Wordpress son versiyonun yayınlanmasının ardından kullanıcı yorumlarını ve bildirimler sonucunda 4.7.5 güvenlik ve bakım güncellemesini yayınladı.
4.7.4 sürümünde güncelleme gereği duyulan ve tespit edilen açıklar ise;
Dosya sistemi kimlik bilgisi iletişim kutusunda Cross Site Request Forgery (CRSF)
Site özelleştirme aracı ile ilgili olarak bir çapraz site komut dosyası (XSS)
Çok büyük dosyaların yüklenmesi sırasında cross-site scripting (XSS)
Bu güvenlik açıklarını kapatabilmek, güvenli kullanıma devam etmek için güncellemelerinizi hızlı bir şekilde yapmanızı tavsiye ederiz.
$ wpdb-> ready () adlı wordpress fonksiyonundan kaynaklı SQL injection adlı saldırıya yol açan beklenmedik sorgular gerçekleştirilebilir. Wordpress yapısı bu sorgudan doğrudan etkilenmez ama Tema ve Eklentilerin bu açıktan etkilenmemesi için bir sağlamlaştırma çalışması yapılmıştır.
OEmbed üzerine yapılan çalışmada, siteler arası komut oluşturma(XSS)’ya yarayan bir açık keşfedildi ve kapatıldı.
Görsel düzenleyici adlı Wordpress hizmetinde XSS(siteler arası komut oluşturma) güvenlik açığı tespit edildi ve kapatıldı.
Dosya Çıkartma/Parçalama(Unzipping) kodunda bir Yol Geçisi (Path Traversal) güvenlik açığı tespit edildi ve kapatıldı.
Eklenti düzenleyicisinde XSS(siteler arası komut çalıştırma) güvenlik açığı tespit edildi ve kapatıldı.
Kullanıcı ve terim düzenleme ekranlarında kullanıcı bazlı yönlendirme tespit edildi ve kapatıldı.
Özelleştiricide bir yol geçişi güvenlik açığı keşfedildi ve düzeltildi.
Şablon adlarında siteler arası komut dosyası çalıştırma(XSS) güvenlik açığı keşfedildi ve düzeltildi.
Bağlantı modelinde siteler arası komut dosyası çalıştırma(XSS) güvenlik açığı tespit edildi ve kapatıldı.
WordPress 4.8.2 ve önceki sürümleri, $ wpdb-> ready () fonksiyonunun beklenmedik bir güvenlik açığı ile sorgular oluşturarak olası SQLi(SQL Injection) saldırısına açık olması yüzünden yenilendi ve güçlendirildi.
Bu sürüm esc_sql() fonksiyonu için bir güçlendirme ve düzenleme içermektedir, çoğu kullanıcı bu sürüm değişikliğinden etkilenmeyecektir. Detaylı bilgi için geliştiricinin notlarını aşağıdan okuyabilirsiniz.
URL:
https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/
Wordpress 4.9.1 Sürümünde gelen güncelleme ile alt taraftaki kapatılan açıklar eski sürümlerde tavsiyeler ile kullanıcının tedbir alması gerektiği belirtilmiştir.
Uyarılar:
Belirli bir substring yerine ‘newbloguser’ anahtarı için oluşturulmuş benzersiz bir anahtar sözcük kullanın.
HTML öğelerinde kullanılan özniteliklerine(properties) kaçış(escaping) ekleyin.
Özelliklerin kapsayıcılarına doğru bir şekilde kaçış eklendiğinden ve RSS, Atom ile beslendiğinden emin olun.
Unfiltered_html özelliğine sahip olmayan kullanıcılar için ‘Javascript dosyası yükleme’ özelliğini kaldırın.
MediaElement 4.x ve üzeri sürümlerindeki Flash yedek dosyalarındaki bir XSS güvenlik açığı tespit edildi ve kaldırıldı.
Eski dosyaları silerken eğer ki dosya silme işlemi başarısız olursa dosyanın içini boşaltıp deneyiniz.
Gereksiz/ Kullanılmayan (Kullanımdan Kaldırılmış) MediaElement.js dosyalarını kaldırın.
SSL zorunluysa, oturum açma sayfasına geri yönlendirirken güvenli şekilde geri yönlendirme kullanın. ÖRN : ‘https://example.website.com’
Sürüm sözcüğünün oluşturucu etiketlerinde kullanım için doğru şekilde kaçış(escaping) yapıldığından emin olun.
Term sorguları için önbellekleme işlemini iyileştirin.
Oturum kapatılırken sağlanacak koşullarda posta şifresi çerezini temizleyin.
Widget Yönetici Ekranı’nda kenar çubukları açıklamalarında temel HTML etiketlerine izin verin.
Varsayılan gizlilik politikası içeriğinin, yönetici bağlamının dışında yeniden yazma kurallarını düzenlerken önemli bir hataya neden olmadığından emin olun.
Image Widget
İnsanların resim yüklemesini kolaylaştırmak için eklenen bir eklenti. Artık kod bilmenize gerek kalmadan yapılabilecek çok basit bir işlem. Widget ayarlarından girip resmi yükleyin ve resmi sürükleyip sitenin üstüne bırakın, olduğu gibi görünsün.
Video Widget
Bir hoş geldin videosu markanızı insanlara daha kurumsal göstermek için mükemmel bir yoldur.
Yeni Video Widget’ı ile bu artık çok kolay.
Sol SideBar’da bulunan Medya Kütüphanesine yüklediğiniz videoyu sürükleyip siteye bırakın.
Audio Widget
Sitenize ses dosyası eklemek hiç bu kadar kolay olmamıştı.
Yüklemek istediğiniz ses dosyasını Medya Kütüphanesine yükleyin. Ayarlara gidip ses dosyasını sitenize sürükleyip bırakın işte bu kadar.
Zengin İçerikli Metin Girdisi
Sitenize içerik girerken kullanacağınız İçerik girme aracı çok önemlidir. Özellikle de resim ve liste öğeleri kullanıyorsanız.
Artık Wordpress ile bu sistem çok kolay. Yeni Zengin İçerikli Metin girdisi ile içeriklerinizi istediğiniz şekil ve formatta siteye aktarabilirsiniz.
Versiyon 4.8 ile gelen Zengin İçerikli Metin Girdisi ile birlikte özel HTML Widget’ındaki değişikler ile daha görsel ve daha güvenilir bir yapı oluşturulmuştur.
$ wpdb-> ready() fonksiyonunun olası bir SQLi( SQL Injection) saldırısı durumunda oluşabilecek beklenmedik sorguların önüne geçildi.
Wordpress ana yapısı bu sorgudan etkilenmeyecek olsa da eklentiler ve Düzenleyiciler bu yapıdan etkilenebileceği için yapıya düzenlemeler ve güvenlik önlemleri getirilmiştir.
OEmbed araştırmasında siteler arası komut çalıştırma(XSS) olarak bilinen bir güvenlik açığının önüne geçilmiş ve sağlamlaştırma çalışmaları yapılmıştır.
Görsel düzenleyicide siteler arası komut çalıştırma(XSS) olarak bilinen bir güvenlik açığının önüne geçilmiş ve sağlamlaştırma çalışmaları yapılmıştır.
Dosya Parçalama/Arşivden Çıkartma(Unzipping) işlemi sırasında oluşabilecek bir güvenlik açığı fark edilmiş ve önüne geçilmiştir.
Eklenti düzenleyicisinde siteler arası komut çalıştırma olarak (XSS) bilinen bir güvenlik açığı tespit edilmiş olup önüne geçilmiştir ve sağlamlaştırma çalışmaları yapılmıştır.
Kullanıcı ve Term düzenleme arayüzlerinde bir açık yönlendirme keşfedilmiştir olası bir saldırının önüne geçilmiştir.
Şablon Adlarında siteler arası komut çalıştırma(XSS) olarak bilinen bir güvenlik açığı tespit edilmiştir ve açık kapatılmıştır.
Özelleştiricide bir yol geçişi(Path Traversal) keşfedilmiştir ve olası bir güven probleminin önüne geçilmiştir.
Bu sürüm bir bir esc_sql() davranış değişikliği içerir ancak geliştiriciler herhangi bir şekilde bu güncellemeden etkilenmeyecektir.
Belirli bir substring yerine ‘newbloguser’ anahtarı için oluşturulmuş benzersiz bir anahtar sözcük kullanın.
HTML öğelerinde kullanılan özniteliklerine(properties) kaçış(escaping) ekleyin.
Özelliklerin kapsayıcılarına doğru bir şekilde kaçış eklendiğinden ve RSS, Atom ile beslendiğinden emin olun.
Unfiltered_html özelliğine sahip olmayan kullanıcılar için ‘Javascript dosyası yükleme’ özelliğini kaldırın.
Site Tasarımı Özelleştirmelerini Taslak Olarak Kaydedin ve Planlayın
Evet doğru okudunuz sitenin tasarımını düzenleyip taslak olarak kaydettikten sonra düzenleme tarih ve saatini seçtiğinizde site tasarımınız o saat ve tarih içinde düzenlenip yayınlanacaktır.
Tasarım Önizleme Bağlantılarıyla İşbirliği Yapın
Önerilen site tasarım değişiklikleri ile ilgili geri bildirim mi almanız gerekiyor? Wordpress 4.9 size ekibimiz ve müşterilerinize gönderebileceğiniz bir önizleme bağlantısı sağlar, böylece ekibiniz ve müşterilerinizden geri bildirim alarak bu tasarımı yürürlüğe sürmeden önce değerlendirmeden geçirebilirsiniz.
Değişikliklerinizi Korumak için Tasarım Kitleme
Hiç iki tasarımcının bir projeye girdiği ve tasarımcı A’nın tasarımcı B’nin güzel değişikliklerini geçersiz kıldığı bir durum ile karşılaştınız mı? Wordpress 4.9 size ‘Tasarım Kilidi ’ özelliğini sunuyor. Eğer ki iki tasarımdan da sevdiğiniz bölümler ve değiştirmek istemediğiniz yerler var ise iki tasarımında belirli bölümlerini güvence altına alıp sitenizde tutmaya devam edebilirsiniz.
Çalışmanızı Korumak için bir Komut İstemi
Yeni taslak çalışmanızı kaydetmeyi unutup bilgisayardan mı kalktınız? Korkmayın Wordpress 4.9 sizi eski tasarımınıza devam etmek istiyor musunuz diye soracaktır.,
Wordpress Versiyon 5
Yeni Blok Editörü
Wordpress’teki düzenleme anlayışına bazı köklü değişiklikler geldi.
Yeni ‘BLOK’ tabanlı düzenleyici site genelinde geliştirilmiş bir düzenleme deneyimi ile heyecan verici yeni bir geleceğe doğru ilk adımdır.
İçeriğin nasıl görüneceğine dair daha esnek bir görüntü
Her türlü multimedya ile otomatik yerleşme özelliği
Her içeriğin parçası kendi bloğundadır, fare ve klavye aracılığı ile kolayca hareket ettirilebilir.
Varsayılan olarak daha birlikte tonlarca blok mevcuttur.
Bunlar: ‘Paragraf, başlık, önceden biçimlendirilmiş metin, alıntı, resim, galeri, kapak resmi, video, ses, iç içe bloklu sütunlar, dosyalar, kod’ ve daha fazlasıdır.
Yeni Varsayılan Tema : Twenty Nineteen
Yeni varsayılan tema ile birlikte yeni düzenleyicinin etkisini tamamıyla kullanın.
Temayı incelemek için alttaki uzantıya tıklayın.
URL : https://wordpress.org/themes/twentynineteen/
Wordpress Versiyon 5.1 Görsel ve Yazılımsal Düzenleme
Editör Hızı ve Görselliği
Versiyon 5.0 ile birlikte gelen Blok Editör üzerine yoğunlaşılan bu güncellemede gözle görülür bir performans ve görsel düzenleme birlikte görülmektedir.
Ayrıca bu sürüm site yöneticisi ve geliştiricileri için bazı temel araçlarla daha iyi, daha hızlı ve güvenilir bir Wordpress’in önünü açıyor.
Güvenlik ve Hızlılık
Güvenlik ve hız göz önünde bulundurularak bu sürüm Wordpress’in ilk site sağlığı(Site Health) özelliklerini sunar. Wordpress, Wordpress’i desteklemeyen bir programlama dili olan PHP’nin eski sürümlerini çalıştıran sitelerin yöneticilerine bildirim göndermektedir.
Bir eklenti yüklenecek olduğunda Wordpress bu eklentinin PHP sürümünü destekleyip desteklemediğini kontrol eder ve sağlıklı bir şekilde çalışıp çalışmayacağını size söyler.
Adını Jazz sanatçısı ‘Jaco Pastorius’ dan alan Wordpress 5.2 “Jaco” 7 Mayıs 2019’da halkın kullanımına sunuldu.
PHP Hata Koruması
Bu yönetici odaklı güncelleme, geliştiricinin zamanına ihtiyac duymadan önemli hataları güvenli bir şekilde düzeltmenize veya yönetmenize yardımcı olur.
“Beyaz Ölüm Ekranı” olarak adlandırılan hatanın veya hataya sebep olan eklentilerin temayı duraklatan kurtarma moduna girmenin bir yolunu sunar.
Herkes için Geliştirmeler
Erişilebilirlik Güncellemeleri
Ekran koruyucuları ve diğer yardımcı teknolojileri kullananlar için bağlamsal farkındalığı ve klavye gezinme akışını iyileştirmek için bir dizi değişiklik ile birlikte çalışır.
Yeni Dashboard Simgeleri
13 yeni simge arasında Instagram, Buddypress için bir simge paketi ve küresel katılım için döndürülmüş Earth simgeleri yer alıyor.
Bunları Kontrol Panelinde bulun ve biraz eğlenin.
Eklenti Uyumluluk Kontrolü
Wordpress artık sizin sitenize yüklediğiniz eklentilerin sizin sitenizin PHP sürümü ile eklentide kullanılan PHP sürümünü otomatik değerlendirip ona göre yükleyip yüklemeyeceğine karar verecektir.
Wordpress 5.3 bir diğer adıyla Wordpress “Kirk”, 12 Kasım 2019 tarihinde halka açık bir şekilde kullanıma açılmıştır.
Genişletilmiş Tasarım Estetiği
Wordpress 5.3 beraberinde tasarım için güçlü araçlar ve birlikte görüşe açılmıştır.
Yeni Grup Bloğu, sayfanızı renkli bölümlere iç içe bir şekilde kolayca ayırmanıza kolaylık sağlar.
Sütun bloğu artık sabit sütun genişliklerini destekliyor, önceden tanımlanmış düzenler sayfayı düzenlemeyi kolay hale getiriyor.
Wordpress Versiyon 5.4 diğer bir söyleyişle Wordpress “Adderley”, 31 Mart 2020’de halka açık bir şekilde kullanıma açılmıştır.
2 yeni blok türü ve genel olarak daha kullanışlı bloklar
İki yeni blok: Sosyal Simgeler ve Yeni özellikler eklemeyi çok kolay bir hale getirir.
Yeni Renkler Düzenleri
Grup ve sütun bloklarında renk seçimi ve Zengin metin düzenleyicide renk seçimi daha kolay hale gelmiştir.
Parola sıfırlama anahtarlarının düzensiz bi şekilde geçersiz kılındığı bir güvenlik açığı düzeltildi ve sağlamlaştırıldı
Bazı özel gönderilerin güvenlik sorgusu olmaksızın görüntülendiği bir güvenlik açığı bulundu ve düzeltildi.
Arama bloğunda bir sayfadan sayfaya komut çalıştırma(XSS) güvenlik açığı düzeltildi ve sağlamlaştırıldı.
Düşük rütbeli kullanıcıların sayfalara Javascript kod blokları ekleyebildiği bir XSS güvenlik açığı bulundu ve kapatıldı.
Dosya yükleme iznine sahip kullanıcıların kimliği doğrulanmamış olsa bile XSS yöntemi ile Javascript kod blokları ekleyebilmesini sağlayan bir güvenlik açığı düzeltildi.
Güvenlik sorununa yol açan wp_validate_redirect() adlı fonksiyonun içindeki bazı açıklar kapatıldı ve daha güvenilir bi hale getirildi.
Wordpress 5.5 bir diğer adıyla “Eckstine” halka açık bir şekilde yayıma alındı.
Hız Güncellemesi
Görseller sitenize çok güzel bir görünüm katar fakat hız bakımından sitenizde çok büyük düşüşlere sebep olabilirler.
Wordpress’in 5.5 ile gelen yeni özelliği “LazyLoad” ile siteniz görünür biçimdeyken fotoğrafların ardından gelmesine imkan sağlayabilir.
Üstelik bu özellik büyük miktarda veri tasarrufuna yardımcı olur.
Arama Güncellemesi
Yeni site haritanıza merhaba deyin.
Wordpress oluşturduğu site haritası sayesinde sizi aramalarda en üst sıralara çıkartmaya yardımcıdır.
Otomatik Güncelleme
Artık eklentileri güncellemeden sonra eliniz ile güncellemek zorunda değilsiniz. Wordpress sürümünü güncellediğinizde eklentiler de beraberinde güncellenebilecek hale geliyor.
Bu güvenlik güncellemesi geride kalan bilgileri ve güvenlik açıklarını kaldırmakla ilişkilidir.
Hızlı ve Toplu Düzenleme butonundaki çalışmamasına neden olan hata giderildi
Yorumlar yanıt verilirken güncellenmemesine neden olan hata giderildi
Editörde çevrilebilir blokların takılıp hareket etmemesine neden olan bir hata düzenlendi.
Kullanıcıların silinmesi doğrultusunda bilgilerin hala sitede kalmasına neden olan hata giderildi.
Bazı blok kullanımlarında renk sorununa yol açan hata giderildi.
Yorum Bildirin