Wordfence tarafından test edilen Elementor ve Elemantor ile birlikte çalışan çoğu eklentide güvenlik açığına sahip olduğunu keşfettiler. Elementor daha öncesinde Şubat 2021’de böyle bir açığı daha kapatmıştı. Bu güvenlik açığı üçüncü taraflar yazılımcılar tarafından geliştirilen ve Elementor ile birlikte çalışan eklentileri etkiledi. Wordfence, WordPress’te oluşan açığı şu şekilde özetledi.
“Elementor sayfa oluşturucusuna ek öğeler ekleyen hemen hemen her eklentide aynı güvenlik açıklarını bulduk.”
WordPress sitelerde komut dosyası güvenlik açığı
WordPress sitelerde komut dosyası güvenlik açığı özellikle önemlidir çünkü bu açık sayesinde kötü amaçlı komut dosyaları web sitenize yüklenebilir ve burada çalışmaya devam edebilir. Ardından, bir kullanıcı web sitenizi ziyaret ettiğinde tarayıcı kötü amaçlı komut dosyasını çalıştıracaktır. Bu da zamanla web siteniz tarayıcı tarafından engellenmesine neden olacaktır. Ya da açık sayesinde ziyaret eden kişi WordPress paneline erişim sağladığında bilgileriniz, bilgisayar korsanı tarafından ele geçebilir.
Güvenlik açığından etkilenen 17 eklenti:
- Elementor için Temel Eklentiler
- Elementor – Üstbilgi, Altbilgi ve Bloklar Şablonu
- Elementor için Ultimate Eklentiler
- Elementor için Premium Eklentiler
- ElementsKit
- Elementor Eklenti Öğeleri
- Elementor için Livemesh Eklentileri
- HT Mega – Elementor Sayfa Oluşturucu için Mutlak Eklentiler
- WooLentor – WooCommerce Elementor Eklentileri + Builder
- Elementor için PowerPack Eklentileri
- Görüntü Üzerine Gelme Efektleri – Elementor Eklentisi
- Rife Elementor Uzantıları ve Şablonları
- Elementor Sayfa Oluşturucu Lite için Artı Eklentileri
- Elementor için Hepsi Bir Arada Eklentiler – WidgetKit
- Elementor için JetWidgets
- Elementor için Sina Uzantısı
- Elementor için DethemeKit
Üçüncü taraf bir Elemantor eklentisi kullanıyorsanız ne yapmalısınız?
Elemantor için üçüncü taraf bir uygulama kullanıyorsanız WordPress sitelerde komut dosyası güvenlik açığından sizde etkilenebilirsiniz. Özellikle sitenizin bilindik ve büyük bir siteyse bilgisayar korsanlarının ilgisini çekecektir. Öncelikle böyle bir durumla karışılaşmamak için üçüncü taraf Elemantor eklentilerini güncellediğinizden emin olun. Bu güvenlik açığı en azından bir ziyaretçi için kimlik bilgilerini ve çeşitli saldırılarla karşı karşıya gelmesine neden olabilir. Wordfence’ın bir diğer açıklamasına göre:
Bir saldırganın katılımcı ayrıcalıklarına sahip bir hesaba erişim elde etmesi, yönetici kimlik bilgilerini elde etmekten daha kolay olabilir ve bu tür bir güvenlik açığı, bir yönetici tarayıcı oturumunu gözden geçirirken JavaScript çalıştırarak ayrıcalık yükseltme gerçekleştirmek için kullanılabilir.”
Elemantor ve üçüncü taraf bir eklentiniz yakın zamanda güncelleme yayınlamadıysa, güvenlik açığı olup olmadığını öğrenmek için eklentinin yapımcısı ile iletişime geçmenizde siteniz ve ziyaretçilerinizin güvenliği açısından faydalı olacaktır.