Breakdance 1.7.1 Artık Kullanılabilir – Güvenlik Güncellemesi
Breakdance 1.7.1, WordFence tarafından bize bildirilen ve güvenlik araştırmacısı Francesco Carlucci tarafından kendilerine açıklanan bir güvenlik açığını gideren bir güvenlik güncellemesidir .
Ele aldığımız sorun, Kimliği Doğrulanmış (Katkıda Bulunan+) Depolanmış Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı olarak sınıflandırılıyor. Daha basit bir ifadeyle bu, gönderi oluşturma ve düzenleme izni verdiğiniz kişilerin bu gönderilere HTML veya JS kodu koyabileceği ve bu HTML veya JS kodunun sitenizin ön yüzünde yayınlanacağı anlamına gelir.
Bilgilendirildikten sonra ideal bir çözüm bulmak için hemen WordFence ekibiyle çalışmaya başladık. Amaç, Breakdance'in beklenen işlevselliğini korurken bu güvenlik açığından etkilenebilecek kullanıcılar için ekstra bir güvenlik katmanı eklemekti.
WordFence ekibi harika bir çözüm önerdi; biz de bu çözümü inceledik, onayladık ve işe yarayacağından emin olduktan sonra hemen uyguladık. Uygulamamızı gönderdik ve değişikliklerin bildirilen güvenlik açığını ortadan kaldırdığını hemen doğruladılar.
Etkilenip Etkilenmediğinizi Nasıl Anlayabilirsiniz?
Etkilenmeniz için iki şey yapmış olmanız gerekir:
1. Yönetici olmayan kişilerin gönderiler veya özel alanlar oluşturmasına veya düzenlemesine izin verirsiniz
2. Daha sonra Breakdance'in dinamik veri yeteneklerini kullanarak bu verileri sitenizin ön ucuna yerleştirirsiniz
. her iki durumda da yönetici olmayan biri sitenizin ön ucuna HTML veya JavaScript ekleyebilir; bu bir güvenlik açığıdır ve buna izin verilmemelidir.
Bunların ikisini de yapmadıysanız etkilenmezsiniz. Gönderileri ve özel alan verilerini oluşturma veya düzenleme olanağı yalnızca yöneticilerin elindeyse veya sitenizin ön ucunda Breakdance'in dinamik veri özelliklerini kullanmıyorsanız bu sorun sizi etkilemez.
Bizim Çözümümüz
Breakdance 1.7.1'de, filtrelenmemiş_html özelliği olmayan kullanıcılardan gelen tüm dinamik veriler, sitenizde görüntülenmeden önce varsayılan olarak filtrelenecektir.
Daha fazla kontrole ihtiyaç duyanlar için Breakdance'in Gelişmiş sekmesi altındaki ayarlarında bu filtreyi atlama seçeneğini ekledik. Bu, ihtiyacınız olan işlevselliği korumanıza olanak tanır.
Diğer Notlar
Bu özel konu, yazılım satıcıları ile güvenlik araştırmacıları arasındaki işbirliğinin nasıl ele alınması gerektiğine dair harika bir örnektir. WordFence (ve Francesco), bazı kullanıcılar için etkili olabilecek gerçek ve geçerli bir güvenlik açığını ortaya çıkardı. Çözüm bulmak için onlarla birlikte çalıştık ve çözümü uyguladık.
Daha fazla güvenlik araştırmacısının ve güvenlik sağlayıcısının, WordPress güvenlik alanında nasıl gerçek, ölçülebilir bir fark yaratılacağına dair harika örnekler olarak WordFence gibi ekiplere ve Francesco gibi kişilere bakmasını umuyoruz.
Bu konuya dikkatimizi çektiği için Francesco Carlucci'ye çok teşekkür ederiz. Web güvenliğine yönelik proaktif yaklaşımları, tam olarak internetin herkes için daha güvenli bir yer kalmasına yardımcı olan şeydir. Minnettarlığımızın bir göstergesi olarak Francesco'yu bu sorumlu açıklama nedeniyle 500$ ile ödüllendirdik.
