yada kendileri ve başkaları için bir arka kapı oluşturabilirler.

Çözüm;

1- Çoğu kullanıcı muhtemelen şu anda siteadi.com/wp-admin şeklinde yönetici paneline erişem sağlayamıyor. Bunu aşmak için siteadi.com/wp-admin/update-core.php sayfasını kullanabilirsiniz. Bu adrese girdikten sonra sizden erişim bilgilerinizi isteyecek ve bu bilgileri doğru girdiğiniz zaman yönetim panelinde ki Güncelleme sayfasına ulaşabileceksiniz. Bu sayfada gerekli güncellemeleri yapabilir ve eklenti sayfasına giderek geçici olarak All in One Seo Pack eklentisini yeni bir güncelleme gelen kadar pasif konuma getirebilirsiniz.

2- Geçici olarak sitenize yeni kayıtları durdurun. Hali hazırda olan kişilerin wp-admin’e girişini engelleyin. Bu işlem için Remove Dashboard Access adlı plugini kullanabilirsiniz.

Yine de içiniz hala rahat değil ise , eklentiyi kaldırarak WordPress SEO by Yoast adlı alternatif eklentiyi kullanabilirsiniz.

Leave a Comment