Videolu Anlatımlar

Contact Form 7 Güvenlik Açığı Bulundu!

Contact Form 7 Güvenlik Açığı

WordPress’in en popüler iletişim formu eklentilerinden biri olan Contact Form 7’de, kritik bir güvenlik açığı tespit edildi. Contact Form 7 eklentisini kullanan 5 milyon site, bu sebeple tehdit altında. 

Bu güvenlik açığı, hackerların sitenize kötü amaçlı komut dosyaları yüklemesine olanak sağlıyor. Contact 7 yapımcıları, bu açığı gidermek için hemen bir güncelleme yayınladı.

 

Contact Form 7 Güvenlik Açığı

Güvenlik açığının detayına inelim. Contact Form 7’deki güvenlik açığı, kısıtlanmamış dosya yükleme güvenlik açığı olarak isimlendiriliyor. Hackerlar, bu açığa sahip eklentiyi kullanarak shell dosyaları yükleyebiliyorlar. 

Savunmasız sitelere yüklenen shell dosyaları; sitede erişim elde etmek, sitenin veritabanına sızmak gibi amaçlar için yazılmış kötü amaçlı dosyalardır. 

Eklenti yapımcıları ise açık ile ilgili şu açıklamayı yaptı:

Contact Form 7 5.3.1 ve daha eski sürümlerinde, kısıtlanmamış dosya yükleme güvenlik açığı tespit edildi. Bir form göndericisi, Contact Form 7’nin dosya adı temizleme aşamasını atlayabilir ve sunucuya kötü amaçlı dosya yükleyebilir.  

Bu açıklamanın detayları, Contact Form 7’nin eklenti sayfasında yayınlandı. Açıklamaya ek olarak, yeni güncellemenin detayları da paylaşıldı: 

Kısıtlanmamış dosya yükleme güvenlik açığını gidermek için, dosya adından denetimi ve diğer özel karakter türlerini kaldırır.

Eklenti sayfasında şu şekilde göreceksiniz: 

Contact Form 7 Güvenlik Açığı bulundu
Contact Form 7 Güvenlik Eklentisi Açığı

Dosya Adı Temizleme İşlemi Nedir ?

Peki, Contact 7 resmi açıklamasında da geçen dosya adı temizleme nedir ? Çok kısa bundan da bahsetmek istiyorum. 

Dosya Adı Temizleme, yüklemeleri sağlayan komut dosyalarıyla ilgili işleve sahip bir fonksiyondur. Dosya adı temizleme işlevleri; belirli türdeki dosyaları kısıtlayarak, hangi tür dosyaların siteye yükleneceğini denetlemek için tasarlanmıştır. Dosya adı temizleme fonksiyonu, dosya yolları üzerinde de kontrole sahiptir.

Bir dosya adı temizleme fonksiyonu, belirli dosya adlarını engelleyerek ya da belirli dosya adlarına izin vererek çalışır. Bu da her dosyanın sitenize yüklenemeyeceği anlamına gelir, tabii dosya adı temizleme işlemi doğru çalışırsa.

Contact Form 7 açığında, dosya adı temizleme fonksiyonu doğru çalışmıyordu. Doğru çalışmadığı için, tehlikeli dosya adlarına izin verilmiş oldu. Bu da kötü niyetli kişiler için davetiye niteliğindeydi. 

Bu açık ilk olarak Astra isimli bir web güvenlik şirketinde keşfedildi. Keşfedildikten hemen sonra güvenlik güncellemesi yayınlandı. Umarım hiçbir site bu açıktan kötü etkilenmemiştir.  

Bu açık ile birlikte, WordPress altyapılı sitelerde güvenliğin önemini bir kez daha anladık. WordPress güvenlik önlemleri makaleme göz atarak, WordPress sitenizin güvenliğinizi sağlamlaştırabilirsiniz.

Mehmet Erbay
Mehmet Erbay

Özet geçiyorum :) Blogger baba, bilgisayar teknisyeni, 10 yıldır online dünyada.

Nereden Başlanmalı?

Blog nasıl açılır

Blog Nasıl Açılır?

Adım adım blog veya web sitesi açmanızı sağlayacak bir rehber. 2020 Yılı için google uyumlu bir site/blog nasıl açılır?

blog yazarak para kazanmak

Blog Yazarak Para Kazanmak

Blog yazarak kendi blogunuzdan ne kadar para kazanırsınız? 1000 kişi sitenizi ziyaret etse kazancınız ne olur?

Son Yazılar

Hangi Konuda Yardıma İhtiyacın Var?

blog nasıl açılır

Site/Blog Açmak

Tüm Detaylar

wordpress güvenlik

Site Güvenliği

Siteni Koru

Wordpress hatalar

Wordpress Hatalar

Hata Kodları

wordpress site hızlandırma

Wordpress Hız

Daha Hızlı olmak

Wordpress Seo

Wordpress Seo

Google 1. Sayfa

internetten para kazanmak

Para Kazanmak

Tüm Detaylar

Rehber Makaleler

Bilgi paylaştıkça güzel :) Yazılarımın başkalarına ulaşmasını aşağıdaki paylaş butonları ile yaparsan çok sevinirim.
Mehmet Erbay
Mehmet Erbay
Blogger

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir