Web Siteleri Nasıl Hacklenir?

Bir WordPress web sitesi sahibi olarak, operasyonlarınızı bilgisayar korsanlığı ve kötü niyetli saldırılardan korumada güvenliğin büyük bir rol oynadığını zaten biliyorsunuz. Ancak web siteleri tam olarak nasıl saldırıya uğrar? Bilgisayar korsanlarının saldırılarıyla WordPress sitelerini çökertme girişiminde bulunma ve genellikle başarılı olma süreci nedir?

Web, son birkaç on yılda sıçramalar ve sınırlarla büyümesine rağmen, web sitelerinin kötü aktörler tarafından nasıl saldırıya uğradığı konusunda pek bir şey değişmedi. Ve sitenizi ve ziyaretçilerinizi güvende tutmak için yapmanız gereken en önemli şey, bu değişmeyen güvenlerin ne olduğunu tam olarak anlamaktır, böylece onlardan bir adım önde olabilirsiniz.

Bu kapsamlı kılavuzda, web sitelerinin tam olarak nasıl saldırıya uğradığını, sitenizin saldırıya uğradığını gösteren işaretlerin neler olduğunu ve çok daha fazlasını size göstereceğiz. Hadi bir bakalım.

Saldırıya Uğrayan Web Sitelerinin Devasa Ölçeği

1,2 milyardan fazla (B ile) web sitesi artık World Wide Web'in bugünün sürümünü oluşturmaktadır. Ortalama 3 saniyelik bir web sitesi yükleme süresi olduğunu varsayarsanız, var olan her siteyi bir saniye bile dinlenmeden ziyaret etmeniz 160 yıldan fazla sürer.

Bu, herhangi bir varlığın güvenli bir şekilde izlemesi tamamen imkansız olan delicesine büyük bir ağdır. Google'ın Güvenli Tarama gibi hizmetler, kullanıcılarını güvenli olmayan siteler hakkında uyarmaya çalışsa da. Şu anda, kullanıcılara her gün 3 milyondan fazla bu uyarı veriyor.

Ve bu, Los Angeles ve NYC'nin toplam nüfusunun büyüklüğüyle ilgili.

Basitçe söylemek gerekirse, web siteleri kötü niyetli insanlar için her zaman büyük hedefler olacaktır. Ve herhangi bir saldırının genel etkisi, işletmeniz için yıkıcı olacaktır.

Ama iyi haberler var.

Dışarıda zararlı ve kalıcı büyük bir tehdit olmasına rağmen, doğru araçların kullanımıyla birlikte bizim hakkımızda farkındalığımız, sitelerimizin saldırılara karşı güvende kalmasını sağlamak için uzun bir yol kat edecektir.

Web Siteleri Nasıl Hacklenir? 3 Temel Yol

İnternetin son otuz yılı boyunca, bilgisayar korsanlarının neredeyse her zaman üç farklı kategoriye girdiğini görüyoruz:

1. Giriş kontrolu
2. Yazılım açıkları
3. Üçüncü taraf entegrasyonları

Gerçek şu ki, Fortune 500 için bir site veya yerel ayakkabı mağazanız için bir site yönetiyor olmanız önemli değil, bilgisayar korsanlarının zanaatlarına yaklaşma şekli neredeyse aynı görünecek.

Ancak değişen şey, her işletmenin bireysel olarak ilk etapta kendisinin sömürülmesine nasıl izin verdiğidir.

• Büyük kuruluşlar genellikle "Güvenliği başka birinin idare ettiğini düşündük" bahanesini kullanırlar. Bu tür sis ve yanlış iletişim, büyük, karmaşık kuruluşlarda yaygındır.
• Küçük işletmeler genellikle, herhangi bir bilgisayar korsanının hedeflemek isteyemeyeceği kadar küçük olduklarına inanırlar. Genellikle bilgisayar korsanlarının onlara dokunmayacağı yanlış varsayımı altındalar. Bu, en küçük web sitesinden bile ne kadar özel bilginin gerçekten alınabileceğini gözden kaçırmayı kolaylaştırır.

Her iki durumda da, bilgisayar korsanları, güvenlik konusunda fazla dikkatli olunmayan alanlarda hedeflerini gerçekleştirmek için teşviklere ve araçlara sahiptir.

Web Sitesi Ortamlarının Çok Fazla Etkinliği Vardır

Her hack türünün özelliklerine dalmadan önce, ilk olarak web'in gerçekte nasıl çalıştığına dair inanılmaz derecede önemli bir temel oluşturalım.

Her web sitesi, birbirine bağlı ve birlikte çalışan bir dizi sisteme dayanır. DNS (Alan Adı Sunucuları), web sunucusu ve çeşitli sunucularınızı barındıran ve onları İnternet'e bağlayan altyapı gibi bileşenler vardır.

Bu nispeten basit görünse bile, altta yatan ekosistem oldukça karmaşıktır.

Bireysel bileşenlerin çoğu, özel hizmet sağlayıcılar tarafından sağlanmaktadır. Tek bir hizmet sağlayıcıdan çok sayıda farklı hizmet alıyor olsanız bile, denklemin kendi başına işleyen sayısız benzersiz parçası vardır.

Web sitenizi modern bir tüketici aracı gibi düşünün. Dışarıdan sağlam ve modern görünüyor, ancak altında her şeyi çalıştıran sayısız hareketli parça var.

Bu kılavuzun amaçları doğrultusunda, sitenizin nasıl çalıştığıyla ilgili tüm ayrıntıları anlamanız önemli değildir. Ancak bu bileşenlerin her birinin genel WordPress site güvenliğinizi etkileyeceğini bilmek önemlidir.

Ve her birinin sitenizin saldırıya uğramasına katkıda bulunma potansiyeli var.

1. Erişim Kontrolü

Bu, özellikle yetkilendirme ve kimlik doğrulama sürecinden bahseder. Basitçe ifade etmek gerekirse, erişim kontrolü, WordPress web sitenize nasıl giriş yaptığınızdır.

Ve bu, web sitenizin yönetici panelinde oturum açma şeklinizin ötesine geçer. Daha önce de belirttiğimiz gibi, sitenizin perde arkasında birlikte çalışan birbirine bağlı birçok farklı oturum açma vardır.

Erişim kontrolünü düşünürken, göz önünde bulundurmanız gereken altı özel alan vardır.

Nasılsın:

• Ana bilgisayar panelinizde oturum açılsın mı?
• Sunucuda oturum açılsın mı (SSH, SFTP, FTP)?
• Web sitenize giriş yapın?
• Kişisel bilgisayarınıza giriş yapın?
• Sosyal medya platformlarına giriş yap?
• Bu değişkenlerin her biri için kullanıcı adınızı ve şifrenizi saklamak ister misiniz?

Erişim kontrolünü gözden kaçırmak çok kolaydır. Bununla birlikte, her bir erişim noktası, bilgisayar korsanlarının tüm ekosisteminize erişmesini sağlayabilir.

Bir bilgisayar korsanı, tek bir güvenli olmayan oturum açma noktasına erişmek için bir dizi farklı taktik de kullanacaktır. Bunu, her olası girişi kontrol eden bir ev hırsızı gibi düşünün, ardından ev şifrenizin veya anahtarlarınızın kopyalarını gizlice sokun (veya sizi kandırarak).

• Brute force saldırıları , elde edilmesi en kolay ve en etkili yol olabilir. Brute force saldırısında, bilgisayar korsanı, güvenilir bir site kullanıcısı olarak oturum açmak için olası kullanıcı adı ve parola kombinasyonlarını tahmin etmeye çalışır.
• Sosyal mühendislik saldırılarının popülaritesi artıyor. Bir bilgisayar korsanı, bir kullanıcıyı gönüllü olarak kimlik ve şifre kombinasyonunu girmesi için kandırmak için tasarlanmış kimlik avı sayfaları oluşturur.
• Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Siteler Arası İstek Sahteciliği (CSRF) saldırıları , kullanıcının tarayıcısı aracılığıyla kullanıcının oturum açma kimlik bilgilerini ele geçirmeyi içerir.
• Ortadaki Adam (MITM) saldırıları da kullanılıyor. Bununla, bir kullanıcı tamamen güvenli olmayan ağlarda çalıştığında, bir kullanıcının kullanıcı adı ve şifresi kolayca ele geçirilir.
• Kullanıcıları izleyen keylogger'lar ve ek kötü amaçlı yazılımlar, girdileri izleyecek ve ardından bunları kullanıcıya bulaşan bilgisayar korsanına geri bildirecektir.

Ancak ne tür bir saldırı yapılırsa yapılsın, bilgisayar korsanının hedefi her zaman aynıdır: Güvenilir oturum açmalar aracılığıyla sitenize doğrudan erişim elde edin.

Saldırı tarzı ne olursa olsun, amaç aynıdır: Oturum açma yoluyla doğrudan erişim elde edin.

iThemes Security eklentisi, kullanıcınızın güvenliği için daha fazla koruma sağlar. Sitenizin güvenliği, kullanıcılarınızın güçlü parolalarla güvenli oturum açmalarına bağlıdır. Bu nedenle iThemes Security, iki faktörlü kimlik doğrulama, oturum ele geçirme korumalı güvenilir cihazlar, bir kullanıcının kimliğini doğrulamak için parolasız oturum açma ve ihlal edilmiş parola koruması dahil olmak üzere kullanıcılar için birden fazla güvenlik katmanı sunar. Kullanıcınızın güvenliğinin en kritik öğelerini hızla denetlemek ve değiştirmek için kullanıcı güvenlik kontrollerini bile çalıştırabilirsiniz.

iThemes Security'nin eklediği bir sonraki güvenlik katmanı, web sitenizin en çok saldırıya uğrayan kısmı olan WordPress giriş ekranı için korumadır. iThemes Security, web sitenize yapılan geçersiz oturum açma girişimlerini izlemek için iki tür kaba kuvvet koruması sunar. Bir kullanıcı veya bot art arda çok sayıda geçersiz oturum açma girişiminde bulunduğunda, kilitlenirler ve belirli bir süre boyunca daha fazla deneme yapmaları engellenir.

2. Yazılım Açıkları

Gerçekte, WordPress web sitesi sahiplerinin büyük çoğunluğu, yazılım geliştiricisi tarafından kendilerine önerilen bir yama olmadan günümüz yazılımlarındaki güvenlik açıklarını gideremez. Sorun şu ki, birçok geliştirici, yazdıkları kodun sitenize getirdiği tehditleri hesaba katmıyor.

Amaçlanan UX'i (kullanıcı deneyimi) belirgin şekilde etkilemeyen küçük bir hata, yazılımın amaçlamadığı şeyleri yapmasını sağlamak için kullanılabilir. Ve en deneyimli bilgisayar korsanları bu hataları potansiyel güvenlik açıkları olarak görür.

Bunu yapmanın en yaygın yollarından biri, bir dizi farklı saldırı başlatmak için hatalı biçimlendirilmiş bir POST Başlığı veya hatalı biçimlendirilmiş Tekdüzen Kaynak Bulucu (URL) kullanmaktır.

Bunlar şunları içerir:

• Hedeflenen site ve sistemin tamamen uzaktan ele geçirilmesine izin veren Uzaktan Kod Yürütme (RCE)
• Kötü amaçlı dosyaları bir sisteme yüklemek için alanlarda kullanıcı tarafından sağlanan girdiyi kullanan Uzak / Yerel Dosya Ekleme (R/LFI)
• Sunucuya saldırı dizileri gönderen kötü amaçlı kodla metin giriş alanlarını yöneten SQL Enjeksiyonu (SQLi)

Varlık kontrolüne benzer şekilde, yazılımdaki güvenlik açıkları web sitesinin kapsamının ötesine geçer. Bu güvenlik açıkları, bir web sitesinin güvendiği birbirine bağlı her teknolojide bulunabilir ve bunlardan yararlanılabilir.

Ve mevcut sitelerin çoğu, tümü olası saldırı izinsiz giriş noktaları olan WordPress eklentileri ve temaları gibi üçüncü taraf uzantıların bir karışımını kullanır.

Güvenlik açığı bulunan eklentiler, temalar ve WordPress çekirdek sürümleri web sitenizin en büyük güvenlik riski olduğundan, iThemes Security web sitenizi taramaya başlar. iThemes Security Site Scan ile sitenizdeki bir eklentinin, temanın veya WordPress çekirdek sürümünün ne zaman savunmasız olduğunu ve güncellenmesi gerektiğini bileceksiniz. Ve daha da iyisi… sizin için güncellemeleri otomatik olarak çalıştırır. Site Scan, mevcut en kapsamlı güvenlik açığı veritabanı tarafından desteklenmektedir, bu nedenle her zaman en son korumaya sahip olursunuz. Site Scan, sitenizin engellenenler listesi durumunu ve bilinen herhangi bir kötü amaçlı yazılım veya şüpheli dosya olup olmadığını kontrol etmek için Google Güvenli Tarama ile de entegre olur.

iThemes Security'nin Site Taraması sitenizi korumak için şu şekilde çalışır:

• Güvenlik Açıkları İçin Web Sitenizi Günde İki Kez Tarar – Web sitenizin eklentileri, temaları ve WordPress çekirdek sürümleri, en son güvenlik açığı açıklamaları için WPScan Güvenlik Açığı Veritabanına göre kontrol edilir.
• Bir Güvenlik Düzeltmesi Varsa Otomatik Olarak Güncellenir - Sürüm Yönetimi ile eşleştirildiğinde, iThemes Security bir eklentiyi, temayı veya bir güvenlik açığı varsa WordPress çekirdek sürümünü otomatik olarak günceller.
• E-postalar Site Taraması Bir Güvenlik Açığı Algılarsa Size - Sitenizde bir eklenti, tema veya WordPress çekirdeğinin güvenlik açığı bulunan sürümlerini çalıştırıyorsa bir e-posta raporu alabilirsiniz. Tarama sonuçlarını alan e-posta adreslerini özelleştirin.

3. Üçüncü Taraf Hizmetleri ve Entegrasyonları

Son olarak, üçüncü taraf hizmetler ve entegrasyonlar aracılığıyla gerçekleşen istismarlar vardır.

Çoğu zaman bunlar, kötü amaçlı reklam saldırılarına yol açan bir reklam ağı aracılığıyla reklam biçimini alacaktır.

Bu hack'ler, CDN'niz (İçerik Dağıtım Ağı) gibi değişkenler de dahil olmak üzere siteniz ve barındırma ile kullandığınız hizmetleri içerecektir.

Üçüncü taraf entegrasyonları ve hizmetleri, site yönetimi deneyiminizin farklı bölümleri arasında yeterli ara bağlantı sağlar. Aslında bu, WordPress, Drupal ve Joomla gibi genişletilebilir içerik yönetim sistemi seçenekleri hakkında insanların sevdiği bir şey.

Ancak birbirine bağlılık, bilgisayar korsanlarının yararlanabileceği noktalar da sağlar.

En büyük sorunlardan biri, bilgisayar korsanlarının bu hizmetlerden ve entegrasyonlardan, bir web sitesi sahibinin bunları kontrol etme yeteneğinin ötesinde nasıl yararlandığıdır. Bir site oluşturucu veya yönetici olarak, entegrasyonlarından birini kullanmayı seçtiğinizde üçüncü taraf sağlayıcılara çok güvenmiş olursunuz.

Ve elbette, birçoğu entegrasyonlarını güvence altına almak konusunda gayretli.

Ancak diğer şeylerde olduğu gibi, doğal bir risk var. Ve bilgisayar korsanlarının her zaman gözlerinin üzerinde olduğu bir şey.

iThemes Security'nin üçüncü taraf erişimini korumak için çalıştığı yollardan biri, XML-RPC ve REST API için güvenli uygulama şifreleridir. Bu güncelleme, REST API istekleri için kullanıcı adı/şifre kimlik doğrulamasının kullanılmasına izin verir; böylece, REST API'yi (önerimize göre) kilitlerken, REST API'sini kullanan harici araçların bağlanmasına izin vermeye devam edebilirsiniz.

Web Sitenizi Hacklenmekten Korumak

WordPress web sitesi güvenliği önemlidir. WordPress web sitesi güvenliğinin büyük bir kısmı eğitim ve farkındalıktır. Ve sadece bu kılavuzu okumak, sitenizi güvence altına almak için sizi daha iyi bir konuma getirdi.

İlerlemek için atmanız gereken belirli adımlar var. Ve hedefimiz, onlara ulaşmanıza yardımcı olmaktır. Ne yazık ki, ancak bir şeyler zaten ters gittikten sonra bu kadar çok web sitesi sahibi sonunda güvenlik konusunda ciddileşiyor.

Bunun yerine, neden acının önüne geçmiyorsunuz ve sizi bundan uzak tutmak için şu adımları atmıyorsunuz:

1. Derinlemesine Savunma ilkelerini kullanın. Bu, soğan gibi güvenlik katmanları oluşturmayı içerir. Her uygulama, bilgisayar korsanlarının ekosisteminize bir şans vermesini zorlaştırır.
2. En Az Ayrıcalıklı en iyi uygulamadan yararlanın. Her site kullanıcısının oturum açmasına izin verdiği şeyi sınırladığınızdan emin olun.
3. Mümkün olan her yerde İki Faktörlü Kimlik Doğrulama ve Çok Faktörlü Kimlik Doğrulama oluşturun. Bu, belirli kullanıcı erişim noktalarını daha da güvenli hale getirecektir.
4. Bir web sitesi güvenlik duvarı kullanın. Bu, bilgisayar korsanlarının yazılımdaki güvenlik açıklarından nasıl yararlanmaya çalıştıklarını sınırlamada harikalar yaratacaktır.
5. Yedeklemeleri düzenli olarak planlayın. Bunun için çözümünüz olarak BackupBuddy WordPress yedekleme eklentisini indirin ve kurun. Bu şekilde, siteniz saldırıya uğrarsa, birkaç tıklamayla kurtarabilirsiniz.
6. Büyük arama motorlarının bakış açısını edinin. Bing Web Yöneticisi Araçları ve Google Arama Konsolu, sitenizin güvenliğini nasıl görüntüledikleri hakkında faydalı raporlar sağlar.

Bir WordPress site sahibi olarak bu güvenlik temellerini korumanın en iyi yolu, iThemes Security Pro eklentisini kullanmaktır.

O zaman her zaman %100 güvende kalmanın kusursuz bir yolu olmadığını anlayın. Web sitesi ortamınızda kullandığınız araçlar, genel riskinizi önemli ölçüde azaltacaktır. Ancak güvenlik tek bir eylem veya olay değildir. Bu bir dizi eylem.

Ve her şey, sitenizi en iyi şekilde nasıl koruyacağınız konusunda size yol gösterecek iThemes Security Pro gibi harika bir araçla başlar.

Artık ne yapacağınızı ve ne aradığınızı bildiğinize göre, bu kılavuzda ele aldığımız güvenlik senaryolarından biriyle karşılaşacağınızdan şüpheniz olmasın. Ancak şimdi, sorunu çözmek için ne yapacağınızı daha iyi bileceksiniz.

WordPress'i Güvence Altına Almak ve Korumak için En İyi WordPress Güvenlik Eklentisi

WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğindeki varsayımları ortadan kaldırır. Bu, WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.

iThemes Security Pro'yu edinin

Kristen Wright

Kristen, 2011'den beri WordPress kullanıcılarına yardımcı olmak için eğitimler yazıyor. iThemes'te pazarlama direktörü olarak, etkili WordPress web siteleri oluşturmanın, yönetmenin ve sürdürmenin en iyi yollarını bulmanıza yardımcı olmaya kendini adamıştır. Kristen ayrıca günlük tutmaktan (yan projesi The Transformation Year'a göz atın!), yürüyüş yapmaktan ve kamp yapmaktan, step aerobik yapmaktan, yemek pişirmekten ve daha güncel bir hayat yaşamayı umarak ailesiyle birlikte günlük maceralardan hoşlanıyor.