WordPress SEO By Yoast Eklentisinde Güvenlik Açığı

wordpress seo by yoast - güvenlik açığı

WordPress, kullanıcılarına hemen her amaca hizmet eden eklentiler sunmasıyla nam salmış bir içerik yönetim sistemi. Ancak kimi zaman bu eklentiler ciddi şekilde güvenlik açıklarına da yol açabiliyorlar.  The Hacker News tarafından yapılan açıklamaya göre, popüler WordPress eklentisi “Yoast”, güvenlik açığı nedeniyle milyonlarca WordPress kullanıcısını etkiledi.

Açıklamaya göre Yoast SEO eklentisinin 1.7.3.3 sürümü, “Blind SQL Injection” diye adlandırılan türden bir güvenlik açığa sahip. Bu açık vasıtasıyla, eklentiyi kullanan bir WordPress sitesinin saldırılara karşı güvensiz olması söz konusu olabilir. The Hacker News’ten Mohit Kumar’ın açıklaması aynen şu şekilde:

Temel olarak SQL injection saldırısında saldırgan, kullanıcı tarafındaki sorgulara hatalı biçimlendirilmiş SQL sorgusu ekleyerek istemciyi etkileyebilir. Saldırgan, eklentinin yarattığı açığa doğrudan erişemez, hata, bu kod satırında yer almaktadır: “admin/class-bulk-editor-list-table.php” .

Bu kod satırına erişim, Admin, Editör veya Yazar yetkisi verilmiş kişilere açıktır. Bu nedenle, saldırganın bu açıktan yararlanabilmesi için, yetkili kullanıcıları kandırması yeterlidir. Yetkili kullanıcıları, saldırganın ihtiyacı olan bilgileri elde etmesi için tıklamaları gereken sahte bir URL ile kandırması mümkün olabilir.

Yani, Admin’i olduğunuz bir sayfanın ele geçirilmesi için, sahte bir linke tıklamanız yeterli. Linke tıkladığınızda, SQL injection saldırısı meydana geliyor. Atak bir defa gerçekleştiğinde, saldırgan kendisine Admin yetkisi verebilecek duruma geliyor ve içerik yönetim sistemini ele geçirerek istediğini yapabiliyor.

Ancak bu problem, eklentinin 1.7.4 sürümüne yükseltilmesiyle çözülebilmekte. Yani, eğer Yoast SEO eklentisini kullanıyorsanız, vakit kaybetmeden eklentinizi güncelleyin. Aynı güncelleme, eklentinin premium versiyonu için de geldi.

Bu açıdan, WordPress ve Eklenti güncellemelerini sık sık kontrol etmenizi, yeni güncellemeleri kaçırmamanızı tavsiye ederiz. Yaşanan güvenlik problemi sadece Yoast SEO eklentisi için geçerli olmayabilir, diğer eklentilerde de benzer problemlerle karşılaşmamız söz konusu olabilir.

Eğer Yoast SEO’ya güvenmiyorsanız, All in One SEO eklentisini deneyebilirsiniz, All in One, Yoast SEO kadar yetenekli olmasa da, her haliyle SEO için optimize olan WordPress için bir eklentiye bu kadar yük bindirmek mantıklı görünmüyor. Ayrıca, herkesin Yoast SEO eklentisini kurarak SEO’yu domine etmesi gibi bir durum söz konusu olmadığından, çeşitliliğin ve farklı seçeneklerin olması çok daha sağlıklı diye düşünüyoruz.

3 Yorum Var: “WordPress SEO By Yoast Eklentisinde Güvenlik Açığı

  • 06 Haziran 2015 at 22:31
    Permalink

    Uzun zamandır çözümüne ulaşamadığım konuyu aydınlattığınız ve bilgilerinizi bizlerle paylaştığınız için teşekkürler hocam..

    Reply
  • 20 Ekim 2016 at 18:54
    Permalink

    aynen demkki benim siteme saldırı düzenlendi ve sql plmak üzere bütün dosyalarım silindi bir yorum vardı bakim dedim komple gitti hersey sıfırdan konu yazmak zorunda kaldım peki bu eklentilerin açıgı olup olmadıgını nerden anlicaz

    Reply
    • 02 Kasım 2016 at 17:29
      Permalink

      Merhabalar,
      Eklentinin son güncellemeleriyle bu tür güvenlik açıkları kapatılmıştı. Eğer eklentiyi güncellediyseniz bir sorun olmaması gerekir, ancak yine de detaylı inceleme yapmak için sunucu hizmeti aldığınız firmaya danışabilirsiniz.
      Saygılarımızla,

      Reply

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir