WordPress Güvenlik Açığı raporları ve sorumlu açıklamalar, web sitesi güvenlik farkındalığı ve eğitimi için olmazsa olmazdır. Bilinen yazılım güvenlik açıklarını hedef alan otomatik saldırılar, web sitesi ihlallerinin önde gelen nedenlerinden biridir.
WordPress Güvenlik Açığı: Neden Önemlidir?
WordPress güvenlik açığı, web sitenizin güvenliğini tehdit eden önemli bir konudur. WordPress, dünya genelinde en çok kullanılan içerik yönetim sistemlerinden biri olduğu için, kötü niyetli saldırganlar tarafından sıkça hedef alınmaktadır. Bu tür güvenlik açıkları, sitenizin hacklenmesine, verilerinizin çalınmasına veya kötü amaçlı yazılımların yüklenmesine yol açabilir. Bu nedenle, WordPress kullanıcılarının güvenlik önlemlerini alması ve olası açıkları kapatması son derece önemlidir.
Web sitesi sahiplerinin ortamlarına yönelik potansiyel tehditler konusunda bilgilendirilmesine yardımcı olmak amacıyla, geçtiğimiz ay WordPress ekosistemi için önemli güvenlik güncellemeleri ve güvenlik açığı yamalarının bir listesini derledik.
Akıllı Özel Alanlar – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-22308 Kurulum Sayısı: 50.000+ Etkilenen Yazılım: Akıllı Özel Alanlar <= 5.0.0 Yama Uygulanmış Sürümler: Düzeltme Yok
Riski azaltma adımları: Şu anda, mevcut bir düzeltme yok. Alternatif eklentiler veya ek güvenlik önlemleri aramayı düşünün.
Royal Elementor Eklentileri ve Şablonları – Cross Site Scripting (XSS)
Güvenlik Riski: Yüksek İstismar Seviyesi: Kimlik doğrulaması gerekmiyor. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-0393 Kurulum Sayısı: 500.000+ Etkilenen Yazılımlar: Royal Elementor Eklentileri ve Şablonları <= 1.7.1006 Yama Uygulanmış Sürümler: Royal Elementor Eklentileri ve Şablonları 1.7.1007
Çözüm adımları: Royal Elementor Eklentileri ve Şablonları eklentisini 1.7.1007 veya üzeri bir sürüme güncelleyin.
Post SMTP – E-posta Günlükleri ve Arıza Bildirimleri için Mobil Uygulama ile WordPress SMTP Eklentisi – Gmail SMTP, Office 365, Brevo, Mailgun, Amazon SES ve daha fazlası – Kırık Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Abone veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Broken Access Control CVE: CVE-2025-22800 Kurulum Sayısı: 400.000+ Etkilenen Yazılım: SMTP <= 2.9.11 Sonrası Yama Uygulanmış Sürümler: SMTP 2.9.12 Sonrası
Riski azaltma adımları: Post SMTP eklentisini 2.9.12 veya üzeri bir sürüme güncelleyin.
ThemeIsle tarafından Orbit Fox – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-0311 Kurulum Sayısı: 200.000+ Etkilenen Yazılım: ThemeIsle tarafından Orbit Fox <= 2.10.43 Yama Uygulanmış Sürümler: ThemeIsle tarafından Orbit Fox 2.10.44
Çözüm adımları: Orbit Fox by ThemeIsle eklentisini 2.10.44 veya üzeri bir sürüme güncelleyin.
GiveWP – Bağış Eklentisi ve Bağış Toplama Platformu – PHP Object Injection
Güvenlik Riski: Kritik İstismar Seviyesi: Kimlik doğrulaması gerekmiyor. Güvenlik Açığı: PHP Nesne Enjeksiyonu CVE: CVE-2025-22777 Kurulum Sayısı: 100.000+ Etkilenen Yazılım: GiveWP <= 3.19.3 Yamalı Sürümler: GiveWP 3.19.4
Çözüm adımları: GiveWP eklentisini 3.19.4 veya üzeri bir sürüme güncelleyin.
BoldGrid tarafından Gönderi ve Sayfa Oluşturucu – Görsel Sürükle ve Bırak Düzenleyici – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-22759 Kurulum Sayısı: 70.000+ Etkilenen Yazılım: BoldGrid tarafından Post and Page Builder <= 1.27.5 Yama Uygulanmış Sürümler: Düzeltme Yok
Riski azaltma adımları: Şu anda, mevcut bir düzeltme yok. Alternatif eklentiler veya ek güvenlik önlemleri aramayı düşünün.
UpdraftPlus: WP Yedekleme ve Göç Eklentisi – Cross Site Scripting (XSS)
Güvenlik Riski: Yüksek İstismar Seviyesi: Kimlik doğrulaması gerekmez. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-0215 Kurulum Sayısı: 3.000.000+ Etkilenen Yazılım: UpdraftPlus <= 1.25.0 Yama Uygulanmış Sürümler: UpdraftPlus 1.25.1
Çözüm adımları: UpdraftPlus eklentisini 1.25.1 veya üzeri bir sürüme güncelleyin.
Son Üye – Kullanıcı Profili, Kayıt, Giriş, Üye Dizini, İçerik Kısıtlaması ve Üyelik Eklentisi – Hassas Veri Açığa Çıkarma
Güvenlik Riski: Orta İstismar Seviyesi: Kimlik doğrulaması gerekmiyor. Güvenlik Açığı: Hassas Veri Açığı CVE: CVE-2025-0318 Kurulum Sayısı: 200.000+ Etkilenen Yazılım: Ultimate Member <= 2.9.1 Yama Uygulanmış Sürümler: Ultimate Member 2.9.2
Çözüm adımları: Ultimate Member eklentisini 2.9.2 veya üzeri bir sürüme güncelleyin.
Ultimate Member – Kullanıcı Profili, Kayıt, Giriş, Üye Dizini, İçerik Kısıtlaması ve Üyelik Eklentisi – SQL Injection
Güvenlik Riski: Kritik İstismar Seviyesi: Kimlik doğrulaması gerekmiyor. Güvenlik Açığı: SQL Enjeksiyonu CVE: CVE-2025-0308 Kurulum Sayısı: 200.000+ Etkilenen Yazılım: Ultimate Member <= 2.9.1 Yama Uygulanmış Sürümler: Ultimate Member 2.9.2
Çözüm adımları: Ultimate Member eklentisini 2.9.2 veya üzeri bir sürüme güncelleyin.
Widget Seçenekleri – #1 WordPress Widget ve Blok Kontrol Eklentisi – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Abone veya daha yüksek seviyede kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Kontrolü CVE: CVE-2025-22722 Kurulum Sayısı: 100.000+ Etkilenen Yazılım: Widget Seçenekleri <= 4.0.8 Yama Uygulanmış Sürümler: Widget Seçenekleri 4.0.9
Çözüm adımları: Widget Seçenekleri eklentisini 4.0.9 veya üzeri bir sürüme güncelleyin.
WP ULike – Hepsi Bir Arada Etkileşim Araç Takımı – Cross Site Scripting (XSS)
Güvenlik Riski: Düşük İstismar Seviyesi: Yönetici veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-22738 Kurulum Sayısı: 80.000+ Etkilenen Yazılım: WP ULike <= 4.7.6 Yama Uygulanmış Sürümler: WP ULike 4.7.7
Çözüm adımları: WP ULike eklentisini 4.7.7 veya üzeri bir sürüme güncelleyin.
Popup Oluşturucu – En İyi WP Popup Oluşturucu ile Satışları, Dönüşümleri, Optinleri ve Aboneleri Artırın Eklentisi – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek düzeyde kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-24746 Kurulum Sayısı: 700.000+ Etkilenen Yazılım: Popup Maker <= 1.20.2 Yama Uygulanmış Sürümler: Popup Maker 1.20.3
Çözüm adımları: Popup Maker eklentisini 1.20.3 veya üzeri bir sürüme güncelleyin.
Sayfa Oluşturucu Gutenberg Blokları – CoBlocks – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Kontrolü CVE: CVE-2025-24751 Kurulum Sayısı: 400.000+ Etkilenen Yazılım: Page Builder Gutenberg Blocks – CoBlocks <= 3.1.13 Yama Uygulanmış Sürümler: Page Builder Gutenberg Blocks – CoBlocks 3.1.14
Riski azaltma adımları: Page Builder Gutenberg Blocks – CoBlocks eklentisinin 3.1.14 veya üzeri sürümüne güncelleyin.
ExactMetrics – WordPress için Google Analytics Pano (Website İstatistikleri Eklentisi) – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Kontrolü CVE: CVE-2025-24750 Kurulum Sayısı: 400.000+ Etkilenen Yazılım: ExactMetrics <= 8.1.9 Yama Uygulanmış Sürümler: ExactMetrics 8.2.0
Riski azaltma adımları: ExactMetrics eklentisinin 8.2.0 veya üzeri sürümüne güncelleyin.
Gutenberg Blokları AI ile Kadence WP – Sayfa Oluşturucu Özellikleri – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Kontrolü CVE: CVE-2025-24753 Kurulum Sayısı: 400.000+ Etkilenen Yazılım: Kadence WP <= 3.3.1 tarafından AI ile Gutenberg Blokları Yamalı Sürümler: Kadence WP 3.3.2 tarafından AI ile Gutenberg Blokları
Çözüm adımları: Gutenberg Blocks with AI by Kadence WP eklentisini 3.3.2 veya üzeri bir sürüme güncelleyin.
Sayfa Oluşturucu: Pagelayer – Sürükle ve Bırak web sitesi oluşturucu – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-24573 Kurulum Sayısı: 200.000+ Etkilenen Yazılım: Sayfa Oluşturucu: Pagelayer <= 1.9.4 Yama Uygulanmış Sürümler: Sayfa Oluşturucu: Pagelayer 1.9.5
Riski azaltma adımları: Sayfa Oluşturucu’yu güncelleyin: Pagelayer eklentisinin sürümü 1.9.5 veya üzeri.
Post Duplicator – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Denetimi CVE: CVE-2025-24736 Kurulum Sayısı: 200.000+ Etkilenen Yazılım: Post Duplicator <= 2.35 Yama Uygulanmış Sürümler: Post Duplicator 2.36
Çözüm adımları: Post Duplicator eklentisini 2.36 veya üzeri bir sürüme güncelleyin.
Yönetici ve Site Geliştirmeleri (ASE) – Bozuk Erişim Kontrolü
Güvenlik Riski: Orta İstismar Seviyesi: Abone veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Bozuk Erişim Kontrolü CVE: CVE-2025-24649 Kurulum Sayısı: 100.000+ Etkilenen Yazılım: Yönetici ve Site Geliştirmeleri (ASE) <= 7.6.2 Yama Uygulanmış Sürümler: Yönetici ve Site Geliştirmeleri (ASE) 7.6.3
Riski azaltma adımları: Admin and Site Enhancements (ASE) eklentisinin 7.6.3 veya üzeri sürümüne güncelleyin.
LearnPress – WordPress LMS Eklentisi – Açık Yönlendirme
Güvenlik Riski: Orta İstismar Seviyesi: Abone veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Açık Yönlendirme CVE: CVE-2025-24740 Kurulum Sayısı: 90.000+ Etkilenen Yazılım: LearnPress <= 4.2.7.1 Yama Uygulanmış Sürümler: LearnPress 4.2.7.2
Riski azaltma adımları: LearnPress eklentisini 4.2.7.2 veya üzeri bir sürüme güncelleyin.
Nested Pages – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Yönetici veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-24579 Kurulum Sayısı: 90.000+ Etkilenen Yazılım: İç İçe Sayfalar <= 3.2.9 Yama Uygulanmış Sürümler: İç İçe Sayfalar 3.2.10
Riski azaltma adımları: Nested Pages eklentisinin 3.2.10 veya üzeri sürümüne güncelleyin.
Kullanıcıları ve müşterileri içe ve dışa aktarma – Hassas Veri Açığa Çıkarma
Güvenlik Riski: Orta İstismar Düzeyi: Kimlik doğrulaması gerekmiyor. Güvenlik Açığı: Hassas Veri Açığı CVE: CVE-2025-24689 Kurulum Sayısı: 70.000+ Etkilenen Yazılım: Kullanıcıları ve müşterileri içe ve dışa aktarın <= 1.27.12 Yama Uygulanmış Sürümler: Kullanıcıları ve müşterileri içe ve dışa aktarın 1.27.13
Riski azaltma adımları: Kullanıcıları ve müşterileri içe ve dışa aktarma eklentisinin 1.27.13 veya üzeri sürümüne güncelleyin.
WooCommerce PDF Faturaları, Paket Fişleri, Teslimat Notları ve Kargo Etiketleri – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Mağaza Yöneticisi veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-24644 Kurulum Sayısı: 60.000+ Etkilenen Yazılım: WooCommerce PDF Faturaları, Paket Fişleri, Teslimat Notları ve Kargo Etiketleri <= 4.7.1 Yama Uygulanmış Sürümler: WooCommerce PDF Faturaları, Paket Fişleri, Teslimat Notları ve Kargo Etiketleri 4.7.2
Riski azaltma adımları: WooCommerce PDF Faturalar, Paket Fişleri, Teslimat Notları ve Kargo Etiketleri eklentisinin 4.7.2 veya üzeri sürümüne güncelleyin.
Better Find and Replace – Ayrıcalık Yükseltme
Güvenlik Riski: Yüksek İstismar Seviyesi: Abone veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Ayrıcalık Yükseltme CVE: CVE-2025-24734 Kurulum Sayısı: 50.000+ Etkilenen Yazılım: Better Find and Replace <= 1.6.7 Yama Uygulanmış Sürümler: Better Find and Replace 1.6.8
Çözüm adımları: Better Find and Replace eklentisini 1.6.8 veya üzeri bir sürüme güncelleyin.
Store Commerce – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviye kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-22339 İndirme Sayısı: 50.956 Etkilenen Yazılım: Store Commerce <= 1.2.3 Yama Uygulanmış Sürümler: Düzeltme Yok
Riski azaltma adımları: Şu anda, mevcut bir düzeltme yok. Alternatif temalar veya ek güvenlik önlemleri aramayı düşünün.
StorePress – Cross Site Scripting (XSS)
Güvenlik Riski: Orta İstismar Seviyesi: Katkıda Bulunan veya daha yüksek seviyede kimlik doğrulaması gerektirir. Güvenlik Açığı: Siteler Arası Komut Dosyası (XSS) CVE: CVE-2025-22821 İndirme Sayısı: 53.724 Etkilenen Yazılım: StorePress <= 1.0.12 Yama Uygulanmış Sürümler: Düzeltme Yok
Riski azaltma adımları: Şu anda, mevcut bir düzeltme yok. Alternatif temalar veya ek güvenlik önlemleri aramayı düşünün.
Riski azaltmak için web sitesi yazılımınızı güncelleyin. Yazılımlarını en son sürümle güncelleyemeyen kullanıcıların, bilinen güvenlik açıklarını sanal olarak yamalamalarına ve web sitelerini korumalarına yardımcı olmak için bir web uygulaması güvenlik duvarı kullanmaları önerilir.
Yorumlar