06 Eylül 2009

WordPress Sitelerinizi Mutlaka Güncelleyin

WordPress Yorum Ekle

WordPress Sitelerinizi Mutlaka GüncelleyinWordPress.org forumunda yapılan duyuruya göre, WordPress'in önceki sürümlerinde bir açık kullanılarak bağlantı yapısına müdahale edilip, adres değiştirilebiliyor. Ayrıca saldırgan gizli bir yönetici hesabı da açabilmekte. En kısa zamanda sitenizi son sürüme yükseltmeniz güvenliğiniz açısından gerekli.
Yapılan açıklamayı okumak için burayı, konu ile ilgili çözüm önerisi için ise burayı inceleyiniz. Ayrıca konu ile ilgili forumdaki bir tartışmayı da buradan inceleyebilirsiniz.


Bu yazının kısa bağlantısı http://www.yakupgovler.com/?p=1062.

Yazılarımı RSS aboneliği ile takip edebilir, yeni yazılarıma kolaylıkla ulaşabilirsiniz. Bunun için ise RSS adresimi kullanabilirsiniz.


“WordPress Sitelerinizi Mutlaka Güncelleyin” yazısı için 11 Yorum

Bu yazıya yapılan yorumları dilerseniz, ( RSS 2.0 ) beslemesini kullanarak takibe alabilirsiniz.

  1. emre dedi ki:

    Hocam bu açık hakkında biraz daha bilgi verir misiniz? Merak ettiğim şey bu işin nasıl olduğudur. Yani bir koddan bahsedilmiş. O kodu ekliyorum ama bir şey çıkmıyor. O kodu ekleyince admin paneline mi yönlendiriyor anlamadım.
    Bir de admin klasörü şifreli ise ya da ismi dğeiştirildi ise bu açık ile site hacklenebilir mi?
    Teşekkürler..

  2. Yakup Gövler dedi ki:

    @emre, WordPress içerisinde ping almayı sağlayan xmlrpc.php isimli bir dosya bulunmakta. Bu dosyaya özel bir kod göndererek, dışarıdan bir php dosyası çağırılabilmekte hem de kullanıcı oluşturulabilmektedir. Eğer sizin için sizden alıntı yapanların gönderdiği pinglerin bir önemi yoksa, bu dosyayı silebilir, ya da adını değiştirebilirsiniz. Admin klasörünün şifreli olması ya da isminin değiştirilmesinin açığı kapatmayacağını düşünüyorum. Çünkü işlemi gerçekleştiren wordpress'in kendi fonksiyonları olduğundan işe yaramayacaklardır.
    Yazımda bahsettiğim tartışmada, index.php dosyasına da kod enjekte edildiği yazıyordu. Buradan bir tür iframe virüsünün önce sisteme bulaştığını, ardından da siteyi çağıran özel bir adres ile işlemlerin gerçekleştirildiğini düşünüyorum, tabi bu sadece bir tahmin.
    En uygun çözüm, sitenizi son sürüme yükseltmek, index.php dosyalarınızı kontrol etmek, gereksiz dosyalara yazma izni vermemek olacaktır.

  3. Hakan dedi ki:

    Hala dedemden kalma WordPress sürümünü kullanıyorum desem yeridir 😀 Benim gibi 10 sürüm arkadan gelin, sıkıntı yaşamayın 😀

  4. Yakup Gövler dedi ki:

    @Hakan, yeni sürümlerin nimetlerinden yararlanmak için yeni sürüme geçmek iyi olur ama şu üşengeçlik olmasa.

  5. hakan dedi ki:

    artık sıkıldım desem yalan olmaz. kaç sürümdür yeni admin ekleme ile ilgili açık çıkıyor. her sürümde yöntem değişse de açık aynı. kesin çözüm bulsalar iyi olur bence. bilgilendirme için teşekkürler...

  6. hakan dedi ki:

    hocam kusura bakma da bişeyi anlamadım. son sürüme geçin diyorsunda zaten bu açık 2.8.4 versiyonunda çıktı. bu açık çıktığından beri yeni sürüm yayınlanmamış 🙁 ben hala 2.8.3 deyim. admin klasörünü şifrelemiştim. o yüzden şimdiye kadar sorun yaşamadım. (daha önceki açıklar için)

    şimdi bu açık hangi sürümleri etkiliyor. fix için biraz tercüme edersen sevinirim.

  7. Yakup Gövler dedi ki:

    @hakan, problemin kaynağını esasen WP 2.7.1 ve önceki sürümler oluşturuyor. WP 2.8.4 sürümünde de bazı hack haberleri gelmiş olsa da duyuruda buna değinilmemiş.
    Buradaki ticket'te problemle ilgili bir yapılmış gibi gördüm. WP 2.8.5 sürümü için 10 tane ticket'in kapatıldığı görülüyor. Listenin en başında da permalinklerle ilgili eval fonksiyonu geliyor. Problemin ilk görüldüğü sürüm olarak da WP 2.7.1 gösteriliyor.
    Burada gecelik olarak yapılabilecek güncellemelerden bahsediliyor. Oradan, henüz yayınlanmamış en son sürümü indirip, sitenizi güncelleyebileceğiniz yazıyor. Yalnız o güncellemeleri yapmadan önce wp-includes/version.php dosyasını açıp, $wp_version = '2.8.4'; ifadesini $wp_version = '2.8.4-dev'; olarak değiştirmenizi istiyorlar.
    Sanırım yakın bir zamanda konu ile ilgili WordPress ekibi bir açıklama ve yama yayınlayacaktır. O zamana kadar xmlrpc.php dosyasını sitenizin root klasöründen silmenizi en azından adını değiştirmenizi tavsiye ediyorum.

  8. klipmekani dedi ki:

    Güncellemek güzel ancak.Bazen güncellenmiş wpler beta oluo ya da eklenti vb sürüm uyuşmazlığı oluyor bunlarada dikkat etmek gerek diye düşünüyorum.

  9. trksh dedi ki:

    Bu nedenle güncelleme yapmadan önce bir yedek almak en güzeli oluyor.

  10. film izle dedi ki:

    çok ciddi bir sorun ve bu açıktan faydalanıp sitesi gümbürtüye giden kişi sayısı hızla çoğalmakta bu uyarıyı dikkate alınız sayın wp severler.
    yakup hocamada ayrıca teşekkürler bilgilendirme için
    iyi bloglamalar.

  11. Yesil dedi ki:

    S.a Yakup Hocam. WordPress 2.8.4'de Açıklar olduğunu. Söylüyorlar Çok Sefer admin panellerimizin şifreleri Çalındı. Yardımcı Olurmusunuz Hack v.s. Admin Paneli Şifremide Çaldılar..