WordPress Notları

WordPress Haberleri,İpuçları,Eklentileri,Temaları ve dahası

  • Haberler
  • İpuçları
  • Nasıl Yapılır
  • Eklentiler
  • Temalar
  • Multisite
  • Güvenlik

26 Aralık 2012 tarihinde Mustafa Uysal yazdı Yorum yapın

W3 Total Cache Güvenlik Açığı

W3 Total Cache critical Vulnerability

WordPress için en çok kullanılan cache eklentilerinden birisi şüphesiz ki w3 total cache eklentisi.  Eklentinin çok kullanılması neticesinde önemli gördüğüm bu güvenlik zaafiyeti hakkında bilgilendirmek istedim.

Öncelikle bu eklenti varsayılan olarak /wp-content/w3tc/dbcache/ dizinini cache için kullanıyor. Normalde pek çok hosting hizmeti alan kişilerde dizin listeleme özelliği açık olduğundan siteadresi.com/wp-content/w3tc/dbcache adresine giden birisi, sitenizin verilerini indirebilir. Veritabanında  da önbellekleme yaptığını göz önüne alırsak güvenlik riskinin daha da artığını görebilirsiniz.

Açık Doğrulandı

Şu adresteki elemanları anlattığı üzere, dizin listeleme kapalı olsabile remote olarak bir şekilde cache dizininize erişebilen birisi (user_pass) şeklinde bir arama yaparak şifrenizin hash’ına ulaşaibiliyor.

a:6:{s:10:”last_error”;s:0:””;s:10:”last_query”;s:41:”SELECT * FROM wp_users WHERE ID = ’15′”;s:11:”last_result”;a:1:{i:0;O:8:”stdClass”:10:{s:2:”ID”;s:2:”15″;s:10:”user_login”;s:21:”Guest Blogger”;s:9:”user_pass”;s:34:”$P$BPtuFcIxFXXXX3MJbBBN4dxJ1″;s:13:”user_nicename”;

Durumun ne kadar vahim olduğunu anlamak için google’a “wp-content/w3tc/dbcache/ şeklinde bi arama yaparak karşınıza gelen sitelerdeki dizinlerde rahatça gezebildiğinizi ve işin kötüsü cahce dosyalarını indirebildiğinizi görebilirsiniz.

Tavsiye edilen önlemler

  • Cache dizininin chmod ayarını değiştirebilirsiniz.
  • Eğer web server olarak apache kullanıyorsanız .htaccess dosyası oluşturup “deny from all” ekleyerek dizin listelemeyi kapatabilirsiniz.
  • Farklı bir webserver türü kullanıyorsanızda mutlaka dizin listelemeyi kapatma özelliği vardır. Dizinlere erişimleri kapattığınızdan emin olun.

 

Ayrıca bkz:

http://blog.sucuri.net/2012/12/w3-total-cache-implementation-vulnerability.html

http://seclists.org/fulldisclosure/2012/Dec/242

Bunu paylaş:

  • Tweet
  • Daha fazla
  • Tumblr' da Paylaş
  • E-posta

İlgili

Kategori:Güvenlik Etiketler: cache eklentisi açığı, W3 Total Cache Güvenlik Açığı, w3tc, w3tc güvenlik, wordpress eklenti güvenliği, wordpress güvenlik

Hakkımda Mustafa Uysal

WPNotları'nın kurucu editörü. WordPress üzerine yazar, çizer arada katkı yapar.

Bir cevap yazın Cevabı iptal et

Lütfen gerçek bilgilerinizi kullanın. Herhangi bir site adı ile yazılan yorumlar onaylanmayacaktır!

Popüler Yazılar & Sayfalar

  • WordPress Multisite Kurulumu
    WordPress Multisite Kurulumu
  • WordPress REST API Özelliğini Kapatmak
    WordPress REST API Özelliğini Kapatmak
  • WordPress Site Trafiğini Gösterin
    WordPress Site Trafiğini Gösterin
  • WordPress Temalara Menü Desteği
    WordPress Temalara Menü Desteği
  • Kolayca WordPress Admin Menü Gizlemek
    Kolayca WordPress Admin Menü Gizlemek

Bloga e-posta ile abone ol

Bu bloga abone olmak ve e-posta ile bildirimler almak için e-posta adresinizi girin.

Blogroll

  • HandyPlugins
  • Powered Cache
  • WPHandle
  • Hakkımızda
  • İletişmeyin!
  • Bülten Gönder
  • Site Haritası
  • Gizlilik Politikası

© 2023 - WPNotlari

Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. TamamGizlilik politikası