Bu WordPress güvenlik açığı raporu (3 Eylül 2025), son hafta içinde ortaya çıkan zafiyetleri tek tek ve aksiyon önerileriyle birlikte sunar. Toplam 114 zafiyet (96 eklenti, 18 tema) tespit edilmiştir. 75 yazılım için yama yayımlanmış, 39’unda ise hâlâ “no fix” durumu söz konusudur. Aşağıdaki tabloları izleyerek sitende hangi eklenti güvenlik açığı ve tema güvenlik açığı bulunduğunu görebilir; “no fix” olanları kaldır/devre dışı bırak, yaması olanları ise hemen güncelle.
Yaması Olmayan Eklentiler (No Fix) — Derhal devre dışı bırak
“No fix” olarak işaretlenen eklentiler, geliştiricisi tarafından henüz bir güvenlik yaması yayınlanmamış WordPress güvenlik açığı içerir. Bu durum, saldırganların bilinen zafiyetlerden yararlanarak sitenize erişim sağlamasını kolaylaştırır. Özellikle uzaktan kod çalıştırma (RCE), keyfi dosya yükleme, SQL injection, XSS, CSRF, LFI/Path Traversal gibi açıklar; yönetici oturumlarının ele geçirilmesine, veritabanı bilgilerinin sızdırılmasına, arka kapı (web-shell) yerleştirilmesine ve sonuç olarak SEO itibarının bozulmasına (spam içerik, zararlı yönlendirme) kadar uzanan ciddi etkiler doğurabilir.
Aşağıdaki tabloda her eklenti için açık türü, şiddet ve pratik etki/öneri özetlenir. Bu eklentileri:
- Hemen devre dışı bırakın ve mümkünse kalıcı olarak kaldırın,
- Güvenli bir alternatif veya aktif bakımı süren muadil bir eklentiyle değiştirin,
- Sunucuda dosya bütünlüğü taraması (web-shell, şüpheli cron, .php dosyaları) yapın,
- Admin parolalarını ve uygulama anahtarlarınızı/salt değerlerinizi yenileyin,
- Geçici olarak bir WAF/uygulama güvenlik kuralı uygulayarak istismar trafiğini sınırlayın,
- Günlükleri (logs) inceleyip şüpheli istekleri ve IP’leri engelleyin.
Kısa açıklama sütununda her bir eklenti güvenlik açığı için pratik etkileri ve acil eylem notlarını bulacaksınız; lütfen “no fix” durumundaki eklentileri üretimde tutmayın.
-
Eklenti: All-in-One WP Migration and Backup
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 7.98
Kısa Açıklama / Öneri: Betik enjeksiyonunu kapatır. Güncelle. -
Eklenti: TablePress
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 3.2.1
Kısa Açıklama / Öneri: Tablo çıktılarında güvenli çıktı. Güncelle. -
Eklenti: Ocean Extra
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.5.0
Kısa Açıklama / Öneri: Arayüzde script engeli. Güncelle. -
Eklenti: SiteSEO – SEO Simplified
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.8
Kısa Açıklama / Öneri: SEO modüllerinde XSS kapanır. Güncelle. -
Eklenti: Otter Blocks
Açık Türü: Sensitive Data Exposure
Şiddet: High
Güvenli Sürüm: 3.1.1
Kısa Açıklama / Öneri: Gizli verilerin sızması engellenir. Güncelle. -
Eklenti: Unlimited Elements for Elementor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.5.149
Kısa Açıklama / Öneri: Widget bazlı XSS engeli. Güncelle. -
Eklenti: Beaver Builder (Lite)
Açık Türü: XSS
Şiddet: High
Güvenli Sürüm: 2.9.3.1
Kısa Açıklama / Öneri: Sayfa yapıcı çıktıları sertleştirilir. Güncelle. -
Eklenti: WP Bulk Delete
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.3.7
Kısa Açıklama / Öneri: Silme/temizleme işlemleri yetki kontrolü. Güncelle. -
Eklenti: Ajax Search Lite
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 4.13.2
Kısa Açıklama / Öneri: Arama filtrelerinde yetki doğrulaması. Güncelle. -
Eklenti: Bold Page Builder
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 5.4.4
Kısa Açıklama / Öneri: Sayfa oluşturma çıktıları güvenli hale gelir. Güncelle. -
Eklenti: Booking Calendar
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 10.14.2
Kısa Açıklama / Öneri: Form/kalender çıktıları filtrelenir. Güncelle. -
Eklenti: Uncanny Automator
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 6.8.0
Kısa Açıklama / Öneri: Otomasyon aksiyonlarında yetki kontrolü. Güncelle. -
Eklenti: UiCore Elements
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.5
Kısa Açıklama / Öneri: Şablon/widget XSS engeli. Güncelle. -
Eklenti: Booster for WooCommerce
Açık Türü: Arbitrary File Upload
Şiddet: High
Güvenli Sürüm: 7.2.5
Kısa Açıklama / Öneri: Yetkisiz dosya yükleme kapanır. Güncelle. -
Eklenti: 140+ Widgets | Xpro Addons
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.4.18
Kısa Açıklama / Öneri: Widget çıktıları sertleştirilir. Güncelle. -
Eklenti: Simple Download Monitor
Açık Türü: SQL Injection
Şiddet: High
Güvenli Sürüm: 3.9.34
Kısa Açıklama / Öneri: Sorgu enjeksiyonu engellenir. Güncelle. -
Eklenti: Simple Download Monitor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 3.9.35
Kısa Açıklama / Öneri: XSS kapatılır. Güncelle. -
Eklenti: UsersWP
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.43
Kısa Açıklama / Öneri: Üye dizini/oturum güvenliği. Güncelle. -
Eklenti: Lazy Load for Videos
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.18.8
Kısa Açıklama / Öneri: Yerleştirme çıktıları filtrelenir. Güncelle. -
Eklenti: Xpro Theme Builder for Elementor
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.2.10
Kısa Açıklama / Öneri: Şablon kurallarında yetki kontrolü. Güncelle. -
Eklenti: AfterShip Tracking
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.17.18
Kısa Açıklama / Öneri: Kargo/izleme uçlarında kontrol. Güncelle. -
Eklenti: Events Addon for Elementor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.3.0
Kısa Açıklama / Öneri: Etkinlik widget’larında XSS kapatılır. Güncelle. -
Eklenti: LWSCache
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.9
Kısa Açıklama / Öneri: Önbellek yönetiminde yetki doğrulaması. Güncelle. -
Eklenti: Event Booking Manager – WpEvently
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 4.4.9
Kısa Açıklama / Öneri: Seri çözmeden doğan RCE riski kapanır. Güncelle. -
Eklenti: Xagio SEO
Açık Türü: Sensitive Data Exposure
Şiddet: High
Güvenli Sürüm: 7.1.0.6
Kısa Açıklama / Öneri: Hassas veriler maskelenir. Güncelle. -
Eklenti: Solace Extra
Açık Türü: SSRF
Şiddet: Medium
Güvenli Sürüm: 1.3.3
Kısa Açıklama / Öneri: Sunucu arka uç istekleri engellenir. Güncelle. -
Eklenti: Simple Page Access Restriction
Açık Türü: CSRF
Şiddet: Medium
Güvenli Sürüm: 1.0.33
Kısa Açıklama / Öneri: İşlem onayı zorunlu kılınır. Güncelle. -
Eklenti: B Slider
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.0.0
Kısa Açıklama / Öneri: Slider yönetiminde yetki sıkılaştırma. Güncelle. -
Eklenti: Block Bad Bots
Açık Türü: Broken Authentication
Şiddet: Medium
Güvenli Sürüm: 11.59
Kısa Açıklama / Öneri: Kimlik doğrulama akışları sertleşir. Güncelle. -
Eklenti: Tourfic
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.15.0
Kısa Açıklama / Öneri: Rezervasyon uçları korunur. Güncelle. -
Eklenti: All Bootstrap Blocks
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.3.29
Kısa Açıklama / Öneri: Blok erişim kuralları. Güncelle. -
Eklenti: ElementInvader Addons
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.7
Kısa Açıklama / Öneri: Widget XSS engeli. Güncelle. -
Eklenti: Podlove Podcast Publisher
Açık Türü: Open Redirect
Şiddet: Medium
Güvenli Sürüm: 4.2.6
Kısa Açıklama / Öneri: Yönlendirme doğrulaması. Güncelle. -
Eklenti: JS Archive List
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 6.1.6
Kısa Açıklama / Öneri: Veritabanı sorguları güvenli. Güncelle. -
Eklenti: Responsive YouTube Video Gallery
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 3.5.2
Kısa Açıklama / Öneri: Seri çözme riski kapanır. Güncelle. -
Eklenti: Pronamic Google Maps
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.4.2
Kısa Açıklama / Öneri: Harita çıktıları sterilize edilir. Güncelle. -
Eklenti: Feeds for TikTok
Açık Türü: Broken Access Control
Şiddet: High
Güvenli Sürüm: 1.0.22
Kısa Açıklama / Öneri: Besleme uçları korunur. Güncelle. -
Eklenti: E-cab Taxi Booking Manager
Açık Türü: Broken Authentication
Şiddet: Critical
Güvenli Sürüm: 1.3.1
Kısa Açıklama / Öneri: Kimlik doğrulama açıkları kapanır. Güncelle. -
Eklenti: PDF for Elementor Forms
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 6.3.0
Kısa Açıklama / Öneri: PDF şablon çıktıları temizlenir. Güncelle. -
Eklenti: Skyword XMLRPC publishing
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.5.3
Kısa Açıklama / Öneri: XML-RPC yayımlamada XSS kapanır. Güncelle. -
Eklenti: Zephyr Project Manager
Açık Türü: Broken Access Control
Şiddet: High
Güvenli Sürüm: 3.3.202
Kısa Açıklama / Öneri: Proje işlem yetkileri sıkılaşır. Güncelle. -
Eklenti: Drag and Drop File Upload (Elementor Forms)
Açık Türü: Arbitrary File Upload
Şiddet: Critical
Güvenli Sürüm: 1.5.4
Kısa Açıklama / Öneri: Yetkisiz dosya yükleme engeli. Güncelle. -
Eklenti: Transcoder
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.4.1
Kısa Açıklama / Öneri: Video dönüştürme arayüzünde XSS kapalı. Güncelle. -
Eklenti: Employee Spotlight
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 5.1.2
Kısa Açıklama / Öneri: Seri çözme zafiyeti kapalı. Güncelle. -
Eklenti: Epeken All Kurir
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.0.2
Kısa Açıklama / Öneri: Çıkış temizliği yapılır. Güncelle. -
Eklenti: UPC/EAN/GTIN Code Generator
Açık Türü: Arbitrary File Deletion
Şiddet: High
Güvenli Sürüm: 2.0.3
Kısa Açıklama / Öneri: Dosya silme vektörleri engellenir. Güncelle. -
Eklenti: Chatbox Manager
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.7
Kısa Açıklama / Öneri: Sohbet kutusu çıktıları güvenli. Güncelle. -
Eklenti: Customer Support Ticket System
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 6.0.3
Kısa Açıklama / Öneri: Ticket akışında RCE riski kapanır. Güncelle. -
Eklenti: Booking System Trafft
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.0.15
Kısa Açıklama / Öneri: Form/arayüz XSS kapanır. Güncelle. -
Eklenti: Captcha.eu
Açık Türü: XSS
Şiddet: High
Güvenli Sürüm: 1.0.61
Kısa Açıklama / Öneri: Captcha bileşeninde XSS kapalı. Güncelle. -
Eklenti: Dynamic AJAX Product Filters
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.8
Kısa Açıklama / Öneri: AJAX filtre çıktı sterilizasyonu. Güncelle. -
Eklenti: File Manager, Code Editor, and Backup by Managefy
Açık Türü: Path Traversal
Şiddet: Medium
Güvenli Sürüm: 1.5.0
Kısa Açıklama / Öneri: Dizin geçişi engellenir. Güncelle. -
Eklenti: Vibes
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 2.2.1
Kısa Açıklama / Öneri: DB sorgularına bağlamlı kaçış. Güncelle. -
Eklenti: WP Thumbtack Review Slider
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.7
Kısa Açıklama / Öneri: Değerlendirme bileşenlerinde XSS kapalı. Güncelle. -
Eklenti: Video Share VOD
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 2.7.7
Kısa Açıklama / Öneri: İşlem doğrulaması zorunlu. Güncelle. -
Eklenti: Instant Breaking News
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 1.0.1
Kısa Açıklama / Öneri: Kaydet/güncelle işlemlerinde nonce. Güncelle. -
Eklenti: Custom Query Shortcode
Açık Türü: Directory Traversal
Şiddet: Medium
Güvenli Sürüm: 0.5.0
Kısa Açıklama / Öneri: Dosya yol çözümleme sertleşir. Güncelle. -
Eklenti: Simple Contact Form – WP Easy Contact
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 4.0.2
Kısa Açıklama / Öneri: Veri deserializasyonu güvenli. Güncelle. -
Eklenti: RingCentral Communications Plugin
Açık Türü: Broken Authentication
Şiddet: Critical
Güvenli Sürüm: 1.7.0
Kısa Açıklama / Öneri: Giriş/oturum akışları düzeltilir. Güncelle. -
Eklenti: Small Package Quotes – USPS Edition
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 1.3.10
Kısa Açıklama / Öneri: Kargo hesaplamasında güvenli deserializasyon. Güncelle. -
Eklenti: Dokan Pro
Açık Türü: Privilege Escalation
Şiddet: High
Güvenli Sürüm: 4.0.6
Kısa Açıklama / Öneri: Rol/yetki yükseltme kapatılır. Güncelle. -
Eklenti: eventlist
Açık Türü: Privilege Escalation
Şiddet: High
Güvenli Sürüm: 2.0.5
Kısa Açıklama / Öneri: Etkinlik işlemlerinde yetki zinciri kapatılır. Güncelle. -
Eklenti: WooCommerce csv import export
Açık Türü: Arbitrary File Deletion
Şiddet: High
Güvenli Sürüm: 2.0.7
Kısa Açıklama / Öneri: Dosya silme çağrıları korunur. Güncelle. -
Eklenti: Houzez CRM
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.5.0
Kısa Açıklama / Öneri: CRM uçlarında yetki kontrolü. Güncelle. -
Eklenti: Nest Addons
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 1.6.4
Kısa Açıklama / Öneri: DB sorgu parametreleri güvenli. Güncelle. -
Eklenti: Slider Revolution
Açık Türü: Arbitrary File Download
Şiddet: Medium
Güvenli Sürüm: 6.7.37
Kısa Açıklama / Öneri: Dosya indirme uçları sınırlandırılır. Güncelle. -
Eklenti: Automatic (WP Automatic)
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 3.119.0
Kısa Açıklama / Öneri: İşlem doğrulamaları iyileştirilir. Güncelle. -
Eklenti: WP ULike Pro
Açık Türü: Arbitrary File Upload
Şiddet: Medium
Güvenli Sürüm: 1.9.4
Kısa Açıklama / Öneri: Dosya yükleme kuralları sıkılaşır. Güncelle.
Güncellemesi Yayınlanan Eklentiler — Hemen güncelle
Aşağıdaki eklentilerde tespit edilen WordPress güvenlik açığı geliştiriciler tarafından yamalanmıştır. Tablodaki “Güvenli sürüm” sütununda belirtilen versiyona yükselterek istismar riskini ortadan kaldırabilirsiniz. Güncelleme öncesinde yedek almayı unutmayın; mümkünse önce bir staging ortamında test edin. Güncellemenin ardından önbelleği temizleyin, minify/asset dosyalarını yeniden oluşturun ve sitenin kritik işlevlerini (giriş, ödeme, form gönderimi, dosya yükleme) hızla doğrulayın.
Sürüm kontrolü: Eklentinin yönetim ekranında yüklü sürümün listede yer alan güvenli sürüm ile birebir aynı olduğundan emin olun.Uygulama sağlığı: Güncelleme sonrasında bir güvenlik taraması çalıştırın; bilinen eklenti güvenlik açığı imzalarının kapandığını doğrulayın.Günlük inceleme: Son 7 güne ait access/error logs kayıtlarını kontrol edip şüpheli istekleri ve IP’leri tespit ederek engelleyin.Roller ve izinler: İlgili eklentinin oluşturduğu roller ve yetenekler (capabilities) için gereksiz yetkileri kapatın.Kaldır/temizle: Güncellenmeyen muadiller, artık kullanılmayan eklentiler ve kalıntı dosyaları temizleyerek saldırı yüzeyini küçültün.Otomatik güvenlik güncellemeleri: Yalnızca security patch kapsamındaki küçük güncellemeler için otomatik güncellemeleri etkinleştirin.
Bu adımlar, yamalanmış WordPress güvenlik açığı bulunan eklentilerde güncelleme sonrası oluşabilecek uyumluluk ve performans sorunlarını en aza indirir; aynı zamanda yeni sürümle birlikte beklenen sertleştirme ve istismar önleme iyileştirmelerini güvenle devreye almanızı sağlar.
-
Eklenti: All-in-One WP Migration and Backup
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 7.98
Kısa Açıklama / Öneri: Betik enjeksiyonunu kapatır. Güncelle. -
Eklenti: TablePress
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 3.2.1
Kısa Açıklama / Öneri: Tablo çıktılarında güvenli çıktı. Güncelle. -
Eklenti: Ocean Extra
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.5.0
Kısa Açıklama / Öneri: Arayüzde script engeli. Güncelle. -
Eklenti: SiteSEO – SEO Simplified
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.8
Kısa Açıklama / Öneri: SEO modüllerinde XSS kapanır. Güncelle. -
Eklenti: Otter Blocks
Açık Türü: Sensitive Data Exposure
Şiddet: High
Güvenli Sürüm: 3.1.1
Kısa Açıklama / Öneri: Gizli verilerin sızması engellenir. Güncelle. -
Eklenti: Unlimited Elements for Elementor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.5.149
Kısa Açıklama / Öneri: Widget bazlı XSS engeli. Güncelle. -
Eklenti: Beaver Builder (Lite)
Açık Türü: XSS
Şiddet: High
Güvenli Sürüm: 2.9.3.1
Kısa Açıklama / Öneri: Sayfa yapıcı çıktıları sertleştirilir. Güncelle. -
Eklenti: WP Bulk Delete
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.3.7
Kısa Açıklama / Öneri: Silme/temizleme işlemleri yetki kontrolü. Güncelle. -
Eklenti: Ajax Search Lite
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 4.13.2
Kısa Açıklama / Öneri: Arama filtrelerinde yetki doğrulaması. Güncelle. -
Eklenti: Bold Page Builder
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 5.4.4
Kısa Açıklama / Öneri: Sayfa oluşturma çıktıları güvenli hale gelir. Güncelle. -
Eklenti: Booking Calendar
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 10.14.2
Kısa Açıklama / Öneri: Form/kalender çıktıları filtrelenir. Güncelle. -
Eklenti: Uncanny Automator
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 6.8.0
Kısa Açıklama / Öneri: Otomasyon aksiyonlarında yetki kontrolü. Güncelle. -
Eklenti: UiCore Elements
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.5
Kısa Açıklama / Öneri: Şablon/widget XSS engeli. Güncelle. -
Eklenti: Booster for WooCommerce
Açık Türü: Arbitrary File Upload
Şiddet: High
Güvenli Sürüm: 7.2.5
Kısa Açıklama / Öneri: Yetkisiz dosya yükleme kapanır. Güncelle. -
Eklenti: 140+ Widgets | Xpro Addons
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.4.18
Kısa Açıklama / Öneri: Widget çıktıları sertleştirilir. Güncelle. -
Eklenti: Simple Download Monitor
Açık Türü: SQL Injection
Şiddet: High
Güvenli Sürüm: 3.9.34
Kısa Açıklama / Öneri: Sorgu enjeksiyonu engellenir. Güncelle. -
Eklenti: Simple Download Monitor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 3.9.35
Kısa Açıklama / Öneri: XSS kapatılır. Güncelle. -
Eklenti: UsersWP
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.43
Kısa Açıklama / Öneri: Üye dizini/oturum güvenliği. Güncelle. -
Eklenti: Lazy Load for Videos
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.18.8
Kısa Açıklama / Öneri: Yerleştirme çıktıları filtrelenir. Güncelle. -
Eklenti: Xpro Theme Builder for Elementor
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.2.10
Kısa Açıklama / Öneri: Şablon kurallarında yetki kontrolü. Güncelle. -
Eklenti: AfterShip Tracking
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.17.18
Kısa Açıklama / Öneri: Kargo/izleme uçlarında kontrol. Güncelle. -
Eklenti: Events Addon for Elementor
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.3.0
Kısa Açıklama / Öneri: Etkinlik widget’larında XSS kapatılır. Güncelle. -
Eklenti: LWSCache
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.9
Kısa Açıklama / Öneri: Önbellek yönetiminde yetki doğrulaması. Güncelle. -
Eklenti: Event Booking Manager – WpEvently
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 4.4.9
Kısa Açıklama / Öneri: Seri çözmeden doğan RCE riski kapanır. Güncelle. -
Eklenti: Xagio SEO
Açık Türü: Sensitive Data Exposure
Şiddet: High
Güvenli Sürüm: 7.1.0.6
Kısa Açıklama / Öneri: Hassas veriler maskelenir. Güncelle. -
Eklenti: Solace Extra
Açık Türü: SSRF
Şiddet: Medium
Güvenli Sürüm: 1.3.3
Kısa Açıklama / Öneri: Sunucu arka uç istekleri engellenir. Güncelle. -
Eklenti: Simple Page Access Restriction
Açık Türü: CSRF
Şiddet: Medium
Güvenli Sürüm: 1.0.33
Kısa Açıklama / Öneri: İşlem onayı zorunlu kılınır. Güncelle. -
Eklenti: B Slider
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.0.0
Kısa Açıklama / Öneri: Slider yönetiminde yetki sıkılaştırma. Güncelle. -
Eklenti: Block Bad Bots
Açık Türü: Broken Authentication
Şiddet: Medium
Güvenli Sürüm: 11.59
Kısa Açıklama / Öneri: Kimlik doğrulama akışları sertleşir. Güncelle. -
Eklenti: Tourfic
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 2.15.0
Kısa Açıklama / Öneri: Rezervasyon uçları korunur. Güncelle. -
Eklenti: All Bootstrap Blocks
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.3.29
Kısa Açıklama / Öneri: Blok erişim kuralları. Güncelle. -
Eklenti: ElementInvader Addons
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.7
Kısa Açıklama / Öneri: Widget XSS engeli. Güncelle. -
Eklenti: Podlove Podcast Publisher
Açık Türü: Open Redirect
Şiddet: Medium
Güvenli Sürüm: 4.2.6
Kısa Açıklama / Öneri: Yönlendirme doğrulaması. Güncelle. -
Eklenti: JS Archive List
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 6.1.6
Kısa Açıklama / Öneri: Veritabanı sorguları güvenli. Güncelle. -
Eklenti: Responsive YouTube Video Gallery
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 3.5.2
Kısa Açıklama / Öneri: Seri çözme riski kapanır. Güncelle. -
Eklenti: Pronamic Google Maps
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.4.2
Kısa Açıklama / Öneri: Harita çıktıları sterilize edilir. Güncelle. -
Eklenti: Feeds for TikTok
Açık Türü: Broken Access Control
Şiddet: High
Güvenli Sürüm: 1.0.22
Kısa Açıklama / Öneri: Besleme uçları korunur. Güncelle. -
Eklenti: E-cab Taxi Booking Manager
Açık Türü: Broken Authentication
Şiddet: Critical
Güvenli Sürüm: 1.3.1
Kısa Açıklama / Öneri: Kimlik doğrulama açıkları kapanır. Güncelle. -
Eklenti: PDF for Elementor Forms
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 6.3.0
Kısa Açıklama / Öneri: PDF şablon çıktıları temizlenir. Güncelle. -
Eklenti: Skyword XMLRPC publishing
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.5.3
Kısa Açıklama / Öneri: XML-RPC yayımlamada XSS kapanır. Güncelle. -
Eklenti: Zephyr Project Manager
Açık Türü: Broken Access Control
Şiddet: High
Güvenli Sürüm: 3.3.202
Kısa Açıklama / Öneri: Proje işlem yetkileri sıkılaşır. Güncelle. -
Eklenti: Drag and Drop File Upload (Elementor Forms)
Açık Türü: Arbitrary File Upload
Şiddet: Critical
Güvenli Sürüm: 1.5.4
Kısa Açıklama / Öneri: Yetkisiz dosya yükleme engeli. Güncelle. -
Eklenti: Transcoder
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.4.1
Kısa Açıklama / Öneri: Video dönüştürme arayüzünde XSS kapalı. Güncelle. -
Eklenti: Employee Spotlight
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 5.1.2
Kısa Açıklama / Öneri: Seri çözme zafiyeti kapalı. Güncelle. -
Eklenti: Epeken All Kurir
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.0.2
Kısa Açıklama / Öneri: Çıkış temizliği yapılır. Güncelle. -
Eklenti: UPC/EAN/GTIN Code Generator
Açık Türü: Arbitrary File Deletion
Şiddet: High
Güvenli Sürüm: 2.0.3
Kısa Açıklama / Öneri: Dosya silme vektörleri engellenir. Güncelle. -
Eklenti: Chatbox Manager
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.2.7
Kısa Açıklama / Öneri: Sohbet kutusu çıktıları güvenli. Güncelle. -
Eklenti: Customer Support Ticket System
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 6.0.3
Kısa Açıklama / Öneri: Ticket akışında RCE riski kapanır. Güncelle. -
Eklenti: Booking System Trafft
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.0.15
Kısa Açıklama / Öneri: Form/arayüz XSS kapanır. Güncelle. -
Eklenti: Captcha.eu
Açık Türü: XSS
Şiddet: High
Güvenli Sürüm: 1.0.61
Kısa Açıklama / Öneri: Captcha bileşeninde XSS kapalı. Güncelle. -
Eklenti: Dynamic AJAX Product Filters
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 1.3.8
Kısa Açıklama / Öneri: AJAX filtre çıktı sterilizasyonu. Güncelle. -
Eklenti: File Manager, Code Editor, and Backup by Managefy
Açık Türü: Path Traversal
Şiddet: Medium
Güvenli Sürüm: 1.5.0
Kısa Açıklama / Öneri: Dizin geçişi engellenir. Güncelle. -
Eklenti: Vibes
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 2.2.1
Kısa Açıklama / Öneri: DB sorgularına bağlamlı kaçış. Güncelle. -
Eklenti: WP Thumbtack Review Slider
Açık Türü: XSS
Şiddet: Medium
Güvenli Sürüm: 2.7
Kısa Açıklama / Öneri: Değerlendirme bileşenlerinde XSS kapalı. Güncelle. -
Eklenti: Video Share VOD
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 2.7.7
Kısa Açıklama / Öneri: İşlem doğrulaması zorunlu. Güncelle. -
Eklenti: Instant Breaking News
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 1.0.1
Kısa Açıklama / Öneri: Kaydet/güncelle işlemlerinde nonce. Güncelle. -
Eklenti: Custom Query Shortcode
Açık Türü: Directory Traversal
Şiddet: Medium
Güvenli Sürüm: 0.5.0
Kısa Açıklama / Öneri: Dosya yol çözümleme sertleşir. Güncelle. -
Eklenti: Simple Contact Form – WP Easy Contact
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 4.0.2
Kısa Açıklama / Öneri: Veri deserializasyonu güvenli. Güncelle. -
Eklenti: RingCentral Communications Plugin
Açık Türü: Broken Authentication
Şiddet: Critical
Güvenli Sürüm: 1.7.0
Kısa Açıklama / Öneri: Giriş/oturum akışları düzeltilir. Güncelle. -
Eklenti: Small Package Quotes – USPS Edition
Açık Türü: PHP Object Injection
Şiddet: High
Güvenli Sürüm: 1.3.10
Kısa Açıklama / Öneri: Kargo hesaplamasında güvenli deserializasyon. Güncelle. -
Eklenti: Dokan Pro
Açık Türü: Privilege Escalation
Şiddet: High
Güvenli Sürüm: 4.0.6
Kısa Açıklama / Öneri: Rol/yetki yükseltme kapatılır. Güncelle. -
Eklenti: eventlist
Açık Türü: Privilege Escalation
Şiddet: High
Güvenli Sürüm: 2.0.5
Kısa Açıklama / Öneri: Etkinlik işlemlerinde yetki zinciri kapatılır. Güncelle. -
Eklenti: WooCommerce csv import export
Açık Türü: Arbitrary File Deletion
Şiddet: High
Güvenli Sürüm: 2.0.7
Kısa Açıklama / Öneri: Dosya silme çağrıları korunur. Güncelle. -
Eklenti: Houzez CRM
Açık Türü: Broken Access Control
Şiddet: Medium
Güvenli Sürüm: 1.5.0
Kısa Açıklama / Öneri: CRM uçlarında yetki kontrolü. Güncelle. -
Eklenti: Nest Addons
Açık Türü: SQL Injection
Şiddet: Critical
Güvenli Sürüm: 1.6.4
Kısa Açıklama / Öneri: DB sorgu parametreleri güvenli. Güncelle. -
Eklenti: Slider Revolution
Açık Türü: Arbitrary File Download
Şiddet: Medium
Güvenli Sürüm: 6.7.37
Kısa Açıklama / Öneri: Dosya indirme uçları sınırlandırılır. Güncelle. -
Eklenti: Automatic (WP Automatic)
Açık Türü: CSRF
Şiddet: High
Güvenli Sürüm: 3.119.0
Kısa Açıklama / Öneri: İşlem doğrulamaları iyileştirilir. Güncelle. -
Eklenti: WP ULike Pro
Açık Türü: Arbitrary File Upload
Şiddet: Medium
Güvenli Sürüm: 1.9.4
Kısa Açıklama / Öneri: Dosya yükleme kuralları sıkılaşır. Güncelle.
Yaması Olmayan Temalar (No Fix) — Tema değiştir
“No fix” durumundaki temalar, geliştiricisi tarafından henüz yamalanmamış ciddi tema güvenlik açıkları içerir. Bu açıklar; deserialization, PHP Object Injection, LFI/Path Traversal ve XSS gibi vektörlerle yetkisiz erişim, dosya sızıntısı ve kalıcı arka kapılara yol açabilir. Üretimde böyle bir temayı kullanmak yüksek risktir; en güvenli yol temayı derhal bırakıp bakımı süren güvenli bir alternatife geçmektir.
Aktif temayı güvenilir bir muadille hemen değiştir.
Eski tema klasörlerini ve gizli yedekleri tamamen sil.
Dosya bütünlüğü ve zararlı dosya taraması yap.
Önbellek/CDN temizliği ve varlıkları yeniden oluştur.
Son günlerin erişim/hata günlüklerini inceleyip şüpheli trafiği engelle.
-
Tema: Magazine Saga
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Dosya sızıntısı riski. Güvenli alternatif temaya geç. -
Tema: ArcHub
Açık Türü: Broken Access Control
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Yetkisiz işlem riski. Tema değiştir. -
Tema: Cars4Rent
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: RCE zinciri riski. Tema değiştir. -
Tema: Hub
Açık Türü: Broken Access Control
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Yetki atlama riski. Tema değiştir. -
Tema: Jannah
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Hassas dosya görüntüleme. Tema değiştir. -
Tema: Jina – Celebration Agency
Açık Türü: Deserialization
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Güvenli veri işleme yok. Tema değiştir. -
Tema: The Restaurant
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: RCE riski yüksek. Tema değiştir. -
Tema: Nuss
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Yerel dosya ifşası. Tema değiştir. -
Tema: Pro Bulk Watermark Plugin for WordPress
Açık Türü: Path Traversal
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Dizin gezintisi. Tema değiştir. -
Tema: Rozario
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Seri çözme üzerinden RCE. Tema değiştir. -
Tema: Upking – Hiking Club
Açık Türü: Deserialization
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Güvenli veri çözümleme yok. Tema değiştir.
Güncellemesi Yayınlanan Temalar — Hemen güncelle
Bu listedeki temalarda bildirilen tema güvenlik açığı geliştirici yamalarıyla giderildi. İstismar riskini kapatmak için tabloda yer alan güvenli sürüme vakit kaybetmeden yükseltin. Güncelleme sonrası olası WordPress güvenlik açığı kaynaklı uyumsuzlukları önlemek için child theme, özel şablonlar ve kritik akışlar mutlaka doğrulanmalıdır.
Tam yedek al; mümkünse önce staging ortamında test et.
Listelenen güvenli sürüme güncelle ve sürüm eşleşmesini doğrula.
Önbellek/CDN temizliği yap; minify/asset dosyalarını yeniden oluştur.
Giriş, ödeme/sepet ve form gönderimi gibi kritik akışları kontrol et.
Son günlerin erişim ve hata günlüklerini inceleyip şüpheli trafiği engelle.
-
Tema: Magazine Saga
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Dosya sızıntısı riski. Güvenli alternatif temaya geç. -
Tema: ArcHub
Açık Türü: Broken Access Control
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Yetkisiz işlem riski. Tema değiştir. -
Tema: Cars4Rent
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: RCE zinciri riski. Tema değiştir. -
Tema: Hub
Açık Türü: Broken Access Control
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Yetki atlama riski. Tema değiştir. -
Tema: Jannah
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Hassas dosya görüntüleme. Tema değiştir. -
Tema: Jina – Celebration Agency
Açık Türü: Deserialization
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Güvenli veri işleme yok. Tema değiştir. -
Tema: The Restaurant
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: RCE riski yüksek. Tema değiştir. -
Tema: Nuss
Açık Türü: LFI
Şiddet: High
Durum: No Fix
Kısa Açıklama / Öneri: Yerel dosya ifşası. Tema değiştir. -
Tema: Pro Bulk Watermark Plugin for WordPress
Açık Türü: Path Traversal
Şiddet: Medium
Durum: No Fix
Kısa Açıklama / Öneri: Dizin gezintisi. Tema değiştir. -
Tema: Rozario
Açık Türü: PHP Object Injection
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Seri çözme üzerinden RCE. Tema değiştir. -
Tema: Upking – Hiking Club
Açık Türü: Deserialization
Şiddet: Critical
Durum: No Fix
Kısa Açıklama / Öneri: Güvenli veri çözümleme yok. Tema değiştir.
Bakım Önerileri (Hızlı Kontrol Listesi)
- “No fix” olan eklenti/temaları kaldır veya devre dışı bırak; güvenli alternatifle değiştir.
- Güncellemeleri otomatikleştir (sadece güvenlik sürümleri) ve düzenli yedek al.
- Güvenlik duvarı ve 2FA gibi ek önlemleri aktif et; yönetici hesaplarını en aza indir.
- İzin ve rol yapılarını gözden geçir; kullanılmayan eklenti/temaları temizle.
İlk yorumu siz yazın.