• Anasayfa
  • Nesne
  • Tema
  • 2021'de WordPress Kullanıcılarını Güvende Tutmak için 7 İpucu

2021'de WordPress Kullanıcılarını Güvende Tutmak için 7 İpucu

Yayınlanan: 2021-03-16

2021'de WordPress kullanıcılarınızı güvence altına almanın en iyi yolu, güçlü bir parola ve iki faktörlü kimlik doğrulama kullanmaktır. Bu oldukça basit görünüyor, değil mi? Gerçek şu ki, WordPress kullanıcı güvenliği biraz daha nüanslıdır.

Ne zaman kullanıcı güvenliği hakkında konuşsak, her WordPress kullanıcısının aynı güvenlik gereksinimlerine sahip olması gerekir mi ve ne kadar güvenlik çok fazla güvenliktir gibi sorular duyarız.

Merak etme. Tüm bu soruları cevaplıyoruz. Ama önce, farklı WordPress kullanıcıları hakkında konuşalım.

Farklı WordPress kullanıcıları nelerdir?

5 farklı varsayılan WordPress kullanıcısı vardır.

  1. yönetici
  2. Editör
  3. Yazar
  4. Katkıda Bulunan
  5. Abone
Not: WordPress çoklu sitelerinin altıncı bir kullanıcısı vardır. Süper Yönetici , site ağı yönetimi özelliklerine ve diğer tüm özelliklere tam erişime sahiptir. Ağda yeni siteler oluşturabilir ve siteleri kaldırabilir, ayrıca ağın kullanıcılarını, eklentilerini ve temalarını yönetebilirler.

Her kullanıcının farklı yetenekleri vardır. Yetenekler, gösterge panosuna eriştiklerinde ne yapabileceklerini belirler. WordPress kullanıcı rolleri ve izinleri hakkında daha fazlasını okuyun.

Farklı Hacklenmiş WP Kullanıcılarının Potansiyel Hasarı

WordPress kullanıcılarımızı nasıl güvence altına alacağımızı anlayabilmemiz için öncelikle güvenliği ihlal edilmiş her bir kullanıcı türünün tehdit düzeyini anlamamız gerekir. Bir saldırganın verebileceği hasarın türü ve düzeyi, hacklediği kullanıcının rollerine ve yeteneklerine bağlı olarak büyük ölçüde değişir.

Yönetici – Tehdit Seviyesi Yüksek

Yönetici kullanıcılar, istedikleri her şeyi yapabilme yeteneklerine sahiptir.

  • Kullanıcıları oluşturun, kaldırın ve değiştirin.
  • Eklentileri ve temaları yükleyin, kaldırın ve düzenleyin.
  • Tüm gönderileri ve sayfaları oluşturun, kaldırın ve düzenleyin.
  • Yayınları ve sayfaları yayınlayın ve yayından kaldırın.
  • Medya ekleyin ve çıkarın.

Bir bilgisayar korsanı sitenizin Yöneticilerinden birini ele geçirebilirse, web sitenizi fidye için tutabilir. Fidye yazılımı, bir bilgisayar korsanının web sitenizi ele geçirdiği ve siz onlara yüksek bir ücret ödemediğiniz sürece siteyi size geri vermediği anlamına gelir.

Bir bilgisayar korsanı sitenizin Yöneticilerinden birini ele geçirebilirse, web sitenizi fidye için tutabilir. Fidye yazılımı, bir bilgisayar korsanının web sitenizi ele geçirdiği ve siz onlara yüksek bir ücret ödemediğiniz sürece siteyi size geri vermediği anlamına gelir.

Bir fidye yazılımı saldırısının ortalama kapalı kalma süresi 9,5 gündür. 10 günlük NO satışının size maliyeti ne kadar olur?

Editör – Tehdit Seviyesi Yüksek

Editör , web sitesinin tüm içeriğini yönetir. Bu kullanıcıların hala oldukça fazla gücü var.

  • Tüm gönderileri ve sayfaları oluşturun, silin ve düzenleyin.
  • Tüm gönderileri ve sayfaları yayınlayın ve yayından kaldırın.
  • Medya dosyalarını yükleyin.
  • Tüm bağlantıları yönetin.
  • Yorumları yönetin.
  • Kategorileri Yönetin.

Saldırgan bir Editörün hesabının kontrolünü ele geçirirse, sayfalarınızdan birini bir phishing saldırısında kullanmak üzere değiştirebilir. Kimlik avı , oturum açma kimlik bilgileri ve kredi kartı numaraları dahil olmak üzere kullanıcı verilerini çalmak için kullanılan bir saldırı türüdür.

Kimlik avı, web sitenizi Google tarafından kara listeye almanın en kesin yollarından biridir. Her gün 10.000 site çeşitli nedenlerle Google'ın engellenenler listesine giriyor.

Not: iThemes Güvenlik Site Taraması, web sitenizin Google engellenenler listesi durumunu günlük olarak kontrol eder.

Yazar – Tehdit Düzeyi Orta

Yazar , kendi içeriğini oluşturmak ve yönetmek için tasarlanmıştır.

  • Kendi gönderilerini ve sayfalarını oluşturun, silin ve düzenleyin.
  • Kendi gönderilerini yayınlayın ve yayından kaldırın.
  • Medya dosyalarını yükleyin

Saldırgan bir Yazarın hesabının kontrolünü ele geçirirse, site ziyaretçilerinizi kötü niyetli web sitelerine gönderen sayfalar ve gönderiler oluşturabilir.

Katılımcı ve Abone – Tehdit Düzeyi Düşük

Katılımcı , Yazar kullanıcı rolünün basit sürümüdür. Yayın yetkileri yok.

  • Kendi gönderilerini oluştur ve düzenle.
  • Kendi yayınlanmamış gönderilerini silin.

Abone , diğer kullanıcıların yayınladığı şeyleri okuyabilir.

Katkıda Bulunan veya Abone rolüne sahip bilgisayar korsanları herhangi bir kötü niyetli değişiklik yapamazken, kullanıcının hesabında veya profil sayfasında saklanan hassas bilgileri çalabilirler.

WordPress Kullanıcılarınızı Güvende Tutmak için 7 İpucu

Tamam, bu bilgisayar korsanlarının web sitelerimize yapabileceği oldukça kötü şeyler. İyi haber şu ki, WordPress kullanıcı hesaplarınıza yapılan saldırıların çoğu, biraz çaba sarf ederek önlenebilir.

WordPress kullanıcılarınızı güvence altına almak için yapabileceğiniz şeylere bir göz atalım. Gerçek şu ki, bu güvenlik yöntemleri her tür WordPress kullanıcısının güvenliğini sağlamaya yardımcı olacaktır. Ancak, yöntemlerin her birini incelerken, yöntemi kullanmak için hangi kullanıcılara ihtiyaç duymanız gerektiğini size bildireceğiz.

1. İnsanlara Yalnızca İhtiyaç Duydukları Yetenekleri Verin

Web sitenizi korumanın en kolay yolu, kullanıcılarınıza yalnızca ihtiyaç duydukları yetenekleri vermektir, daha fazlasını değil. Birinin web sitenizde yapacağı tek şey kendi blog gönderilerini oluşturmak ve düzenlemekse, başkalarının gönderilerini düzenleme yeteneğine ihtiyaçları yoktur.

2. Giriş Denemelerini Sınırlayın

Kaba kuvvet saldırıları, bir web sitesine girmek için kullanıcı adı ve şifre kombinasyonlarını keşfetmek için kullanılan bir deneme yanılma yöntemini ifade eder. Varsayılan olarak, birinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress'te yerleşik bir şey yoktur.

Başarısız oturum açma denemelerinin sayısında bir sınırlama olmaksızın, bir saldırgan başarılı olana kadar sonsuz sayıda kullanıcı adı ve parola denemeye devam edebilir.

iThemes Security Pro Yerel Kaba Kuvvet Koruması özelliği, IP adresleri ve kullanıcı adları tarafından yapılan geçersiz oturum açma girişimlerinin kaydını tutar. Bir IP veya kullanıcı adı arka arkaya çok sayıda geçersiz oturum açma girişiminde bulunduğunda, kilitlenir ve daha fazla oturum açma girişiminde bulunmaları engellenir.

3. Güçlü Parolalarla Güvenli WordPress Kullanıcıları

WordPress kullanıcı hesabı şifreniz ne kadar güçlüyse, tahmin etmek o kadar zor olur. Yedi karakterlik bir parolayı kırmak 0,29 milisaniye sürer. Ancak, bir bilgisayar korsanının on iki karakterlik bir şifreyi kırmak için iki yüzyıla ihtiyacı vardır!

İdeal olarak, güçlü bir parola on iki karakter uzunluğunda alfasayısal bir dizedir. Parola, büyük ve küçük harflerin yanı sıra diğer ASCII karakterlerini de içermelidir.

Herkes güçlü bir parola kullanmaktan yararlanabilirken, yalnızca Yazar düzeyinde yeteneklere sahip kişileri güçlü parolalara sahip olmaya zorlamak isteyebilirsiniz.

iThemes Security Pro Parola Gereksinimi özelliği, belirli kullanıcıları güçlü bir parola kullanmaya zorlamanıza olanak tanır.

4. Ele Geçirilmiş Parolaları Reddet

İnsanların %91'i parolaları yeniden kullanmanın kötü bir uygulama olduğunu bilse de, insanların %59'u hala her yerde parolalarını yeniden kullanıyor! Bu kişilerin çoğu hala bir veritabanı dökümünde göründüğünü bildikleri parolaları kullanıyor.

Bilgisayar korsanları, sözlük saldırısı adı verilen bir kaba kuvvet saldırısı kullanır. Sözlük saldırısı, veritabanı dökümlerinde görünen yaygın olarak kullanılan parolalarla bir WordPress web sitesine girme yöntemidir. “Koleksiyon #1? MEGA barındırılan üzerinde barındırılan Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu. Bu bir b ile milyar. Bu tür bir puan, bir sözlük saldırısının en sık kullanılan WordPress şifrelerini daraltmasına gerçekten yardımcı olacaktır.

Yazar seviyesi ve üzeri yeteneklere sahip kullanıcıların güvenliği ihlal edilmiş şifreler kullanmasını önlemek bir zorunluluktur. Alt düzey kullanıcılarınızın güvenliği ihlal edilmiş parolalar kullanmasına izin vermemeyi de düşünebilirsiniz.

Yeni bir müşteri hesabı oluşturmayı mümkün olduğunca kolay hale getirmek tamamen anlaşılabilir ve teşvik edilmektedir. Ancak müşteriniz, kullandığı parolanın bir veri dökümünde bulunduğunu bilmeyebilir. Müşterinize, kullandıkları parolanın ele geçirilmiş olduğu konusunda onları uyararak harika bir hizmet yapmış olursunuz. Bu şifreyi her yerde kullanıyorlarsa, onları yolun aşağısındaki bazı büyük baş ağrılarından kurtarabilirsiniz.

iThemes Security Pro Güvenliği İhlal Edilen Parolaları Reddet özelliği, kullanıcıları Have I Been Pwned tarafından izlenen herhangi bir parola ihlalinde görünmeyen parolaları kullanmaya zorlar.

5. İki Faktörlü Kimlik Doğrulama ile Güvenli WordPress Kullanıcıları

İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. Google, blogunda iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı. Bu ihtimalleri gerçekten seviyorum.

En azından Yöneticilerinizin ve Editörlerinizin iki faktörlü kimlik doğrulamasını kullanmasını zorunlu kılmalısınız.

iThemes Security Pro İki Faktörlü Kimlik Doğrulama özelliği, web sitenize 2fa uygularken çok fazla esneklik sağlar. Kullanıcılarınızın tamamı veya bir kısmı için iki faktörü etkinleştirebilir ve üst düzey kullanıcılarınızı her oturum açmada 2fa kullanmaya zorlayabilirsiniz.

6. WP Dashboard'a Cihaz Erişimini Sınırlayın

WordPress panosuna erişimi bir dizi cihazla sınırlamak, web sitenize güçlü bir güvenlik katmanı ekleyebilir. Bir bilgisayar korsanı bir kullanıcı için doğru cihazda değilse, güvenliği ihlal edilmiş kullanıcıyı web sitenize zarar vermek için kullanamaz.

Cihaz erişimini yalnızca Yöneticilerinize ve Düzenleyicilerinize sınırlamalısınız.

iThemes Security Pro Güvenilir Cihazlar özelliği, sizin ve diğer kullanıcıların WordPress sitenize giriş yapmak için kullandığı cihazları tanımlar. Bir kullanıcı tanınmayan bir cihazda oturum açtığında, Güvenilir Cihazlar yönetici düzeyindeki yeteneklerini kısıtlayabilir. Bu, eğer bir saldırgan WordPress sitenizin arka ucuna girebilseydi, web sitenizde herhangi bir kötü niyetli değişiklik yapma becerisine sahip olmayacaktı.

7. WordPress Kullanıcılarını Oturum Ele Geçirmeye Karşı Güvenli Hale Getirin

WordPress, web sitenize her giriş yaptığınızda bir oturum çerezi oluşturur. Diyelim ki geliştirici tarafından terk edilen ve artık güvenlik güncellemeleri yayınlamayan bir tarayıcı uzantınız var. Ne yazık ki sizin için ihmal edilen tarayıcı uzantısında bir güvenlik açığı var. Güvenlik açığı, daha önce bahsedilen WordPress oturum çerezi de dahil olmak üzere kötü niyetli kişilerin tarayıcı çerezlerinizi ele geçirmesine olanak tanır. Bu tür bir hack, Session Hijacking olarak bilinir. Böylece, bir saldırgan, oturum açma bilgilerinizi geri almak ve WordPress kullanıcınızla kötü niyetli değişiklikler yapmaya başlamak için uzantı güvenlik açığından yararlanabilir.

Yöneticileriniz ve Editörleriniz için oturum ele geçirme korumasına sahip olmalısınız.

iThemes Security Pro Güvenilir Cihazlar özelliği, Oturum Ele Geçirme işlemini geçmişte bırakıyor . Bir oturum sırasında bir kullanıcının cihazı değişirse, iThemes Security, kullanıcının e-posta adresini değiştirmek veya kötü amaçlı eklentiler yüklemek gibi kullanıcının hesabında herhangi bir yetkisiz etkinliği önlemek için kullanıcının oturumunu otomatik olarak kapatır.

toparlamak

WordPress'in popülaritesi, onu tüm dünyadaki bilgisayar korsanları için bir hedef haline getiriyor. Tartıştığımız gibi, bir saldırgan en düşük WordPress kullanıcısını bile hackleyerek zarar verebilir. İyi haber şu ki, WordPress kullanıcılarınıza yönelik saldırıları önlemenin bir yolu olmasa da, bizim tarafımızdan biraz çaba sarf ederek saldırıların başarılı olmasını önleyebiliriz.