WordPress Web Siteniz Güvenli mi? WordPress Web Siteleri Savunmasız mı?

Yirmi ya da otuz yıl önce, soygun, birinin parasını veya değerli eşyalarını çalmak ve içeri girmekle sınırlıydı. Günümüzün yaramazları ve soyguncuları, bilgisayar korsanları şeklini alırlar. Kişisel kazanç veya siyasi nedenlerle yazılımdaki güvenlik açıklarını bulan ve bunlardan yararlanan herkes.

Başlamadan önce, bu makalenin WP güvenliğinin temel ayrıntılarına girmediğini, bunun yerine WordPress güvenlik açıklarının nedenlerini tartıştığını bilmelisiniz. Aradığınız bu değilse, okumanızı öneririm – “WordPress Güvenliğini Artırma – WordPress Sitelerini Güvence Altına Almak İçin Eksiksiz Bir Kılavuz“. Bununla birlikte, geçmişte WP güvenlik açıklarının doğasını anlamanın, web sitenizin güvenlik protokollerinden nasıl emin olabileceğiniz konusunda büyük fikir verdiğini belirtmeliyim.

İnsanlar neden web sitelerine ve veri merkezlerine giriyor? Müşteri bilgilerini, e-posta kimliklerini, kredi kartı numaralarını vb. içeren web sitelerine girmek, banka soymaktan daha karlı. Oldukça başarılı bir web sitesi işletiyorsanız, web sitenizin bilgilerine erişmek için yüzlerce, hatta binlerce girişimde bulunulduğundan eminim.

En son AshleyMadison.com hacklendi ve 37 milyon kullanıcının bilgileri çalındı. Bilgisayar korsanları, web sitesinin kapatılmasını talep ettiler, aksi takdirde çalınan kullanıcının cinsel fanteziler de dahil olmak üzere bilgilerinin ayrıntılarını yayınlayacaklar. Bu size bir bilgisayar korsanının yalnızca bilgiye erişim sağlayarak neden olabileceği yıkımın tadına varmanızı sağlar.

Web güvenliği çok önemli bir konudur ve kullanıcılarının kişisel bilgilerini toplamak için açılan web sitelerinin sayısı göz önüne alındığında giderek daha alakalı hale gelmektedir.

Web'in %65 kadarı İçerik Yönetim Sistemi olarak WordPress ile çalışır, bu nedenle bugün WordPress güvenliğini ve geçmişte WP sitelerinin nasıl hedeflendiğini veya saldırıya uğradığını tartışacağım.

Neden İyi Güvenlik Uygulamalarına Yatırım Yapmalısınız?

• Müşterilerinize ve size güvenen müşterilerinize, hassas kişisel bilgilerini güvende tutmasını borçlusunuz.
• Siteniz saldırıya uğrar – Para kaybedersiniz.
• Siteniz saldırıya uğrar – Arama motoru sıralamalarınız cehenneme neredeyse tek yönlü bir yolculuk yapar.

WordPress web siteleri yüzbinlerce olmasa da binlerce kişi tarafından saldırıya uğradı. Her web sitesi geçmişte saldırıya uğradıklarını bildirmez. Tahmin edebileceğiniz gibi markaları için büyük bir destek değil.

WordPress güvenliğiyle ilgili bu makalenin gerekliliğine biraz ışık tutmak istiyorum.

Sandro Gucci (Enable Security'nin Kurucusu) tarafından paylaşılan bir araştırmaya göre.

• En popüler WordPress kurulumlarının %73,2'si, ücretsiz otomatik araçlar kullanılarak tespit edilebilen güvenlik açıklarına karşı savunmasızdır.
• Yalnızca 7.814 web sitesi (%18.55) WordPress 3.6.1'e yükseltildi; bu, test yapıldığında WP'nin en son sürümüydü.
• 13.034 web sitesi (%30.95) hala WordPress'in savunmasız bir sürümünü, sürüm 3.6'yı çalıştırıyordu. WordPress 3.6, o sırada bilinen 5 güvenlik açığına sahipti.

Ve eğer merak ediyorsanız, bu sadece karanlık ağda bir yerde küçük bilinmeyen web sitelerinin haksız bir genelleştirilmiş karakterizasyonu, yanılıyorsunuz. İstatistikler, Alexa'nın En İyi Bir Milyon web sitesinde yaklaşık 42.000 WordPress web sitesi üzerinde yapılan bir araştırmaya dayalı olarak üretildi. Bu, sözde web'de en çok ziyaret edilen web siteleri için çok sayıda savunmasız web sitesidir. Bu web siteleri, ziyaretçileri ve aboneleri hakkında çok miktarda bilgi toplar.

İstatistikler Eylül 2013'teki gibi doğruydu, o zamandan beri çok fazla sapma olacağını düşünmüyorum ve olsa bile, burada görüntülenen istatistikler WordPress'i rahatsız eden güvenlik sorunlarının ölçeğini gösteriyor.

WordPress'in tehlikeye atılabileceğini kanıtlayan daha fazla kanıt istiyorsanız. Sizi Netcraft'ın bir çalışmasına yönlendiriyorum,

• Şubat 2014'te, kimlik avı siteleri için platform görevi gören 12.000 WordPress blogu vardı.
• Netcraft tarafından web'de barındırılan kötü amaçlı yazılımları dağıtmak için engellenen tüm kötü amaçlı yazılım URL'lerinin %8'inden fazlası WordPress bloglarıydı.

Bu bloglardan birinin Automattic wordpress.com'da yayınlanmadığını belirtmeliyim. Bu, WordPress'in bile dikkatli kullanılmadığı ve WP güvenliği hakkında biraz bilgi sahibi olunmadığı takdirde savunmasız olabileceğini açıkça göstermelidir. Bunun bir başka nedeni de wordpress.com'da barındırılan tüm blogların neredeyse WordPress güncellemeleri yayınlanır yayınlanmaz güncellenmesiyle ilgili olabilir. O zamandan beri, web sitelerini sıfır gün istismarlarına karşı korumak için WP sürüm 3.7'de otomatik WordPress güncellemelerinin tanıtıldığına dikkat edilmelidir.

Ve bundan sonra bile, WordPress'i rahatsız eden bir dizi güvenlik sorunu oldu. Platformun farklı sürümlerinde bu WordPress güvenlik açıkları listesine göz atın.

Artık bunun olmasını önlemek için yapabileceğiniz hiçbir şey yok, neredeyse her zaman yeni güvenlik açıkları keşfedilecek. Açıkçası, çekirdek WP ekibi güvenliği çok ciddiye aldı ve WordPress'i çok daha güvenli hale getirdi.

Ancak diğer tüm popüler yazılımlarda olduğu gibi, güvenlik açıklarından yararlanmak, daha fazla insan bunları kullanmaya başladığında daha karlı hale gelir.

Bana güvenmiyor musun? WordPress'in bir anda tüm güvenlik açıklarından kurtulacağına inanıyorsanız, bu grafiğe göz atın!

Güvenlik açıklarının sayısı 2007 ve 2014'teki en yüksek seviyelerinden zaman içinde azalırken, WordPress'in artan popülaritesi nedeniyle artan kârlılık göz önüne alındığında, yeni güvenlik açıklarını keşfetme ve istismar etme teşviki sonsuza kadar artıyor.

WordPress kutudan çıkar çıkmaz güvenli olabilir, ancak bu kadar çok eklenti/tema ve özel kod ekledikten sonra güvenlik açıklarının sayısı büyük bir hızla artmaya başlar.

Bununla birlikte, WordPress'inizi çok daha güvenli hale getirmek için küçük değişiklikler yapabiliriz. Öncelikle WordPress güvenliğini tam olarak anlamamız gerekir, bu güvenlikteki başarısızlığın nedenlerini bulmada çok yardımcı olur.

Bir güvenlik ihlali durumunda WP çekirdek platformunun çok nadiren hatalı olduğunu öğrenince şaşırabilirsiniz. WP'nize eklediğiniz bir şeyin bilgisayar korsanlarının yararlanabileceği bir güvenlik açığı oluşturması çok daha olasıdır.

WordPress Siteleri Nasıl Tehlikede?

Tam güvenliği sağlamanın zorluğu, böyle bir şeyin olmamasıdır.

WordPress'inizin tamamen güvenli olduğunu varsayarsak, hala Apache, FTP istemciniz, MySQL ve sunucunuzda çalışan ve endişelenmeniz gereken herhangi bir yazılıma sahipsiniz. Web siteniz ancak en zayıf halkası kadar güvenlidir. Bu, barındırıcınızın yazılımının kalitesini, web sitelerinizin üzerinde çalıştığı temaları ve eklentileri içerir.

Keşke daha yeni istatistiklere sahip olsaydım, size de işaret edebilirim, ancak WpWhiteSecurity'nin blogunda bir infografik olarak sunulan bu çalışma, WordPress web sitelerinin nasıl saldırıya uğradığı ve onları savunmasız kılan şeyler hakkında çok fazla fikir veriyor.

Çalışma, 2012 yılında saldırıya uğrayan 170.000 web sitesinin bilgilerine dayanılarak yapılmıştır. Bir önceki yıla (2012) göre saldırı sayısında %18'lik bir artış, komik olan, güvenlik açıklarının sayısı aynı oranda artmamıştır. Ancak, WordPress ve WordPress tabanlı ürünlerin artan kullanımı nedeniyle güvenlik açıklarındaki küçük bir artış bile çok daha fazla web sitesini etkiler.

• Saldırıya uğramış WordPress'in %41'i, barındırma platformlarındaki bir güvenlik açığı yoluyla saldırıya uğradı.
• %29'u kullandıkları WordPress Teması'ndaki bir güvenlik sorunu nedeniyle saldırıya uğradı.
• %22'si kullandıkları WordPress Eklentilerindeki bir güvenlik sorunu nedeniyle saldırıya uğradı.
• %8'i şifreleri zayıf olduğu için saldırıya uğradı.
• Yukarıdan, saldırıya uğramış WordPress sitelerinin %51'inden fazlasının, kullandıkları WordPress temaları veya eklentilerindeki bir güvenlik açığı yoluyla saldırıya uğradığı sonucuna varabiliriz.

Hack'lerin ezici bir çoğunluğu, eklentiler, temalar şeklinde yazılım yüklemenin bir sonucu olarak ve web barındırma hizmeti sağlayıcılarının sunucu tarafında güvenliği yeterince güçlendirememesi nedeniyle ortaya çıktı.

Barındırma, temalar ve eklentiler söz konusu olduğunda güvenlik açısından sahip olduğunuz iyi seçenekleri ele almadan önce web sitenizi korumaya yönelik önlemleri tartışmanın bir anlamı yok. WP güvenliğini güçlendirmek için belirli güvenlik önlemleri önermeye başlamadan önce, web siteniz için nasıl iyi üçüncü taraf yazılımları ve güvenli barındırma bulabileceğinizi kesinlikle tartışacağım.

Çözüm

WordPress web siteleri, içerik yönetim sisteminin temel kodundaki hatalar nedeniyle nadiren savunmasızdır. Ancak bir web sitesi yalnızca içerik yönetim sistemine dayalı olarak çalışmaz, CMS'yi web üzerinde barındırmak için bir web barındırıcısına, onu süslü hale getirmek için temalara ve gerekli işlevleri eklemek için eklentilere ihtiyaç duyar. Şimdi, WordPress kurulumunuza birden fazla üçüncü taraf yazılımı katmanı eklemek, doğru yapılmazsa güvenliğinizi biraz geçirgen hale getirmeye başlar.

WordPress sitenizin çalışmaya devam etmesi için WordPress çekirdeğiniz, eklentiler ve temalar ve web barındırıcısının iletişim kurması gerekir. Bu etkileşimin bazen kusurları vardır ve web sitelerini savunmasız hale getirir.

Elbette web sitelerinin %8'i zayıf parolalar nedeniyle tehlikeye girebilir, ancak kötü yazılmış eklentiler/temalar veya eski yazılımlarla çalışan bir web barındırma eklemenin tüm WordPress web sitelerinin büyük bir yüzdesinin birincil nedeni olduğunu gösteren çok fazla kanıt var. hacklendi veya kapatıldı.

WP Security serisindeki bir sonraki yazının bir parçası olarak, WordPress güvenlik açıklarının nedenleriyle ilgili bir miktar netlik oluşturduğumuza göre, WordPress güvenliğinizi güçlendirmek için atmanız gereken adımları tartışacağım.

WordPress sitenizin bir saldırı nedeniyle güvenliği ihlal edildiyse veya bir DDOS saldırısının kurbanı olduysanız, lütfen ayrıntıları paylaşın. Yetkilerimiz dahilindeyse ya Aigars ya da ben sorunu çözmeye çalışacağız. Şerefe