wordpress'te burst statistics eklentisinde kritik açık, aktif sömürülüyor
arkadaşlar, wordpress kullananlar dikkat. burst statistics diye bir eklentide kritik seviye bir kimlik doğrulama bypass açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak sitelere admin yetkisiyle giriyorlar.
ne oluyor yani?
burst statistics, wordpress sitelerinde ziyaretçi istatistiklerini takip eden popüler bir eklenti. şu anda 100 binden fazla aktif kurulumu var. eklentide bulunan CVE-2025-2781 zafiyeti sayesinde saldırganlar kimlik doğrulamayı atlayıp direkt admin paneline ulaşabiliyorlar.
spoiler: bu açık vahşi ortamda aktif olarak kullanılıyor, yani teorik değil, gerçekten saldırılar var.
teknik detaylar
CVE-2025-2781 açığı, eklentinin kimlik doğrulama mekanizmasındaki bir hatadan kaynaklanıyor. saldırganlar özel hazırlanmış istekler göndererek authentication bypass yapabiliyor - yani “merhaba ben adminim” demeden admin oluveriyorlar.
CVSS Skoru: 9.8/10 (kritik seviye 🔴) Zafiyet Türü: Authentication Bypass Saldırı Vektörü: Network (uzaktan, kimlik doğrulama gerektirmiyor)
kısacası saldırgan için ideal senaryo: uzaktan, kimlik doğrulamaya gerek yok, karmaşık bir işlem de yok. gir, admin ol, istediğini yap.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Burst Statistics < 1.5.5 | 🔴 Kritik etkileniyor |
| Burst Statistics 1.5.5+ | ✅ Güvenli |
| WordPress core | ❌ Etkilenmiyor |
hemen yapmanız gerekenler
agalar, şakası yok bunun. aktif sömürü var, hemen aksiyona geçin:
1. eklenti versiyonunuzu kontrol edin
wordpress admin panelinden:
- Eklentiler → Yüklü Eklentiler
- Burst Statistics’i bulun
- Versiyon 1.5.5’ten küçükse acil güncelleyin
2. güncellemeyi yapın
# wordpress cli kullanıyorsanız:
wp plugin update burst-statistics
# veya admin panelden:
# Eklentiler → Güncellemeler → Burst Statistics'i seçip güncelle
3. logları kontrol edin
saldırı olup olmadığını anlamak için:
# wordpress access loglarında şüpheli admin girişleri arayın
grep -i "wp-admin" /var/log/nginx/access.log | grep -i "burst"
# veya apache için:
grep -i "wp-admin" /var/log/apache2/access.log | grep -i "burst"
şüpheli aktivite görürseniz:
- Admin parolalarını değiştirin
- Tüm kullanıcıları gözden geçirin (yeni eklenen admin var mı?)
- Dosya bütünlüğünü kontrol edin
4. güvenlik taraması yapın
# wordfence veya sucuri gibi güvenlik eklentileriyle tam tarama
wp plugin install wordfence --activate
wp wordfence scan
geçici çözümler
yamanın hemen uygulanamadığı durumlar için:
1. eklentiyi devre dışı bırakın
istatistiklere bir süre ihtiyacınız yoksa:
wp plugin deactivate burst-statistics
2. waf kuralı ekleyin
cloudflare, modsecurity veya benzeri kullanıyorsanız burst statistics’e gelen şüpheli istekleri engelleyin:
# modsecurity için örnek kural
SecRule REQUEST_URI "@contains /wp-content/plugins/burst-statistics/" \
"id:1001,phase:2,deny,status:403,msg:'Burst Statistics blocked'"
3. ip bazlı kısıtlama
sadece bilinen ip’lerden admin paneline erişim:
# nginx için
location ~* /wp-admin {
allow 1.2.3.4; # sizin ip'niz
deny all;
}
saldırı senaryosu
saldırganlar şu adımları izliyor:
- internette burst statistics kullanan siteleri tarıyorlar (shodan, censys vb.)
- özel hazırlanmış istek göndererek kimlik doğrulamayı atlıyorlar
- admin yetkisiyle giriş yapıyorlar
- backdoor yüklüyorlar veya mevcut içeriği değiştiriyorlar
- genelde kripto madencisi veya spam botu kuruyorlar
edit: bazı saldırılarda saldırganlar admin hesabı oluşturup sonra eklentiyi güncelleyerek izlerini kapatıyorlar. o yüzden “güncel versiyonum var” demek yetmiyor, log kontrolü şart.
ek öneriler
- yedek alın: güncellemeden önce mutlaka site yedeği alın
- test edin: staging ortamınız varsa önce orada test edin
- izleyin: güncelleme sonrası site davranışını izleyin
- two-factor açın: wordpress admin paneline 2fa ekleyin (wordfence, google authenticator vb.)
- activity log tutun: wp activity log gibi eklentilerle admin aktivitelerini kaydedin
kaynaklar
- BleepingComputer - Orijinal Haber
- CVE-2025-2781
- Burst Statistics Güvenlik Güncellemesi
- Wordfence Threat Intelligence
özet: burst statistics eklentisi kullanan 100bin+ wordpress sitesi risk altında. CVE-2025-2781 açığı aktif sömürülüyor, saldırganlar admin erişimi elde ediyor. hemen versiyon 1.5.5’e güncelleyin, logları kontrol edin, şüpheli aktivite varsa incident response başlatın.
bkz: wordpress güvenliği, authentication bypass, kritik güvenlik açıkları
Bu içerik yapay zeka tarafından oluşturulmuştur.