Bu sayfa şu anda yapım aşamasındadır. Bunu geliştirmek için çalışıyoruz!
Resmi WordPress deposundaki 47 binden fazla eklenti ve diğer çeşitli pazarlarda ve sitelerde mevcut olan binlerce eklentiyle, iyi çalışan eklentileri bulmak göz korkutucu bir iştir. Güvenli ve sitenizi tehlikeye atmayacak WordPress eklentilerini bulmak, WordPress güvenliğinin karmaşık yapısı ve genellikle binlerce satır kod içeren devasa eklentiler nedeniyle daha da zor bir iştir.
Her kötü eklentiden kaçınmanıza yardımcı olamasak da, bilinen, onaylanmış güvenlik açıklarını ve güvenlik sorunlarını tespit edebiliriz. Ne yaptığınızı bilmiyorsanız, yerel kurulumda bir şeyi test etmiyorsanız veya WordPress güvenliğiyle ilgili değilseniz, aşağıda listelenen tehlikeli eklentileri üretim sitelerinde kullanmamalısınız. Aşağıdaki tabloda açıklanan sorunlar iyi bilinmekte ve belgelenmektedir; bu da kötü niyetli herkesin bu güvenlik açıklarından yararlanarak sitenize saldırmasını kolaylaştırmaktadır.
Bu sayfada eklentileri listeleyerek, onlara veya yazarlarına saygısızlık etmeyi kastetmiyoruz! Kullanıcıları yalnızca bilinen güvenlik sorunları olan belirli sürümleri yüklememeleri konusunda uyarmak istiyoruz. Eklentinizin hata nedeniyle listelendiğini düşünüyorsanız veya güncelleme konusunda yardıma ihtiyacınız varsa lütfen bizimle iletişime geçin.
Bu sayfa ve savunmasız eklentilerin listesi nasıl kullanılır?
Listelenen eklentilerden herhangi birini kullanıyorsanız sürüm numarasını bir kez daha kontrol edin ve bilinen sorunlara sahip olanın bu olduğunu doğrulayın. Eğer öyleyse – eklentiyi hemen kaldırın! Bu, onu devre dışı bırakmayı ve silmeyi içerir. Sadece devre dışı bırakmak değil. Ayrıca yazarla iletişime geçerek sorunların çözülüp çözülmediğini sorabilir ve çözülmediyse onu bunu yapmaya teşvik edebilirsiniz.
Güvenlik açığı türleri
WordPress eklentilerinin karşılaştığı en yaygın güvenlik açıkları ve sorunları hakkında kısa bir hatırlatma. Çoğu sorunun aşağıda listelenen iki veya daha fazla türün birleşiminden oluştuğunu lütfen unutmayın.
Keyfi dosya görüntüleme
Yalnızca belirli dosya kaynaklarının (örneğin eklenti şablonlarının) görüntülenmesine izin vermek yerine, koddaki denetimlerin eksikliği, saldırganın, wp-config.php gibi hassas bilgilere sahip olanlar da dahil olmak üzere herhangi bir dosyanın kaynağını görüntülemesine olanak tanır.
keyfi dosya yükleme
Dosya türü ve içerik filtreleme eksikliği, çalıştırıldığında sitede hemen hemen her şeyi yapabilen yürütülebilir kod içerebilen rastgele dosyaların yüklenmesine olanak tanır
Ayrıcalık yükseltme
Saldırganın sitede bir hesabı olduğunda, bu hesap yalnızca abone türünde olsa bile, ayrıcalıklarını idari olanlar da dahil olmak üzere daha yüksek bir seviyeye yükseltebilir.
SQL enjeksiyonu
SQL sorgularına giren verilerden kaçılmaması ve filtrelenmemesi sayesinde, sorgulara kötü amaçlı kodlar enjekte edilebilir ve veriler silinebilir, güncellenebilir veya veritabanına eklenebilir. Bu en yaygın güvenlik açıklarından biridir.
Uzaktan kod yürütme (RCE)
Saldırgan, kötü amaçlı kodu yükleyip çalıştırmak yerine, onu uzak bir konumdan çalıştırabilir. Kod, sitenin ele geçirilmesinden tamamen silinmesine kadar her şeyi yapabilir.
Saldırıya uğramış, tehlikeli ve savunmasız WordPress eklentilerinin listesi
WordPress siteniz saldırıya mı uğradı?
Umutsuzluğa kapılmayın; bu en iyilerimizin bile başına gelir. Sitenize göz atmadan genel tavsiyelerde bulunmak zordur, ancak yine de WP yöneticinize giriş yapabiliyorsanız, WP yöneticinizi yüklemenizi öneririz. ücretsiz Güvenlik Ninja eklentisi. Sitenizde +40 test gerçekleştirir ve Core eklentisi ile çekirdek dosyalarınızın bütünlüğünü, bunları WordPress.org'da depolanan güvenli, ana kopyalarla karşılaştırarak doğrulayabilirsiniz. Herhangi bir WordPress sitesi için paha biçilmez bir araçtır!
kaynaklar
En yeni tehlikeli ve savunmasız WordPress eklentilerinin listesi aşağıdakiler de dahil olmak üzere çeşitli kaynaklardan derlenmiştir:
