• Anasayfa
  • Nesne
  • Kılavuz
  • WodPress Barındırma Sağlayıcınızı Seçerken Hangi Güvenlik Faktörlerini Göz önünde bulundurmalısınız?

WodPress Barındırma Sağlayıcınızı Seçerken Hangi Güvenlik Faktörlerini Göz önünde bulundurmalısınız?

Yayınlanan: 2021-12-03

WordPress'in her yerde artan popülaritesi nedeniyle, farklı WordPress web sitesi barındırma şirketlerini etkileyen daha fazla güvenlik olayı var.

Son zamanlarda WordPress barındırma ortamında bir güvenlik ihlali yaşadıkları için GoDaddy en son örnektir. Geçen hafta, Yönetilen WordPress barındırma ortamına yetkisiz üçüncü taraf erişimi olduğu ve 1,2 milyona kadar etkin ve etkin olmayan müşterinin verilerini etkilediği duyuruldu.

GoDaddy'de WordPress Güvenlik İhlali

Baş Bilgi Güvenliği Sorumlusu (CISO), Demetrius Comes, 22 Kasım'da Menkul Kıymetler ve Borsa Komisyonu'na (SEC) yaptığı bir dosyada, 17 Kasım'da GoDaddy'nin Yönetilen WordPress sunucularına yetkisiz erişim keşfettiklerini duyurdu. Olayın 6 Eylül 2021'de başladığını ve 1,2 milyon etkin ve etkin olmayan Yönetilen WordPress müşterisinin verilerini ifşa ettiğini belirlediler. Yönetilen WordPress barındırma ortamında şüpheli etkinlik tespit ettiler ve hemen bir adli bilişim firmasının yardımıyla bir soruşturma başlattılar ve yasal makamlarla iletişime geçtiler. Güvenliği ihlal edilmiş bir parola, saldırganların sistemlerine erişmesine izin verdi.

Duyuruda şunlar belirtildi:

  • 1,2 milyona kadar etkin ve etkin olmayan Yönetilen WordPress müşterisinin e-posta adresleri ve müşteri numaraları açığa çıktı. E-posta adreslerinin açığa çıkması, kimlik avı saldırıları riski taşır.
  • Sağlama sırasında ayarlanan orijinal WordPress Yönetici şifresi açığa çıktı. Bu kimlik bilgileri hala kullanımdaysa, bu parolaları sıfırlarlar.
  • Aktif müşteriler için sFTP ve veritabanı kullanıcı adları ve şifreleri açığa çıktı. Her iki şifreyi de sıfırlarlar.
  • Aktif müşterilerin bir alt kümesi için SSL özel anahtarı açığa çıktı. Bu müşteriler için yeni sertifikalar verme ve yükleme sürecindeler.

Son olarak Comes şunları ekledi: “Bu olay ve müşterilerimiz için yarattığı endişe için içtenlikle üzgünüz. GoDaddy yönetimi ve çalışanları olarak biz, müşterilerimizin verilerini koruma sorumluluğumuzu çok ciddiye alıyoruz ve onları asla yarı yolda bırakmak istemiyoruz. Bu olaydan ders alacağız ve tedarik sistemimizi ek koruma katmanlarıyla güçlendirmek için şimdiden adımlar atıyoruz.”

Tahmin edebileceğiniz gibi, internette GoDaddy'yi eleştiren çok sayıda mesaj var. Bu, ihlali bildirmesi yalnızca 5 gün sürdüğü için değil, aynı zamanda söz konusu saldırıyı tespit etmesi muhtemelen 6 Eylül'de gerçekleştiği için 2 aydan fazla sürdüğü için. Etkilenen bir müşteriyseniz hem teknik hem de yasal olarak hangi işlemleri yapmanız gerektiğine dair ek bilgiler de bulacaksınız. Bunun GoDaddy ve etkilenmiş olabilecek tüm müşteriler için ne kadar büyük bir karmaşa olduğunu düşünmek bile istemiyorum!

Hosting Firması Seçerken Güvenliğin Önemi

WordPress hostinginizi seçmek için temel gereksinimler hakkında konuştuğumuzda, bir dizi faktöre bakıyoruz: PHP'nin farklı sürümleriyle uyumluluk, WordPress kurulumunu kolayca yönetmek için sunduğu özellikler ve araçlar, sayfalarımızın hızlı yükleme hızı, verimli destek hizmet ve tabii ki makul bir maliyet.

Ancak kendimizi kandırmayalım: genellikle güvenlik boyutunu önceliklerimizin en alt sıralarına indiririz. Niye ya? İlk olarak, barındırma sağlayıcımızın güvenliği, hafife aldığımız bir şeydir. Ancak bu çok saçma çünkü kesin olarak bildiğimiz bir şey varsa, o da hiçbir bilgisayar sisteminin %100 güvenli olmadığıdır. İkincisi, güvenliği hızlı ve kolay bir şekilde değerlendirmek zordur. Yalnızca bir güvenlik ihlali meydana geldiğinde olası güvenlik açıklarının farkına varırız.

Web sitenizin güvenliği biraz sağlığınız gibidir. İyiysen fazla düşünme. Ama iyi olmadığın gün dünya başına yıkılır. Çoğu zaman hastalanmak kaçınılmazdır, ancak önlem almak ve erken teşhis sizi çok fazla kederden kurtarabilir. Güvenlikte de durum aynı. Web siteniz saldırıya uğrarsa, yalnızca işletmeniz batmakla kalmaz, aynı zamanda uygun güvenlik önlemlerini almadığınız için yasal bir sorunla karşı karşıya kalabilirsiniz.

Bir güvenlik ihlalini önlemeye çalışmak istiyorsak, barındırma sağlayıcımızdan ne beklemeliyiz?

Yazılım Güvenliği

Hepimizi sıkan bir şey, bilgisayarlarımızda kullandığımız yazılımları güncellemek zorunda olmaktır. Ancak, çoğu güncelleme tam olarak onu bilinen güvenlik açıklarından korumak için olduğundan, bunu yapmamız oldukça önemlidir!

Bu nedenle, bir barındırma şirketiyle bir WordPress web sitesi barındırırken, WordPress tarafından önerilen uyumluluk gereksinimlerini ve en son yazılım güncellemelerini karşıladığından emin olun. Onları tanımak için resmi WordPress web sitesine bir göz atın. Bu gönderiyi yazarken önerilen gereksinimler şunlardı:

  • PHP 7.4 veya daha yenisi.
  • MySQL 5.6 veya daha yenisi veya MariaDB 10.1 veya daha yenisi.
  • HTTPS

Benim tavsiyem: Bu gereksinimleri karşılamayan hiçbir hosting firmasını düşünmeyin bile.

SSL Kullanılabilirliği ve Desteği

Köprü Metni Aktarım Protokolü ( Hiper Metin Aktarım Protokolü veya HTTP ), bir ağı oluşturan farklı bilgisayarlar arasında gerçekleşen işlemlerin sözdizimini ve anlambilimini tanımlamak ve standartlaştırmak amacıyla tasarlanmış, ağ sistemlerinde kullanılan bir protokoldür. . Başka bir deyişle, bir web sunucusunun Google Chrome veya Mozilla Firefox gibi web tarayıcılarıyla iletişim kurma biçimini tanımlar.

HTTPS, Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) ile bir bağlantı üzerinden HTTP kullanımını ifade eder ve iletimlerinin güvenli olması için tüm HTTP mesajlarını şifrelemekten sorumludur. Bir kullanıcı bir web sunucusuna bilgi gönderdiğinde, SSL esasen bir dizi koruma katmanı sağlar:

  • şifreleme : eğer bir saldırgan bu bilgiyi ele geçirmeyi başarırsa, şifresinin nasıl çözüleceğini bilmeyeceklerinden (ama siz bileceksiniz) bu işe yaramaz olacaktır.
  • veri bütünlüğü : saldırganlar gönderilen mesajın içeriğini "değiştiremez".
  • kimlik doğrulama : bir kullanıcının başka biriyle konuştuğuna inandıklarında üçüncü taraflara bilgi sağladığı kimlik avı veya ortadaki adam saldırılarından kaçınılır.

Bu şekilde örneğin web sitenizden yapılan alışverişlerin verilerinin suçlular tarafından okunmamasını ve/veya değiştirilmemesini sağlarsınız.

Web siteniz SSL kullanıyorsa, çoğu tarayıcı https:// ile başlayan web URL'sini ve adres çubuğunun yakınında veya içinde bir asma kilit simgesi görüntüleyerek ziyaretçilere mevcut web sitesinin güvenliği hakkında görsel bir ipucu sağlar.

Tarayıcıda görüntülenen Nelio'nun URL'sinin resmi
Tarayıcıda görüntülenen Nelio'nun URL'sinin resmi.

Bir barındırma hizmeti sağlayıcısı ararken , SSL'yi desteklediğinden emin olun ve kurmanın ne kadar kolay olduğunu kontrol edin.

Yedekleme ve geri yükleme

WordPress'inize bir kötü amaçlı yazılım saldırısına uğrarsanız, büyük olasılıkla virüslü kod içermeyen eski bir yedeği geri yüklemeniz gerekecek. Bu nedenle, barındırma sağlayıcınızın WordPress web sitenizin düzenli ve otomatik yedeklemelerini yaptığından emin olun.

Şunları bildiğinizden emin olun:

  • Yedekleme sıklığı,
  • Sitenizin kaç yedeğine erişiminiz var,
  • İster kendi başınıza kolayca geri yükleyebilirsiniz, ister geri yükleme talebinde bulunup hizmet için ödeme yapmanız gerekir,
  • Dosyaların, klasörlerin, e-posta hesaplarının veya veritabanlarının kısmi geri yüklemelerini gerçekleştirip gerçekleştiremeyeceğiniz,
  • Restorasyon geçmişine erişip erişemeyeceğinizi.

DDoS Saldırılarına Karşı Koruma

Dağıtılmış Hizmet Reddi (DDoS) saldırısı, sunucu aşırı yüklenene ve çökene kadar "bir ton" isteği tetikleyerek web sunucusunu çökertmeye çalışan bir saldırı türüdür.

DDoS saldırısı illüstrasyonu
DDoS saldırı resmi (kaynak: Anti DDoS)

Bunları önlemek için SiteGround ve Bluehost gibi bazı barındırma sağlayıcıları, Cloudflare gibi İçerik Dağıtım Ağları (CDN'ler) ile çalışır. CDN'ler, verilerin daha hızlı sunulmasını kolaylaştıran ve DDoS gibi kaynak yoğun saldırıları emen küresel sunucu ağlarını çalıştırır. Bu, barındırma şirketlerinin ek altyapıya büyük yatırım yapmak zorunda kalmadan kendi sunucularındaki yükü azaltmasına yardımcı olur. Hosting şirketinizin CDN'lerle çalışıp çalışmadığını kontrol etmeniz önemle tavsiye edilir.

Ayrıca bu tür saldırılar için hazırlanmış protokolleri olduğundan emin olun, örneğin:

  • Taşkın trafiğini filtreleyen güvenlik duvarı donanımı,
  • Karmaşık işlevler ve trafik izleme ile iptables tabanlı güvenlik duvarı yazılımı,
  • Uzaktan kurulabilecek bağlantı sayısını sınırlandırırlar,
  • Ana bilgisayarlardan gelen çok sayıda başarısız bağlantı girişimini kontrol eder ve filtreleme yaparlar.

Kötü Amaçlı Yazılım Taraması

Kötü amaçlı yazılım, GoDaddy örneğinde gördüğümüz gibi, sunucuları etkileyebilecek kötü amaçlı yazılımlardır. Belirli verilerin çalınması gibi küçük bir enfeksiyona neden olabilir veya tüm veritabanını silebilirler.

Barındırma sağlayıcınızın bu tür saldırıları nasıl kontrol ettiğini ve kontrol ettiğini bilmek önemlidir. Ne sıklıkla tarama yapıyorlar? Enfeksiyon durumunda kontrol altına alınması için bir hesap izolasyon sistemine sahipler mi?

Kullanılabilirlik ve Çalışma Süresi

Bilgi güvenliğinin üç ayağı, CIA üçlüsü (Gizlilik, Bütünlük ve Kullanılabilirlik) olarak bilinir. Web sitenizin kullanılabilirliği ve çalışma süresi (bir web sitesinin aktif ve kullanılabilir olduğu sürenin yüzdesi) herhangi bir web sitesinde kritik öneme sahiptir.

Barındırma şirketlerinin bu kullanılabilirliği sağlamanın birçok yolu vardır. Örneğin, bazıları RAID teknolojisini, donanım yedeklerini, ağ yedeklerini ve hatta alternatif yansıtma konumlarını kullanır. Barındırma sağlayıcınızın, hüküm ve koşullarının hizmet düzeyi sözleşmesinde (SLA) size minimum kullanılabilirliği garanti ettiğinden emin olun. Örneğin, Siteground söz konusu olduğunda şunları garanti ederler:

5.2. Ağ çalışma süresini yıllık bazda %99,9 garanti ediyoruz. Garanti edilen ağ çalışma süresinin altına düşersek, sizi aşağıdaki şekilde telafi edeceğiz ;

  • %99,9 – %99,00 çalışma süresi: 1 aylık ücretsiz barındırma
  • %99,00'un altında kaybedilen her %1 çalışma süresi için ek bir aylık ücretsiz barındırma .

SLA, barındırma sağlayıcınız tarafından altyapıya yapılan yatırımın ve hizmeti garanti etme taahhüdünün bir başka göstergesidir.

Çözüm

Güvenlik, daha önce de belirttiğim gibi, sağlık gibidir. Üzerinde mutlak kontrolü asla garanti edemeseniz de, ne kadar az risk alırsanız o kadar iyidir. Sitenizi korumak ve güvenliğine dikkat etmek, istenmeyen büyük sonuçları önleyebilir. Ve bu koruma, WordPress web siteniz için iyi bir barındırma sağlayıcısı seçmekle başlar.

Unsplash'ta Liam Tucker'ın öne çıkan görüntüsü.