WordPress’in popüler güvenlik eklentisi olan Really Simple Security (eski adıyla Really Simple SSL), milyonlarca siteyi etkileyen ciddi bir güvenlik açığı nedeniyle gündemde. Bu eklenti, şifre koruması, iki faktörlü doğrulama (2FA) ve gerçek zamanlı güvenlik kontrolleri gibi özellikler sunuyor. Ancak bu özelliklerden biri, hacker’ların sitelere kolayca yönetici (admin) yetkisiyle erişmesine izin veren bir açık oluşturuyor.
Sorun Neden Kaynaklanıyor?
Bu açık, eklentinin 2FA özelliğiyle ilgili bir hata nedeniyle oluşuyor. Kullanıcı kimlik doğrulamasında login_nonce adı verilen bir güvenlik parametresi düzgün çalışmıyor. Bu sayede saldırganlar yalnızca kullanıcı kimliğiyle (user_id) giriş yapabiliyor.
WordPress güvenlik şirketi Wordfence, bu açığı CVE-2024-10924 koduyla duyurdu ve bunun 12 yıllık tarihlerindeki en tehlikeli açık olduğunu belirtti.
Güvenlik açığı, eklentinin REST API üzerinden kullanıcı kimlik doğrulamasını yanlış işlemesinden kaynaklanıyor. Özellikle check_login_and_get_user() fonksiyonu, login_nonce parametresinin geçersiz olduğu durumlarda işlemi durdurması gerekirken, yanlışlıkla authenticate_and_redirect() fonksiyonunu çağırıyor. Bu, yalnızca user_id bilgisine dayanarak kimlik doğrulama yapılmasına yol açıyor. Bu durum yetkisiz erişim mümkün hale geliyor.
Kimler Risk Altında?
Bu güvenlik açığı, eklentinin 9.0.0 ile 9.1.1.1 arasındaki tüm sürümlerini etkiliyor. Ücretsiz sürümün dünya çapında 4 milyondan fazla site tarafından kullanıldığı düşünüldüğünde, riskin ne kadar büyük olduğu ortaya çıkıyor.
Hangi Önlemleri Almalısınız?
Eğer bu eklentiyi kullanıyorsanız, sitenizi korumak için şu adımları uygulamanız gerekir;
1. Eklentiyi Güncelleyin
Eklentinizin sürümünü kontrol edin. Sürümü hemen 9.1.2 sürümüne yükseltin. Güncelleme yapmazsanız siteniz hacker’lara açık hale gelebilir.
2. 2FA Özelliğini Kontrol Edin
Eğer iki faktörlü doğrulamayı kullanıyorsanız, yapılandırmanızı gözden geçirin. Güvenlik önlemlerini artırın.
3. Hosting Sağlayıcınıza Danışın
Barındırma hizmeti aldığınız firmadan, sitenizin güvenlik taraması yapmasını isteyin.
Bu güvenlik açığı nedeniyle siteniz ele geçirilirse, kötü niyetli kişiler içeriklerinizi silebilir, verilerinizi çalabilir ya da sitenizi zararlı yazılımlar için kullanabilir. WordPress sitesi sahiplerinin bu açığa karşı dikkatli olması, sitelerini güncel tutması ve güvenlik önlemlerini artırması oldukça önemlidir.