Bir ay evvel bloglarımı yeni host’a taşıdığımda WordPress sürümlerinide 2.7′ye yükseltmiştim. Bu işi gerçekleştirmek için “wordpress automatic upgrade” eklentisini kullandım. Geçen süre zarfında wordpress 2.7 için 60 küsür tane düzeltme yapılıp 2.7.1 versiyonu yayınlandı. WordPress üst sürümlerle birlikte kendi içerisinden upgrade edilebilir hale geldi. Admin panelinde Tools->Upgrade yolu izlenerek upgrade işlemine ulaşılıyor.
Uzun lafın kısası wordpress sürümünü 2.7.1′yükseltmek için Upgrade seçeneğini kuallandığımda (WordPress Automatik Upgrade eklentisi bloğu son sürümde gösteriyor) aşağıdaki hata ile karşılaştım.
İngilizce wordpress kullanıyorsanız veya temanızda tarihler ingilizce olarak gösteriliyorsa üzülmeyin. Bu sorunu düzeltmek için “wp-includes” klasöründe bulunan “local.php” dosyası içerisindeki ingilizce Gün ve Ay adlarının türkçeleştirilmesi gerekiyor. Bu işlemi gerçekleştirmek için “local.php” dosyasını bir metin editörü ile açın. Buradan indirebileceğiniz ücretsiz bir editör olan notepad++ programını şiddetle tavsiye ederim. Dosya karakter kodlamasını utf-8 olarak ayarlayıp gerekli düzenlemeleri yaptıktan sonra bloğunuzdaki tarihlerin türkçe çıktığını görebilirsiniz.
WordPress sürümünüz benimki gibi ingilizce ise tarih ve saate ilişkin bazı ayarlamaları admin paneline girip Settings->General kısmından yapabilirsiniz. Aşağıdaki resimde tarihin Gün:Ay:Yıl ve saat formatının 24 saat olması için gerekli ayarlar görünmektedir.
WordPress 2.6.1 sürümünde güvenlik açığı tespit edildi. Açıktan üyelik kaydına açık olan bloglar etkileniyor. Açık sayesinde saldırgan admin yetkilerine sahip yeni bir kullanıcıyı sisteme ekleyebiliyor. WordPress 2.6.1 SQL Column Truncation Vulnerability
Eğer siteniz üyelik kaydına açık ise kapatmanızı veya sistemi wordpress 2.6.2 sürümüne yükseltmenizi şiddetle tavsiye ederim.
Saldırı şu şekilde gerçekleştiriliyor;
Lamer (Bu tarz açıkların çıkmasını bekleyip kullananlara hacker diyemeyiz) adres satırına üye kaydı linkini yazıyor.
http://kurban.com/wp-login.php?action=register
Üye kaydı sayfasına şu bilgileri giriyor.
login:admin x (55 adet boşluk karakteri var arada)
email:saldırganın kendi emaili
Saldırgan admin yazdıktan sonra 55 adet boşluk(space) karakteri giriyor ve x karakteri ile sonlandırıyor. Bu şekilde kayıt yapıldığında sistem user tablosuna ikinci bir admin hesabı ekliyor.
