WordPress 2.8.3 güvenlik açığı

WordPresste sık sık yapılan güncellemeler hala webmasterları şaşırtırken bu güncellemelerin güvenlik açısından yapıldığınıda sık sık kendi web sayfalarında yayınlıyorlar. Son zamanlarda wordpress web sahipleri sitelerinin hacklenmesinden yana pek bir sıkıntıdalar. WordPress iframe virüsü, wordpress güvenlik açığı, wordpress  bloğum hacklendi şeklindeki makalelerde sıklıkla webmaster sitelerinde ve wordpress türkçe destek sitelerinde görülmektedir.  En son olarak kullanılan 2.8.3 versiyonundaki güvenlik açığı milworm da yayınlanmıştır. Bunun üzerine wordpress geliştiricileri güvenlik güncellemesi adı altında 2.8.4 versiyonunu piyasaya sürmüştür. Güncellemelerden sıkılan arkadaşlar 2.8.3 sürümündeki bu açıktan mutlaka kurtulmalıdırlar.Açığın sebebi çok basit yönetici kullanıcı adına bir şifre sıfırlama iletisi gönderiliyor ve gerisini siz tahmin edin.  Kafanıza takılan soru şudur kesinlikle e-posta adresindeki linkten teyid etmeden nasıl şifreyi ele geçirebiliyorlar? Bununda cevabı aslında çok basit ve mantıklı. WordPress geliştiricileri bence bu açığı gözlerinden kaçırmakla çok büyük bir zaaf elde ettiler ve bilgisayar korsanlarının işinide oldukça kolaylaştırdılar. Wp-.login.php dosyasının içerisinde bazı kodlar by-pass edilerek devre dışı bırakılabiliyor. Bunun sonucunda e-mail ile link teyidinede gerek kalmıyor.

Bu açığın kapatılması aşağıda verilen örnekte olduğu gibidir.

WordPress bluğunuzun wp-login.php dosyasını açın

if ( empty( $key ) ) olarak belirtilmiş tüm satırları

if ( empty( $key ) || is_array( $key ) ) olarak deÄŸiÅŸtirin ve kaydedin.

artık bu açıktan kurtulmuş bulunmaktasınız.

WordPress güncellemelerini dikkatle takip etmenizi öneriyoruz. 2.8.4 versiyonuna mutlaka kısa zamanda güncelleme yapmalısınız.

WordPress 2.8.4 Türkçe Download