WordPress web sayfalarının mobil cihazlarda daha hızlı
yüklenmesini sağlamak için tasarlanan ve binlerce kişi tarafından kullanılan
bir eklentide ciddi bir güvenlik açığı tespit edildi. Dünyada 500 milyondan
fazla kullanıcıyı koruyan Bitdefender Antivirüs, wordpress eklenti
güncellemelerinin düzenli ve otomatik olarak gerçekleştirilmesi gerektiğini
belirtti.
Popüler bir WordPress eklentisinde yeni keşfedilen bir
güvenlik açığının, web sitelerinde arka kapılar oluşturmaya, özel kodlar
yerleştirmeye ve kendilerine yönetici izinleri vermeye çalışan bilgisayar
korsanları tarafından aktif olarak kullanıldığı ortaya çıktı. Açık, web
sayfalarının mobil cihazlarda daha hızlı yüklenmesini sağlamak için tasarlanan
WP - Accelerated Mobile Pages eklentisinin bir sürümünde görüldü. Dünyada 500
milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, WordPress site
yöneticilerinin, AMP for WP eklentisini mümkün olan en kısa sürede
güncellemeleri gerektiğini belirtti.
Güvenlik açığı bulunan eklenti resmi WordPress eklenti
deposundan gizemli bir şekilde kayboldu ve 100.000'den fazla kullanıcı “Bu
eklenti 21 Ekim 2018'de kaldırıldı ve artık indirilemez.” mesajıyla karşılaştı.
Buna rağmen eklentinin geliştiricileri, blog sayfalarında yaptıkları açıklamada
eklentinin WordPress’ten kaldırılmasının sadece geçici bir durum olduğunu ve
güvenlik zafiyeti giderildikten birkaç gün sonra çözüleceğini belirtti.
Eklentideki güvenlik zafiyetinin ne olduğuna dair detaylar ise paylaşılmadı.
Geliştiriciler, güvenlik zafiyeti giderilene kadar kullanıcıların eklentiyi
kullanmaya devam edebileceğini de söyledi ancak Bitdefender Antivirüs’e göre
güvenlik açığı bulunan bir eklentinin kesinlikle kullanılmaması gerekiyor.
Sitenizde “SupportuUser” İsimli Bir Yönetici Hesabı Varsa
Dikkat!
Bitdefender antivirüs araştırmacıları, eklentideki güvenlik
açığının yetkisiz kişiler tarafından kullanılarak web sayfalarına reklam ve
şifreleme gibi kötü amaçlı kodların izinsiz eklenebileceğini açıkladı. bitdefender antivirüs araştırmacılarının yaptığı uyarıda, WordPress site
yöneticilerinin, AMP for WP eklentisini mümkün olan en kısa sürede
güncellemeleri ve sitede "supportuuser" adlı yeni bir yönetici
hesabının görünüp görünmediğini gözden geçirmeleri gerektiğine yer verildi.
Aksi takdirde bu açığı kullanan kötü niyetli kişiler markanıza zarar verebilir,
web sitenizin ziyaretçilerini kullanarak servet kazanabilirler.
