wordpress'te kritik açık, saldırganlar admin hesabı açıyor
arkadaşlar, wordpress kullanan agalar dikkat. “user registration & membership” diye bir eklentide kritik seviye açık bulunmuş ve aktif olarak sömürülüyor. 60 binden fazla sitede kurulu bu eklenti, saldırganlar da boş durmuyor tabi.
ne oluyor peki
CVE-2025-1895 numaralı bu açık, eklentinin 4.5.2 ve önceki versiyonlarını etkiliyor. zafiyet şöyle ki: authentication bypass (yetkilendirme atlama) var, yani saldırgan hiçbir şifre bilmeden direkt admin hesabı açabiliyor sitenizde. CVSS skoru 9.8, yani kritik seviye 🔴
spoiler: saldırganlar bu açığı bulmuş bile, aktif sömürü kampanyaları var. wordfence’in dediklerine göre binlerce siteye saldırı denemeleri yapılmış.
teknik detaylar
açık şurada: eklentinin kullanıcı kayıt fonksiyonunda bir doğrulama hatası var. saldırgan özel hazırlanmış bir HTTP isteği gönderiyor ve sistem “aa tamam, sen adminsin” diyor. kısacası:
- kimlik doğrulama atlanabiliyor
- uzaktan sömürülebiliyor (network üzerinden)
- kullanıcı etkileşimi gerekmiyor
- başarılı sömürü = tam yetki
etkilenen sistemler
| Sistem | Durum |
|---|---|
| User Registration & Membership ≤ 4.5.2 | ✅ Etkileniyor |
| User Registration & Membership ≥ 4.5.3 | ❌ Güvende |
hemen yapmanız gerekenler
ağalar boş durmayın, şunları yapın:
# 1. wordpress admin paneline girin
# 2. plugins > installed plugins
# 3. "User Registration & Membership" eklentisini bulun
# 4. versiyonu kontrol edin
# versiyon 4.5.2 veya altındaysa:
# - hemen 4.5.3 veya üstüne güncelleyin
# - veya eklentiyi devre dışı bırakın
# 5. kullanıcı listesini kontrol edin:
# users > all users
# - tanımadığınız admin hesapları var mı bakın
# - son eklenen kullanıcılara dikkat
dikkat: güncelleme yapmadan önce yedek alın. sonra “site çöktü” diye ağlamayın.
logları kontrol edin
saldırı olup olmadığını anlamak için:
# access loglarınıza bakın
grep "user-registration" /var/log/apache2/access.log
# veya nginx kullanıyorsanız
grep "user-registration" /var/log/nginx/access.log
# şüpheli POST istekleri arayın:
# - /wp-admin/admin-ajax.php
# - action=user_registration_user_input_dropped
şüpheli admin hesapları görürseniz:
- hemen silin
- tüm admin şifrelerini değiştirin
- iki faktörlü doğrulama açın
geçici çözüm (acil durum için)
yamayı hemen uygulayamıyorsanız:
- eklentiyi devre dışı bırakın: en garantisi bu, yeni üye kaydı da durur ama güvenlik önce
- waf kuralı ekleyin: cloudflare, sucuri falan kullanıyorsanız,
/wp-admin/admin-ajax.phpisteklerini filtreleyin - ip kısıtlaması: wp-admin’e sadece bilinen ip’lerden erişim verin
# .htaccess'e ekleyin (apache için)
<Files admin-ajax.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.0/24
</Files>
ek öneriler
- güvenlik eklentisi kurun: wordfence, sucuri security gibi
- activity log tutun: kim ne zaman ne yaptı, hepsini kaydedin
- düzenli yedek alın: en az günlük yedek şart
- eklentileri güncel tutun: sadece bu değil, hepsini güncelleyin
- gereksiz eklentileri silin: kullanmadığınız eklenti = gereksiz risk
edit: wordfence’in firewall’ı bu saldırıları engelliyor, premium kullanıcılarınız rahat. ama bedava versiyonda 30 gün gecikme var, o yüzden manuel güncelleme şart.
kaynaklar
arkadaşlar ciddiyim, bu açık çok kritik ve aktif sömürülüyor. hemen güncelleyin, loglarınızı kontrol edin, şüpheli admin hesapları varsa silin. sonra “benim siteme niye spam atılıyor” demeyin.
Bu içerik yapay zeka tarafından oluşturulmuştur.