wordpress seo by yoast - güvenlik açığı

WordPress, kullanıcılarına hemen her amaca hizmet eden eklentiler sunmasıyla nam salmış bir içerik yönetim sistemi. Ancak kimi zaman bu eklentiler ciddi şekilde güvenlik açıklarına da yol açabiliyorlar.  The Hacker News tarafından yapılan açıklamaya göre, popüler WordPress eklentisi “Yoast”, güvenlik açığı nedeniyle milyonlarca WordPress kullanıcısını etkiledi.

Açıklamaya göre Yoast SEO eklentisinin 1.7.3.3 sürümü, “Blind SQL Injection” diye adlandırılan türden bir güvenlik açığa sahip. Bu açık vasıtasıyla, eklentiyi kullanan bir WordPress sitesinin saldırılara karşı güvensiz olması söz konusu olabilir. The Hacker News’ten Mohit Kumar’ın açıklaması aynen şu şekilde:

Temel olarak SQL injection saldırısında saldırgan, kullanıcı tarafındaki sorgulara hatalı biçimlendirilmiş SQL sorgusu ekleyerek istemciyi etkileyebilir. Saldırgan, eklentinin yarattığı açığa doğrudan erişemez, hata, bu kod satırında yer almaktadır: “admin/class-bulk-editor-list-table.php” .

Bu kod satırına erişim, Admin, Editör veya Yazar yetkisi verilmiş kişilere açıktır. Bu nedenle, saldırganın bu açıktan yararlanabilmesi için, yetkili kullanıcıları kandırması yeterlidir. Yetkili kullanıcıları, saldırganın ihtiyacı olan bilgileri elde etmesi için tıklamaları gereken sahte bir URL ile kandırması mümkün olabilir.

Yani, Admin’i olduğunuz bir sayfanın ele geçirilmesi için, sahte bir linke tıklamanız yeterli. Linke tıkladığınızda, SQL injection saldırısı meydana geliyor. Atak bir defa gerçekleştiğinde, saldırgan kendisine Admin yetkisi verebilecek duruma geliyor ve içerik yönetim sistemini ele geçirerek istediğini yapabiliyor.

Ancak bu problem, eklentinin 1.7.4 sürümüne yükseltilmesiyle çözülebilmekte. Yani, eğer Yoast SEO eklentisini kullanıyorsanız, vakit kaybetmeden eklentinizi güncelleyin. Aynı güncelleme, eklentinin premium versiyonu için de geldi.

Bu açıdan, WordPress ve Eklenti güncellemelerini sık sık kontrol etmenizi, yeni güncellemeleri kaçırmamanızı tavsiye ederiz. Yaşanan güvenlik problemi sadece Yoast SEO eklentisi için geçerli olmayabilir, diğer eklentilerde de benzer problemlerle karşılaşmamız söz konusu olabilir.

Eğer Yoast SEO’ya güvenmiyorsanız, All in One SEO eklentisini deneyebilirsiniz, All in One, Yoast SEO kadar yetenekli olmasa da, her haliyle SEO için optimize olan WordPress için bir eklentiye bu kadar yük bindirmek mantıklı görünmüyor. Ayrıca, herkesin Yoast SEO eklentisini kurarak SEO’yu domine etmesi gibi bir durum söz konusu olmadığından, çeşitliliğin ve farklı seçeneklerin olması çok daha sağlıklı diye düşünüyoruz.

Emre Ercan
Ben Emre Ercan,
Stradiji Dijtal Pazarlama bünyesinde SEO Uzmanı olarak görev yapmaktayım. Geçmişten beri teknoloji ve internet dünyasıyla olan yakından ilişkim sayesinde SEO'nun olumlu etkilerini müşterilerimize yansıtmak için canla başla çalışmaktayım.