Easy WP STMP eklentisi yönetici şifrelerini sıfırlamak için kullanıldı! Geçen hafta, 500.000’den fazla siteye yüklenen WordPress için popüler Easy WP SMTP eklentisinde ciddi bir yönetici şifresi sıfırlama güvenlik açığı tespit edildi. Bu eklenti, site sahiplerinin sitelerinden giden e-postalar için SMTP ayarlarını yapılandırmalarına olanak tanır.
Ninja Teknolojileri Ağı, daha sonra Easy WP SMTP sürümü 1.4.2 ve araştırmacıların daha sonra yükleme klasörüne kaydedilir. Bir site tarafından gönderilen tüm e-postalara, için hata ayıklama günlükleri üreten bir özellik içerir. Uzmanlar, “Eklenti klasöründe index.html dosyası yok. Bu nedenle, dizin listesinin bulunduğu sunucularda bilgisayar korsanları bu günlüğü bulabilir ve görüntüleyebilir” diye açıklıyor.
Easy WP STMP eklentisi yönetici şifrelerini sıfırlamak için kullanıldı!
Uzmanlar, otomatik saldırıların eklentinin savunmasız sürümlerine sahip sitelere yaklaşık iki hafta boyunca yönlendirildiği konusunda uyarıyorlar. Bunun amacı, yönetici hesabını tanımlamak ve ardından bunun için bir şifre sıfırlama başlatmaktır.
Gerçek şu ki, yönetici şifresini sıfırlamak için, özel bir bağlantı içeren bir e-posta göndermeniz gerekiyor ve bu mektup aynı zamanda Easy WP SMTP günlüklerinde de sona eriyor. Temel olarak, bir saldırganın yapması gereken tek şey hata ayıklama günlüğüne erişmek, oradaki şifre sıfırlama bağlantısını bulmak ve site yöneticisi hesabını ele geçirmektir.
Yukarıda belirtildiği gibi, eklenti geliştiricileri bu güvenlik açığını çoktan giderdi. Yama, Easy WP SMTP sürüm 1.4.4’e dahildir.
İlgili Haber: WordPress Sitenizi Daha Güvenli Tutmanız için Gerekenler
