Wordfence analistleri, son birkaç gün içinde 16.000 IPs’den kaynaklanan ve 1,6 milyondan fazla WordPress sitesini hedef alan büyük bir saldırı dalgası tespit ettiğini bildiriyor. Tehdit aktörleri dört WordPress eklentisini ve biri mevcut yama olmayan on beş Epsilon Framework temasını hedefliyor. Hedeflenen eklentilerin bazıları 2018’de tamamen yamalanırken, bazılarının güvenlik açıkları bu hafta kadar yakın bir zamanda giderildi.
Bugün, 9 Aralık 2021’de, Tehdit İstihbaratı ekibimiz, saldırganların savunmasız sitelerdeki keyfi seçenekleri güncellemesini mümkün kılan güvenlik açıklarını hedef alan saldırılarda büyük bir yükseliş fark etti. Bu, bizi bir milyondan fazla WordPress sitesini hedef alan aktif bir saldırıyı ortaya çıkaran bir soruşturmaya yönlendirdi. Son 36 saat içinde Wordfence ağı, 1,6 milyondan fazla sitede dört farklı eklentiyi ve birkaç Epsilon Framework temalarını hedef alan ve 16.000’den fazla farklı IP adresi kaynaklı 13,7 milyondan fazla saldırıyı engelledi.
Wordfence Premium Kullanıcılar, tüm bu güvenlik açıklarını hedef alan tüm yararlanma girişimlerine karşı korunur. Wordfence ücretsiz kullanıcıları, PublishPress Capabilities’te yakın zamanda açıklanan güvenlik açığı dışında tüm güvenlik açıklarını hedef alan saldırılara karşı korunmaktadır. Wordfence Premium kullanıcıları, 6 Aralık 2021’de PublishPress Capabilities’deki Kimlik Doğrulanmamış Keyfi Seçenekler Güncelleştirmesi güvenlik açığı için bir güvenlik duvarı kuralı aldı ve wordfence’ın ücretsiz sürümünü hala çalıştıran siteler 6 Ocak 2022’de güvenlik duvarı kuralını alacak.

Kaynak: Wordfence
Sitemi nasıl koruyabilirim?
Bu güvenlik açıklarının ciddiyeti ve bunları hedefleyen büyük kampanya nedeniyle, sitenizin uzlaşmaya karşı korunmasını sağlamak inanılmaz derecede önemlidir. Sitenizde Wordfence Premium çalışıyorsa, bu güvenlik açıklarından herhangi birini hedefleyen yararlanma girişimlerine karşı zaten korunur. Siteniz Wordfence’ın ücretsiz sürümünü çalıştırıyorsa, PublishPress Yetenekleri’ndeki yakın zamanda düzeltme eki uygulanmış güvenlik açığı dışında, güvenlik açıklarından herhangi birini hedefleyen açıklara karşı korunur. Wordfence Free çalıştıran siteler, Wordfence Premium kullanıcılarından 30 gün sonra olan 6 Ocak 2022’de PublishPress Capabilities için güvenlik duvarı kuralını alacaktır.
Wordfence’ın sağladığı korumadan bağımsız olarak, bu eklentilerden veya temalardan birini çalıştıran sitelerin düzeltme eki uygulanmış sürüme güncellenmesini sağlamanızı öneririz. Aşağıda özetlenen her ürünün etkilenen sürümlerine sahibiz. Lütfen sitelerinizin listelenenlerden daha yüksek bir sürüm çalıştırdığından emin olun. Eklentileri ve temaları güncellemek, sitenizin bu güvenlik açıklarını hedefleyen herhangi bir istismara karşı tehlikeye girmemesini sağlayacaktır.
Etkilenen eklentiler ve sürümleri şunlardır:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Hedeflenen Epsilon Framework temaları şunlardır:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
- NatureMag Lite – Mevcut yama yok
Saldırı Verilerine Daha Yakından Bakış
Saldırganlar, Kimlik Doğrulaması Olmayan Rasgele Seçenekleri Güncelleştirme Güvenlik Açıkları ile 4 ayrı eklentiyi hedef alıyor. Dört eklenti, 12 Kasım 2018’den beri yamalı olan Kiwi Social Share, 23 Ağustos 2021’den beri düzeltme eki uygulanmış olan WordPress Automatic ve Pinterest Automatic ve yakın zamanda 6 Aralık 2021’de yamalanan PublishPress Capabilities’ten oluşuyor. Ayrıca, rasgele seçenekleri güncelleştirmek amacıyla çeşitli Epsilon Framework temalarında bir İşlev Ekleme güvenlik açığını hedefliyorlar.
Çoğu durumda, saldırganlar seçeneği etkin olarak güncelleştirir ve seçeneği ‘yönetici’ olarak ayarlar.’ Bu, saldırganların herhangi bir siteye yönetici olarak kaydolmasını ve siteyi etkili bir şekilde devralmasını mümkün kılar.users_can_register
default_role
Saldırı verilerimiz, saldırganların 8 Aralık 2021’e kadar bu güvenlik açıklarından herhangi birini hedef alan çok az etkinlik olduğunu göstermektedir. Bu, PublishPress Yeteneklerindeki son düzeltme eki uygulanmış güvenlik açığının saldırganların büyük bir kampanyanın parçası olarak çeşitli Keyfi Seçenekleri Güncelleme güvenlik açıklarını hedeflemesine neden olabileceğine inanmamıza neden olmaktadır.
Son 36 saat içinde en çok rahatsız eden 10 IP şunlardır:
- 144.91.111.6 ile 430.067 saldırı engellendi.
- 185.9.156.158 ile 277.111 saldırı engellendi.
- 195.2.76.246 ve 274.574 saldırı engellendi.
- 37.187.137.177 ve 216.888 saldırı engellendi.
- 51.75.123.243 ile 205.143 saldırı engellendi.
- 185.200.241.249 ile 194.979 saldırı engellendi.
- 62.171.130.153 ile 192.778 saldırı engellendi.
- 185.93.181.158 saldırı ile 181.508 saldırı engellendi.
- 188.120.230.132 saldırı ile 158.873 saldırı engellendi.
- 104.251.211.115 ile 153.350 saldırı engellendi.

Kaynak: Wordfence
“Çoğu durumda, saldırganlar users_can_register seçeneğini etkinleştirilmiş olarak güncelliyor ve default_role seçeneğini Yönetici” Wordfence Açıklıyor.
“Bu, saldırganların herhangi bir siteye yönetici olarak kaydolmasını mümkün kılar.”
Kontrol et, güncelleştir, temizle
Sitenizin zaten ele geçirilip geçirilmediğini kontrol etmek için tüm kullanıcı hesaplarını inceleyebilir ve hemen kaldırılması gereken sahte eklemeleri arayabilirsiniz.
Ardından, sitenin ayarlarını “http://examplesite[.]com/wp-admin/options-general.php” ve Üyelik ve yeni kullanıcı varsayılan rol ayarına dikkat edin.
Siteme Virüs Bulaşıp Bulaşmadığını Nasıl Anlarım ve Ne Yapmalıyım?
Daha önce de belirtildiği gibi, saldırganlar seçeneği etkin olarak güncelliyor ve çoğu durumda seçeneği ‘yönetici’ olarak ayarlıyor.users_can_register
default_role
Bir sitenin bu güvenlik açıklarından etkilenip etkilenmediğini belirlemek için, sitedeki kullanıcı hesaplarını gözden geçirerek yetkisiz kullanıcı hesabı olup olmadığını belirlemenizi öneririz. Site dört eklentiden veya çeşitli temalardan herhangi birinin savunmasız bir sürümünü çalıştırıyorsa ve sahte bir kullanıcı hesabı varsa, site muhtemelen bu eklentilerden biri aracılığıyla tehlikeye atılmıştır. Lütfen algılanan kullanıcı hesaplarını derhal kaldırın.
Sitenin ayarlarını gözden geçirmek ve orijinal durumlarına geri döndüklerinden emin olmak da önemlidir. Bu ayarları http://examplesite[.] com/wp-admin/options-general.php sayfası. Lütfen sitenize bağlı olarak ‘Üyelik’ ayarının etkin veya devre dışı olarak doğru ayarlandığından emin olun ve ‘Yeni Kullanıcı Varsayılan Rolü’nün uygun şekilde ayarlandığından emin olun. Kaçınılmaz site uzlaşmasına yol açabileceği için yeni kullanıcı varsayılan rolü için ‘Yönetici’ kullanmamanızı öneririz.

Kaynak: Wordfence
Yukarıdaki listede olmasalar bile eklentilerinizi ve temalarınızı mümkün olan en kısa sürede güncellemeniz önerilir. Düzeltmesi olmayan NatureMag Lite kullanıyorsanız, hemen kaldırmalısınız.
Siteniz zaten ele geçirildiyse eklentilerin güncellenmesinin tehdidi ortadan kaldırmayacağını unutmayın. Bu durumda, ayrıntılı temizleme kılavuzları birinci.
Genel olarak, WordPress sitenizdeki eklenti sayısını gerekli mutlak minimumda tutmaya çalışın, çünkü bu ilk etapta hedeflenme ve saldırıya uğrama şansını önemli ölçüde azaltır.
İzinsiz giriş vektörü belirlendikten ve acil sorunlar çözüldükten sonra sitenin temizliğini tamamlamak için lütfen saldırıya uğramış bir siteyi Wordfence ile temizleme kılavuzunu inceleyin. Ek arka kapı olmadığından emin olmak için sitenin tamamı taranmamış ve temizlenmezse, saldırganın siteye yeniden erişmesi mümkün olabilir.
Bu eklentilerden biri tarafından tehlikeye atılan bir sitenin temizlenmesinde yardım istiyorsanız, sitenizi tekrar çevrimiçi hale getirmenize yardımcı olmak için Profesyonel Site Temizleme hizmetlerimizi kullanmanızı öneririz.
Son
Bugünkü gönderimizde, saldırganların keyfi seçenek güncellemesini kullanarak savunmasız siteleri etkili bir şekilde ele geçirmelerini mümkün kılan çeşitli eklentileri ve temaları hedef alan aktif bir saldırı kampanyasını detaylandırdık. Tüm sitelerinizin eklentilerin ve temaların yamalı sürümlerine güncellenmesini sağlamanızı öneririz.
Ayrıca, site sahipleri arasında bu saldırı kampanyası ve buna karşı nasıl savunulacağı konusunda farkındalık yaratmak için bu gönderiyi WordPress topluluğunda paylaşmanızı öneririz.
Yeni bilgiler aldıkça bu gönderiyi güncelleyebiliriz.
Güvenlik duvarı güncellemesini alan ücretsiz kullanıcılardan bahsettiğiniz iki yerde hızlı bir güncelleme yapmak isteyebilirsiniz, çünkü her iki yerde de 2022 yerine 6 Ocak 2021 diyorsunuz (ücretsiz kullanıcılara kuralı daha erken vermek için zamanda geri gitmediğinizi varsayıyorum!)
2021’in gitmesine henüz hazır olmalıyız. 🙂 Gönderiyi güncelledim, bunu dikkatimize getirdiğiniz için teşekkürler!
Sitemizi her yayınladığımızda site içeriğimizi kopyalamak için “WordPress Otomatik eklentisi” kullanan birinden nasıl koruyabiliriz? Wordfence bizi böyle bir olaydan koruyor mu? Evet ise, nasıl?
Wordfence buna karşı doğrudan koruma sağlamaz, ancak sitenizin içeriğini aynı IP adresini kullanarak kopyalamaya devam eden kişi varsa, IP Engelleme özelliğini kullanarak bunları engelleyebilirsiniz. Ancak, birey bir VPN kullanarak IP adresini değiştirirse, bu kolayca atlanabilir. İhtiyacınız olanı sağlayabilecek birkaç eklenti olduğuna inanıyorum, bu yüzden sadece iyi bir WordPress anti-copy eklentilerini araştırmanızı öneririm. Teşekkürler!
Bu iki bağlantı şu anda gönderide aynıdır:
Pinterest Otomatik <= 4.14.3
WordPress Otomatik <= 3.53.2
Her ikisi de Pinterest otomatik sayfasına yönlendirin.
Merhaba Cooper,
Bunu belirttiğin için teşekkür ederim! Yazıyı WordPress Automatic için doğru bağlantıyı içerecek şekilde güncelledim.