Dünyaca ünlü web sitesi yazılımı WordPress için geliştirilen ve binlerce sitede kullanılan onlarca eklenti, içlerinde keşfedilen gizli arka kapılar nedeniyle artık kullanılamıyor. Bu arka kapılar aracılığıyla, eklentilere güvenen tüm web sitelerine kötü amaçlı kod bulaştırıldığı ortaya çıktı.
EK EKLENTİLERİYLE GELEN TEHLİKE
Korkutucu gelişme, eklentilerin yeni bir şirket tarafından satın alınmasının ardından fark edildi. Anchor Hosting kurucusu Austin Ginder, geçtiğimiz hafta yayınladığı bir blog yazısında, WordPress eklentisi üreten Essential Plugin adlı şirkete yönelik bir tedarik zinciri saldırısını detaylandırdı. Ginder'a göre, geçen yıl Essential Plugin'i satın alan kişi, kısa süre sonra eklentilerin kaynak koduna bir arka kapı ekledi. Bu arka kapı, bu ayın başlarına kadar sessiz kaldıktan sonra aktif hale gelerek, eklentileri kurulu olan tüm web sitelerine zararlı kod yaymaya başladı.
GÜVENLİK UYARILARI VE ÖNERİLER
Essential Plugin'in web sitesinde yer alan bilgilere göre, eklentileri 400.000'den fazla kez kurulmuş ve 15.000'den fazla müşterisi bulunuyor. WordPress'in eklenti yükleme sayfasında ise etkilenen eklentilerin 20.000'den fazla aktif WordPress kurulumunda yer aldığı belirtiliyor. Eklentiler, WordPress tabanlı web sitelerinin işlevselliğini artırmak için kullanılırken, aynı zamanda bu eklentilere site kurulumlarına erişim izni veriliyor. Bu durum, web sitelerini kötü amaçlı genişletmelere ve potansiyel güvenlik açıklarına karşı savunmasız bırakabiliyor. Ginder, WordPress kullanıcılarının eklentilerin sahiplik değişikliğinden haberdar edilmediğini vurgulayarak, kullanıcıları yeni sahipler tarafından olası devralma saldırılarına karşı uyardı. Güvenlik araştırmacıları uzun süredir, kötü niyetli aktörlerin yazılımları satın alıp kodlarını değiştirerek dünya çapında çok sayıda bilgisayarı tehlikeye atmasının riskleri konusunda uyarıda bulunuyor. Etkilenen eklentiler WordPress dizininden kaldırılmış ve "kalıcı" olarak kapatıldığı belirtilmiş olsa da, Ginder, WordPress sahiplerinin hala zararlı eklentilerden birine sahip olup olmadıklarını kontrol etmeleri ve kaldırmaları gerektiğini belirtti.
