Patchstack’taki WordPress güvenlik araştırmacıları, WordPress platformundaki tüm web siteleri için güvenliğin önemini vurgulayan, yüksek ve kritik önemdeki güvenlik açıklarında artış olduğunu gösteren yıllık WordPress Güvenliği Durumu teknik incelemesini yayınladılar.

XSS, 2023’ün En Önemli WordPress Güvenlik Açığıdır

Pek çok güvenlik açığı türü var ancak en yaygın olanı, tüm yeni WordPress güvenlik açıklarının %53,3’ünü oluşturan siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarıydı.

XSS güvenlik açıkları genellikle kullanıcı girişlerinin yetersiz “temizlenmesi” nedeniyle ortaya çıkar; buna beklenene uymayan girişlerin engellenmesi de dahildir. Patchstack, üçüncü taraflarca yönetilen bir e-Ticaret platformu olan Freemius çerçevesinin, tüm XSS güvenlik açıklarının 1.200’den fazlasını oluşturduğunu ve 2023’te keşfedilen tüm yeni XSS güvenlik açıklarının %21’ini temsil ettiğini paylaştı.

Freemius Yazılım Geliştirme Kiti (SDK), 7 milyondan fazla WordPress sitesine yüklenen 1.200’den fazla eklentinin bir bileşeni olarak kullanılıyor. Bu, bir bileşenin WordPress eklentisinin bir parçası olarak kullanıldığı ve daha sonra güvenlik açığının kapsamının tek bir eklentinin ötesine geçtiği tedarik zinciri güvenlik açıkları sorununu vurgulamaktadır.

Patchstack’ın raporu şunları açıkladı:

“Bu yıl, Freemius çerçevesindeki tek bir siteler arası komut dosyası çalıştırma güvenlik açığının, 1.248 eklentinin güvenlik açığını devralmasına ve kullanıcılarını riske maruz bırakmasına nasıl yol açtığını bir kez daha gördük.

2023’te keşfedilen tüm yeni güvenlik açıklarının %21’i bu tek kusura dayandırılabilir. Geliştiricilerin yığınlarını dikkatli bir şekilde seçmeleri ve güvenlik güncellemelerini kullanıma sunulduklarında hemen uygulamaları hayati önem taşıyor.”

Yüksek veya Kritik Olarak Derecelendirilen Daha Fazla Güvenlik Açığı

Güvenlik açıklarına, keşfedilen bir kusurun ne kadar yıkıcı olduğuna karşılık gelen bir önem puanı atanır. Derecelendirmeler düşük, orta, yüksek ve kritik arasında değişmektedir.

2022’de yeni güvenlik açıklarının %13’ü yüksek veya kritik olarak sınıflandırıldı. Bu yüzde 2023’te hızla %42,9’a yükseldi; bu da 2023’te bir önceki yıla göre daha yıkıcı güvenlik açıklarının olduğu anlamına geliyor.

Kimliği Doğrulanmış ve Kimliği Doğrulanmamış Güvenlik Açıkları

Raporda ortaya çıkan diğer bir ölçüm, kimlik doğrulama gerektirmeyen (kimliği doğrulanmamış) güvenlik açıklarının yüzdesidir; bu, saldırganın bir saldırı başlatmak için herhangi bir kullanıcı izni düzeyine ihtiyaç duymadığı anlamına gelir.

Bir saldırganın abone seviyesinden yönetici seviyesine kadar izinlere sahip olmasını gerektiren kusurların üstesinden gelmek için daha yüksek bir çıta vardır. Kimliği doğrulanmamış güvenlik açıkları, saldırganın ilk önce bir izin düzeyi elde etmesini gerektirmez; bu da bu tür güvenlik açıklarını daha endişe verici hale getirir çünkü bu güvenlik açıklarından, bir siteyi güvenlik açığı için araştıran ve ardından otomatik olarak saldırı başlatan botlar gibi otomatik saldırılar yoluyla yararlanılabilir.

Patchstack, tüm yeni güvenlik açıklarının %58,9’unun hiçbir kimlik doğrulama gerektirmediğini buldu.

Terk Edilen Eklentiler Risk Faktörü Olarak Artıyor

Güvenlik açıklarının bir diğer önemli nedeni de çok sayıda terkedilmiş eklentidir. 2022’de Patchstack, WordPress.org’a 147 terkedilmiş eklenti ve tema bildirdi ve bunlardan 87’si kaldırıldı ve geri kalanına yama uygulandı.

2023’te terkedilen eklentilerin sayısı 2022’de 147’den 2023’te 827 eklenti ve temaya yükseldi. 2022’de 87 savunmasız terk edilmiş eklenti kaldırılırken, 2023’te 481’i kaldırıldı.

Patchstack şunları kaydetti:

“WordPress’teki “zombi eklenti salgınına” dikkat çekmek için bu eklentilerden 404 tanesini bir günde bildirdik. Bu tür “zombi” eklentiler ilk bakışta güvenli ve güncel gibi görünen ancak yama yapılmamış güvenlik sorunları içerebilen bileşenlerdir. Ayrıca bu tür eklentiler, WordPress eklenti deposundan kaldırılsalar bile kullanıcı sitelerinde aktif kalır.”

Güvenlik Açıklarına Sahip En Popüler Eklentiler

Daha önce de belirtildiği gibi şiddet dereceleri düşük, orta, yüksek ve kritik arasında değişmektedir. Patchstack, güvenlik açıklarına sahip en popüler eklentilerin bir listesini derledi.

2022’de, bir milyondan fazla aktif kuruluma sahip ve güvenlik açıkları içeren 11 popüler eklenti vardı. 2023 yılında Patchstack, kurulum çıtasını bir milyondan 100.000’in üzerine düşürdü. Listeye girmeyi kolaylaştırmasına rağmen yalnızca 9 popüler eklentide güvenlik açığı olduğu tespit edildi; bu rakam 2022’ye göre çok daha az.

2022’de güvenlik açıklarına sahip en popüler 11 eklentiden yalnızca beşi yüksek önem derecesine sahip bir güvenlik açığı içeriyordu; hiçbiri kritik düzeyde bir güvenlik açığı içermiyordu ve geri kalanı orta düzeyde önem taşıyordu.

Bu rakamlar 2023’te önemli ölçüde kötüleşti. Popüler eklenti olarak kabul edilen eşiğin düşürülmesine rağmen, listedeki dokuz eklentinin tümü kritik düzeyde güvenlik açıkları içeriyordu. Bu listedeki eklentilerin ezici çoğunluğu (dokuz eklentiden altısı), kimliği doğrulanmamış güvenlik açıkları içeriyordu; bu, bunlardan yararlanmanın otomasyonla ölçeklendirilmesinin kolay olduğu anlamına geliyor. Kimlik doğrulama gerektiren geri kalan üçü yalnızca abone düzeyinde erişim gerektiriyordu; bu, alınması en kolay izin düzeyidir; yalnızca kaydolun, e-postayı doğrulayın ve içeri girin. Bu da otomasyonla ölçeklendirilebilir.

Güvenlik Açığı Olan En Popüler Eklentilerin Listesi

1. Elementor 1M+ kurulumları için Temel Eklentiler (önem derecesi 9,8)
2. WP Fastest Cache 1 milyonun üzerinde kurulum (önem derecesi 9,3)
3. Gravity Forms 940k kurulum (şiddet derecesi 8,3)
4. Fusion Builder 900k kurulumları (önem derecesi 8,5)
5. Flatsome (Tema) 618k kurulum (önem derecesi 8,3)
6. WP İstatistikleri 600 bin kurulum (şiddet derecesi 9,9)
7. Forminator 400k kurulumları (şiddet derecesi 9,8)
8. WPvivid Backup and Migration 30ok kurulumları (önem derecesi 8,8)
9. Elementor 30ok kurulumları için JetElements (şiddet derecesi 8,2)

WordPress Güvenliğinin Durumu Daha Kötü

Son zamanlarda her zamankinden daha fazla güvenlik açığı olduğunu düşünüyorsanız, artık nedenini biliyorsunuz, istatistikler konuşuyor. 2023’te daha fazla güvenlik açığı olacak ve daha büyük bir yüzde, otomasyonla geniş ölçekte yararlanılabilecek yüksek ve kritik düzeylerde olacak.

Bu, tüm yayıncıların güvenliklerini iyileştirmeleri ve eklentilerinin ve temalarının güncellendiğinden ve aktif olarak korunduğundan emin olmak için birinin düzenli olarak eklentilerini ve temalarını denetleme sorumluluğunu üstlendiğinden emin olması gerektiği anlamına gelir.

Google saldırıya uğramış bir siteyi arama sonuçlarından çıkardığında güvenlik hızla bir sıralama sorunu haline geldiğinden SEO’lar bunu dikkate almalıdır. Site denetimleri yapan SEO’ların çoğu, güvenlik başlıklarının yerinde olup olmadığını doğrulamak gibi en temel güvenlik kontrollerini bile yapmıyor; ben de yaptığım her denetimin bir parçası olarak bunu yapıyorum. Risklerin farkında olduklarından emin olmak için her zaman müşterilerinizle güvenlikleri hakkında bir tartışma yaptığınızdan emin olun.

Patchstack, eklentinin güvenlik açığını düzeltmek için bir yama yayınlamasından önce bile WordPress sitelerini güvenlik açıklarına karşı otomatik olarak koruyan bir hizmet örneğidir. Bu tür hizmetler, saldırıya uğramaya ve arama görünürlüğünü ve kazançlarını kaybetmeye karşı bir savunma oluşturmak açısından önemlidir.

Patchstack raporunu okuyun:

2023 Yılında WordPress Güvenliğinin Durumu

Öne Çıkan Görsel: Shutterstock/Iurii Stepanov