WPvivid Backup & Migration Kritik Açık (CVE-2026-1357): Etkileniyor musunuz? (2026)

Yazan /

Şubat 2026’da WPvivid Backup & Migration eklentisinde kritik (CVSS 9.8) bir açık (CVE-2026-1357) raporlandı. Açık; belirli koşullarda kimlik doğrulama olmadan dosya yükleme üzerinden site ele geçirilmeye kadar gidebilen bir riske dönüşebiliyor.

İyi haber: Açık 0.9.124 sürümünde yamalanmış durumda.

Hızlı Özet (1 dakikada aksiyon)

  • WPvivid sürümün 0.9.123 veya altıysa risk var.
  • Özellikle “başka siteden yedek alma / receive backup” için anahtar oluşturduysan risk artıyor (özellik varsayılan kapalı).
  • Çözüm: WPvivid’i 0.9.124’e (veya daha yeniye) güncelle ve gerekmiyorsa “receive backup” anahtarını kapat/sil.

1) Etkileniyor musunuz? (Kontrol)

Yöntem A — WordPress panelden

  1. Eklentiler → Yüklü Eklentiler
  2. WPvivid Backup & Migration” satırında sürümü kontrol et.

Eğer sürüm ≤ 0.9.123 ise: güncelleme zorunlu.

Yöntem B — WP-CLI (varsa)

wp plugin list | grep wpvivid

2) Ne yapmalıyım? (En güvenli düzeltme sırası)

Adım 1 — Hemen güncelle

  • WP Admin → Gösterge Paneli → Güncellemeler
  • WPvivid’i en güncel sürüme yükselt.

Wordfence, yamanın 0.9.124 sürümünde yayınlandığını net şekilde belirtiyor.

Adım 2 — “Receive backup from another site” özelliğini kullanmıyorsan kapat

Bu açık, kritik olarak özellikle başka siteden yedek alma için anahtar oluşturulmuşsa önem kazanıyor ve anahtar süresi en fazla 24 saat olabiliyor.
Bu yüzden:

  • Bu özelliği kullanmıyorsan: anahtarı iptal et / yeniden oluşturma
  • Kullanıyorsan: yalnızca ihtiyaç anında aç, iş bitince kapat.

Adım 3 — Hızlı güvenlik kontrolleri (önerilen)

  • Yönetici şifreni değiştir, 2FA aç (özellikle şüphe varsa)
  • Site dosyalarında son günlerde şüpheli .php dosyası var mı kontrol et
  • Güvenlik eklentisi kullanıyorsan tarama başlat

Not: Wordfence, Premium kullanıcıların belirli tarihte firewall kuralı aldığını; free sürümün gecikmeli aldığını yazıyor. Güncelleme yine de şart.

3) Sitenin saldırı alıp almadığını nasıl anlarım?

Kesin kanıt için log gerekir ama pratik belirtiler:

  • wp-content/uploads/ içinde “alakasız” php dosyaları
  • Admin kullanıcılarının artması / tanımadığın kullanıcı
  • Siteye beklenmedik yönlendirmeler, reklam enjekte edilmesi

Şüphe varsa:

  • Yedekten geri dön + parolaları değiştir + eklentileri güncelle + WAF kurallarını sıkılaştır.

Sık Sorulan Sorular

Bu açık herkesi etkiliyor mu?
Kritik etki özellikle “başka siteden yedek alma” için anahtar oluşturulmuşsa öne çıkıyor; özellik varsayılan kapalı.

Hangi sürüm güvenli?
Wordfence’e göre 0.9.124 sürümü yamalı sürüm.

Güncelledim, başka bir şey yapmalı mıyım?
Güncelledikten sonra “receive backup” özelliğini gereksizse kapalı tutmak + temel güvenlik kontrolleri yapmak iyi olur.

Kaynaklar

  • Wordfence teknik duyuru ve yamalı sürüm bilgisi (0.9.124)
  • Olayın genel özeti ve risk detayları (CVE-2026-1357, CVSS 9.8)

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top