Güncelleme öncesi yetkisiz kullanıcılar diledikleri gönderinin ve sayfaların içeriğini değiştirebildikleri belirtildi.
WordPress tüm dünyada milyonlarca sitenin altyapısını oluşturan bir içerik yönetim sistemi. Geliştiricileri geçtiğimiz hafta bir güncelleme yayınladılar ancak kasıtlı olarak çok önemli bir güvenlik açığının kapatıldığını notlarda belirtmediler.
26 Ocak tarihinde yayınlanan WordPress sürüm 4.7.2, güvenlik güncelleştirmesi olarak yayımlandı, ancak sürüm notlarında platformun çekirdek kodunu etkilemeyen üç küçük risk açığı düzeltildiği belirtilmişti.
Bu hafta Çarşamba günü, WordPress güvenlik ekibi, 4.7.2 sürümünde dördüncü bir güvenlik açığının da giderildiğini duyurdu.
Bu güvenlik açığı, web güvenliği şirketi Sucuri’den araştırmacılar tarafından keşfedilmişti ve 20 Ocak’ta WordPress ekibine özel olarak bildirilmişti. Bu açık sayesinde platformun REST API’si (uygulama programlama arabirimi) ile kimliği doğrulanmamış saldırganlar herhangi bir gönderi veya sayfanın içeriğini değiştirebiliyordu.
WordPress’in çekirdek geliştiricisi Aaron Campbell, Çarşamba günü yayınladığı bir blog yazısında “Şeffaflığın halkın yararına olduğu görüşündeyiz” dedi ve şöyle devam etti “Güvenlik meselelerinin açıklanması temel politikamızdır. Ancak son durumda, milyonlarca WordPress sitesinin güvenliğini sağlamak için kasıtlı olarak bu sorunun duyurulmasını bir hafta boyunca erteledik.”
Bu güvenlik açığı sadece WordPress 4.7 ve 4.7.1’i etkiliyor. Eski sürümler etkilemiyor.
Bu iyi bir haber olmasına rağmen, saldırganların bu güvenlik açığından yararlanmaya başlamayacağı anlamına gelmez, çünkü güncellemede gerçekleşen değişiklikler biliniyor. Saldırganlar açığı bularak güncellenmemiş sitelerde kullanmaya başlayabilirler.
Eğer WordPress kullanıyorsanız ve henüz bunu gerçekleştirmediyseniz, WordPress sitenizi sürüm 4.7.2’ye mümkün olan en kısa sürede güncellediğinizden emin olmalısınız.