2025’in Yılında Hackerların En Çok Hedef Aldığı 4 WordPress Açığı

ÇözümPark Haber 28/03/2025

0 1 dakika okuma süresi

Patchstack’in yeni raporu, 2025’in ilk çeyreğinde hackerların en çok istismar ettiği WordPress eklenti açıklarını ortaya koydu. 2024’te keşfedilen ve düzeltilen bu dört kritik açık, hâlâ güncellenmemiş birçok WordPress sitesini tehdit ediyor.

WordPress Sitelerini Tehdit Eden 4 Kritik Açık

2025’in ilk üç ayında hackerlar tarafından en çok hedeflenen WordPress açıkları şunlar oldu:

1. WordPress Automatic Plugin’de SQL Enjeksiyonu (CVE-2024-27956)

40.000’den fazla kuruluma sahip WordPress Automatic eklentisindeki bu kritik açık, yetkisiz kullanıcıların CSV dışa aktarma özelliğinde SQL komutları çalıştırmasına izin veriyor. Patchstack bu yıl şimdiye kadar 6.500’den fazla saldırıyı engelledi. Güncelleme: 3.92.1 sürümüyle düzeltildi.

2. Startklar Elementor Addons’ta Dosya Yükleme Açığı (CVE-2024-4345)

5.000’den fazla kurulumu bulunan eklenti, dosya türü doğrulaması yapılmadığı için yetkisiz dosya yüklemeye açık hale geliyordu. Patchstack binlerce saldırı girişimini engelledi. Güncelleme: 1.7.14 sürümüyle düzeltildi.

3. Bricks Temasında Uzaktan Kod Çalıştırma (CVE-2024-25600)

30.000’den fazla kuruluma sahip Bricks temasındaki bu açık, yetkisiz kullanıcıların PHP kodu çalıştırmasına olanak tanıyordu. Patchstack ve Wordfence Şubat 2024’te aktif istismarı tespit etmişti. Güncelleme: 1.9.6.1 sürümüyle düzeltildi.

4. GiveWP’de PHP Nesne Enjeksiyonu (CVE-2024-8353)

100.000’den fazla kurulumu olan GiveWP eklentisindeki bu açık, bağış parametreleri aracılığıyla site ele geçirmeye olanak tanıyordu. Patchstack yüzlerce saldırı girişimini engelledi. Güncelleme: 3.16.2 sürümüyle düzeltildi.