• Anasayfa
  • Nesne
  • Tema
  • WordPress Güvenliği: Tehditler nasıl belirlenir ve ortadan kaldırılır

WordPress Güvenliği: Tehditler nasıl belirlenir ve ortadan kaldırılır

Yayınlanan: 2018-05-11

"Saldırı için çok küçüğüz" veya "Finansal raporlar gibi hassas verileri işlemiyoruz" gibi bahaneler artık geçerli değil. Boyutları ne olursa olsun tüm web sitelerinin savunmasız olduğu ve bilgisayar korsanlarının tuzağına düşebileceği defalarca kanıtlanmıştır.

Web sitenize profesyonelce yaklaşıyorsanız, WordPress için en iyi güvenlik uygulamalarına dikkat etmelisiniz. WordPress sitenizi bilgisayar korsanlarından ve kötü amaçlı yazılımlardan korumak için kapsamlı bir ipucu listesi paylaşacağız.

Bir web sitesi sahibi olarak, kodlamayı bilmeseniz ve karmaşıklık labirentine girmek istemiyorsanız bile WordPress'in güvenliğini artırma yeteneğine sahipsiniz.

Materyaller arasında dolaşırken zorluk yaşamamanız için adım adım bir talimat hazırladık ve navigasyon oluşturduk. Metnin doğru parçasına hızla ulaşabilirsiniz ve okumanın sonunda web siteniz web'deki çoğu kaynaktan çok daha güvenli olacaktır.

Güvenlik neden önemlidir?

Saldırıya uğramış bir WordPress sitesi, işletmenize ve itibarınıza ciddi şekilde zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini, parolaları çalabilir, kötü amaçlı yazılım yükleyebilir ve kullanıcılarınız arasında Truva atları dağıtabilir.

2017'de Google, 55 milyondan fazla kullanıcının kötü amaçlı yazılım içeren web sitelerini ziyaret etme konusunda uyarıldığını bildirdi. Google her hafta 20.000'den fazla kötü amaçlı programın bir listesini yapar.

Siteniz sizin işinizse, güvenliğine daha fazla dikkat etmelisiniz. Kaynağınızı davetsiz misafirlerden korumaktan yalnızca siz sorumlusunuz. WordPress Güvenlik Kodeksinde belirtildiği gibi: “ Temelde güvenlik, tamamen güvenli sistemlerle ilgili değildir. Böyle bir şey pratik olmayabilir veya bulunması ve/veya bakımı imkansız olabilir. Ancak güvenlik, riski ortadan kaldırmak değil, riski azaltmaktır. Kendinizi bir hedef haline getirme ve ardından saldırıya uğrama olasılığını azaltarak genel duruşunuzu iyileştirmenize izin veren, makul bir şekilde, size sunulan tüm uygun kontrolleri kullanmakla ilgilidir.”

Acele etmeyin ve aşağıdaki en iyi uygulamaları gözden geçirin ve güncel WordPress yazılımı, güçlü kimlik bilgileri politikası ve güvenlik odaklı sistem yönetimi gibi endüstride kanıtlanmış WordPress güvenlik stratejilerinden bazılarına göz atın.

Güvenlik açığı türleri

WordPress'teki yaygın güvenlik açıkları, temaların düşük güvenliği, sunucuların, veritabanlarının, dosya izinlerinin, FTP'nin ve wp-admin, wp-config ve wp-includes gibi belirli dosya bileşenlerinin güvenlik açıklarıdır. Saldırılara en yatkın olanlardır.

Çok sayıda bilgisayar korsanlığı olayı, davetsiz misafirlerin WordPress güvenlik hizmetlerinde korumasız bağlantıları kendi avantajlarına kullanmanın ne kadar kolay olduğunu göstermiştir. Bir güvenlik açığı, web sitenizi binlerce saldırıya maruz bırakabilir. Örneğin, Şubat ayının başlarında siber suçlular, güvenliği ihlal edilmiş WordPress sitelerinin ziyaretçileri bir dizi açıktan yararlanma alanlarına yönlendirdiği büyük ölçekli bir kampanya başlattı .

Exploit , WordPress sitenizdeki boşlukları kullanabilen ve bilgisayar korsanlarının sistemi hacklemesine izin veren bir kod parçasıdır. Başka bir deyişle, web sitenizde korumasız öğeleri arayan ve onlara saldıran bir yazılımdır.

İstismarlar, kaynağın güvenliğine gereken önemi vermeyen programcıların hataları sonucu oluşur. Bir istismar keşfedildiğinde, bu güvenlik açığını ortadan kaldıran bir yama yapmanız gerekir.

Başka bir dizi saldırıda, bilgisayar korsanları XML-RPC dosyasındaki bir güvenlik açığından yararlandı.

XML-RPC , çağrılarını kodlamak için XML ve web sitelerine uzaktan istek veya sipariş göndermek için HTTP kullanan bir uzaktan prosedür çağrısı (RPC) protokolüdür. Bilgisayar korsanlarına kaynağınızı hacklemeleri için fazladan bir şans vermek istemiyorsanız, onu silebilirsiniz. Bir ihtiyaç olduğunda, onu geri yükleyebilirsiniz.

SQL enjeksiyonu , bilgisayar korsanları bir web sitesine özel SQL istekleri gönderdiğinde güvenlik duvarlarını atlayarak bir veritabanına saldırmanın en yaygın yoludur. Bu kod enjeksiyonları, kaynağınızdan kötü amaçlı veya dolandırıcı sitelere bağlanabilen yeni yönetici hesapları oluşturabilir.

SQL enjeksiyonları nasıl önlenir?

Hata mesajları esas olarak bir web sitesi hakkında hassas bilgileri almak için kullanılır. Bu yüzden ya devre dışı bırakılmalı ya da özel hata mesajları oluşturulmalıdır. WordPress geliştirme hizmetlerinden siber güvenlik uzmanları, tüm gizli bilgiler ve şifreler için SHA1 veya SHA şifrelemesinin kullanılması gerektiğini söylüyor. Verilen izinlerin sayısını sınırlamak, bu tür kötü niyetli saldırıların olasılığını azaltacaktır.

Kaba Kuvvet Saldırıları

Kaba kuvvet saldırısı, deneme yanılma yöntemiyle doğru oturum açma ve parola kombinasyonunu elde etme girişimlerinden oluşur. Bilgisayar korsanlarının oturum açmaya erişmeye çalışmasının en kolay yoludur. Bu tür bir saldırı çeşitli şekillerde gerçekleştirilebilir, her yöntem tekrar tekrar oturum açma ve şifre kombinasyonunu tahmin etmeye çalışır. WordPress'e giriş denemelerinin sayısında herhangi bir kısıtlama olmadığı için botlar tarafından kullanılan yaygın bir taktiktir. Saldırı başarılı olursa, web sitenizin ve işletmenizin hassas bilgileri tehlikeye girebilir. Başarısız olsa bile, yine de sisteminiz aşırı yüklenebilir.

Kaba kuvvet saldırıları ile nasıl başa çıkılır?

En iyi yol, sınırsız oturum açma girişimlerini ortadan kaldıran bir kilit ilkesini etkinleştirmektir. Aşamalı gecikmeler, hesap belirli bir süre kilitlendiğinde de kullanılabilir. Captcha gibi araçlar yardımcı olacaktır, ancak bu web sitesinin kullanılabilirliğini etkileyecektir. Bu tür saldırılarla mücadele etmek için karmaşık parolalar oluşturmak da yardımcı olabilir.

Siteler arası komut dosyası oluşturma

WordPress'teki tüm güvenlik ihlallerinin neredeyse %84'ü Siteler Arası Komut Dosyası veya XSS saldırılarıdır. Bu tür güvenlik açığı genellikle WordPress eklentilerinde bulunur. Burada bir davetsiz misafir, kötü niyetli komut dosyaları ve kodları, aralarında sizin de olabilecek güvenli ve güvenilir sitelere göndermek için bir web uygulaması kullanır. Sonuç olarak, kötü amaçlı JavaScript dosyaları bir web sayfasına indirilir ve gizli bilgileri çalmak için kullanılır.

Siteler arası komut dosyası çalıştırma nasıl önlenir?

XSS saldırılarını önlemenin birkaç yöntemi vardır:

  1. Güvenilir olmayan verilerin HTML belgelerinize erişmesine izin vermeyin.
  2. Sanitization API WordPress ve Escaping API WordPress'i kullanın (gizli bilgileri korumak ve herkese açık olarak göstermemek için kod temizleme işlevleri - örneğin, bir tarayıcı bağlantı adres satırında).
  3. URL istek dizesine güvenilmez verileri girmeden önce, URL'de kodlandığından emin olun.
  4. HTML sayfalarına güvenilmez verileri yerleştirmeden önce, kod sözdizimini değiştirerek, HTML'de kodlandığından emin olun.

Web sunucusu ve işletim sistemi saldırıları

Web sunucularında ve işletim sistemlerinde de belirli güvenlik açıkları bulunmaktadır. Bu tür güvenlik tehditleri, OpenSSL'de bir hata kaydedildiğinde oluşturulur ve bu da bilgisayar korsanlarının veritabanlarına ve gizli bilgilere erişmesini sağlar. Bu ciddi güvenlik açığı, tüm web sitelerinin neredeyse üçte ikisini etkiler.

Bir web sunucusuna yapılan saldırılar nasıl önlenir?

  1. OpenSSL yazılımında düzenli güvenlik kontrolleri yapın.
  2. Sunucu tarafı doğrulaması gerçekleştirin.
  3. Dışarıdan gelen girdilere güvenmeyin.
  4. IPS ve güvenlik duvarı imzalarını güncelleyin ve Heartbleed imzalarını etkinleştirin.
  5. Mevcut SSL sertifikalarını iptal edin ve yenilerini oluşturun.
  6. Eski anahtarla yeni sertifikalar oluşturmayın.

Kötü amaçlı programlar , bir sistemi yok etmek ve zarar vermek veya bir veritabanına erişim sağlamak için tasarlanmıştır. Bu tür yazılımlar, kullanıcının izni olmadan sisteme giren yürütülebilir kodlar ve komut dosyalarıdır.

WordPress siteniz saldırıya uğradığında, en son değiştirilen dosyalara bir göz atın. En yaygın kötü amaçlı yazılım bulaşmaları arasında arka kapılar, indirilebilir diskler ve kötü amaçlı yönlendirmeler bulunur.

Kötü niyetli saldırılarla nasıl başa çıkılır?

  1. Kötü amaçlı dosyaları manuel olarak kaldırın.
  2. WordPress sitesini bir yedekten geri yükleyin.
  3. WordPress ve eklentileri her zaman güncelleyin.
  4. "Yönetici" hesabını silin ve farklı bir benzersiz kullanıcı adı kullanın.

Bilgisayar korsanlığının tespiti

Algılanması son derece zor olan bilgisayar korsanlığı girişimlerinin düşük bir yüzdesi vardır, ancak genel olarak başarılı olsun veya olmasın herhangi bir girişimi belirleyebilirsiniz.

Güvenlik açıklarını tespit etmek için göstergeler:

  • Özellikle yurt dışından (genellikle hedef kitlenizi bulma olasılığının son derece düşük olduğu bölgenizden değil) ani, öngörülemeyen trafik artışları;
  • Alan adınız otomatik olarak bir üçüncü taraf sitesine (genellikle spam) yönlendirilir;
  • Ana sayfanız ve dahili sayfalarınız aniden değişir veya içerik kaybolur;
  • Giden bant genişliği patlamaları, sunucunuzun DDoS saldırıları için yakalandığını ve kullanıldığını gösterebilir;
  • Google, Yandex, Bing gibi arama motorları ve tarayıcılar (Firefox ve Chrome) kullanıcılar tarafından sitenizi ziyaret etmenin tehlikeleri konusunda uyardığı için doğrudan ve organik trafik azalır.

Web sitenizde listelenen etkinliklerden birini fark ederseniz, WordPress web sitenizin güvenlik teşhisini buradan hızlı bir şekilde gerçekleştirin . Adres çubuğunda www.example.com adresini web sitenizin alan adıyla değiştirmeniz yeterlidir. Hizmete bir alternatif, ücretsiz URLVoid aracının yardımıyla sitenin itibarını kontrol etmektir .

Güvenlik ihlallerini ortadan kaldırın

Girişilen hackler için kaynağınızı dikkatli ve nesnel bir şekilde izleyin. Güvenlik sorunları olması durumunda, ihlalleri ortadan kaldırmaya başlamalısınız.

Sitenizin siber suçluların hedefi haline geldiğinden eminseniz, ziyaretçilerinizi bu konuda bilgilendirmeniz doğru olacaktır. Bilgisayar korsanlarına karşı savunmasız olabileceğinden, kullanıcılarınıza e-postanın otomatik dağıtımını düzenleyin. Sitenizin bir güvenlik ihlali kurbanı olabileceğini ve sitenizi ziyaret etmeyi bir süreliğine askıya almanın daha iyi olacağını onlara bildirin. Sorunun çözüleceği tarihi belirtin.

Saldırı yayıldıysa, sorunu bulup çözene kadar siteyi kapatıp çevrimdışı modda çalışmak mantıklıdır. Çalışma süresi için “İmarda Site” sayfasının konulması tavsiye edilir. Kullanıcılara sorunun geçici olduğunu ve onları sonsuza kadar korkutmayacağını açıkça gösterecek.

Web barındırma şirketinizle iletişim kurun

Web hosting firmaları her gün binlerce web sitesi ile çalışmakta ve internette her türlü güvenlik sorunu ile karşılaşmaktadır. Sitenizin güvenliğinin risk altında olduğunu öğrendikten sonra hosting firması ile iletişime geçin ve sorununuzu anlatın.

Çoğu web barındırma şirketinin BT, güvenlik uzmanları vardır. Kötü niyetli saldırıları belirlemeye ve düzeltmeye yardımcı olabilirler. Barındırma şirketiniz yardım sunmasa bile, uzmanları benzer bir sorunla karşılaşan diğer web sitesi sahipleriyle iletişime geçebilir. Sorunu çözmek için ne yapmanız gerektiğini anlamanıza yardımcı olacaktır.

İyi barındırma sağlayıcıları, sunucularını yaygın tehditlerden korumak için ekstra önlemler alır. Ancak paylaşılan barındırmada kaynakları diğer web sitesi sahipleriyle paylaşırsınız. Bir bilgisayar korsanının sizinkine saldırmak için komşu bir web sitesini kullanması, siteler arası komut dosyası çalıştırma saldırıları riskini artırır.

WordPress yönetilen barındırma kullanmak, otomatik yedekleme, güncellemeler ve kaynağınızı korumak için daha karmaşık güvenlik yapılandırmaları gibi ek işlevleri nedeniyle web sitenizin daha güvenli bir şekilde çalışmasını sağlar.

Web güvenliği uzmanlarından yardım alın

Tipik olarak, en savunmasız web sitesi dosyaları medya dosyaları, .php dosyaları ve güvenli olmayan yerlerde depolananlardır. Bilgisayar korsanları bu dosyalara kötü amaçlı kodlar enjekte eder ve arka kapı saldırılarını kullanarak web sitenize zarar verir. Bunlar tipik risk bölgeleri olduğundan, önce bunları incelemeniz ve ardından temizleme işlemini başlatmak için sitenin diğer alanlarına gitmeniz gerekir.

Etkilenen dosyalardan kötü amaçlı kodu temizlemek, bunları sunucunuzdan indirmenizi, etkilenen kodu kaldırmanızı ve temiz dosyaları sunucuya yeniden yüklemenizi gerektirir.

Bazen sadece virüslü dosyaları temizlemek yeterli olmaz. Belki de bilgisayar korsanlarının dosyalarınıza erişimi vardır ve bunlarda değişiklik yapmaya ve kod parçacıklarını silmeye devam edeceklerdir. Doğru uygulama, kritik kod parçalarını kaybedip kaybetmediğinizi görmek için virüslü dosyalarınızın temizlenmiş sürümünü web geliştiricilerinizin kaynak dosyalarıyla karşılaştırmaktır.

Bilgisayar korsanlarının genellikle, virüslü tüm dosyaları kaldırdıktan sonra bile sitenizi hacklemelerine izin veren arka uç kabukları yüklediğini unutmayın. Bu kabuklar genellikle normal dosyalar olarak gizlenir. Sitenizin güvenliği ihlal edilmişse, yedeklemenize geri döndüğünüzde, web sitenizin tamamen güvenli olduğundan ve daha fazla çalışabilmesi için işi güvenlik servislerine yaptırın.

Şifreleri değiştir

Etkilenen dosyaları temizlemek, güvenlik açıklarını kaldırma görevinin yalnızca bir parçasıdır. Bilgisayar korsanlarının verilerinize tekrar erişmediğinden emin olmanız gerekir. Bunu yapmanın en kolay ama etkili yolu şifreleri değiştirmektir. TÜM şifreleriniz:

  • E-posta;
  • FTP hesabı;
  • Barındırma hesabı;
  • Wordpress yönetici paneli.

Yeni şifrelerinizin güvenilir olduğundan ve kaba kuvvet yöntemleriyle kırılamayacağından emin olmalısınız. Unutmayın, parolaları çalmak, WordPress web sitelerini hacklemenin en yaygın türüdür. Bu nedenle, daha önce hiç kullanılmamış daha karmaşık şifreler oluşturmanızı öneririz.

Acemilerin güçlü parolaları tercih etmemelerinin temel nedeni, hatırlamalarının zor olmasıdır. Şimdi bu soruna bir çözüm var – sadece şifre yöneticisini kullanın.

Riskleri azaltmanın etkili bir yolu, WordPress hesabınıza erişmek için birden fazla role sahip olmaktır. Konuk yazarlarınız varsa, web sitenize yeni kullanıcılar eklemeden önce herkesin rollerini ve yeteneklerini anladığınızdan emin olun.

WordPress sitenizin güvenliğini nasıl sağlarsınız

Genellikle, web sitesi güvenliğini sağlamak karmaşık bir iş olarak görülür ve yüksek ücretli profesyonellerden oluşan bir personel gerektirir. WordPress durumunda, işler o kadar korkutucu değil. Derinlemesine teknik bilgi olmadan WordPress sitenizi nasıl koruyacağınızı göstereceğiz. Kod yazmayı, karmaşık eylemler gerçekleştirmeyi, başınızın üzerinde durmayı veya gizli vudu ritüelleri gerçekleştirmeyi bilmek zorunda değilsiniz.

Başlayalım!

Adım 1. Yedekleme seçeneklerini ayarlayın

Yedeklemeler, herhangi bir WordPress saldırısına karşı kalkanınızdır. Unutmayın, hiçbir web sitesi %100 güvenli olamaz. Devlet web siteleri bile zaman zaman saldırıya uğrar. Böylece kaynağınız da bir hedef haline gelebilir.

Yedeklemeler, savunmasız bir web sitesini hızlı bir şekilde geri yüklemek için tasarlanmıştır. Bu nedenle, bu amaç için hazır WordPress eklentilerini kullanmanızı öneririz. Birçoğu var: ücretli ve ücretsiz seçenekler var.

Buradaki en önemli şey, yedeklemelerin düzenli olarak yapılması gerektiğidir. Önemli bir kural vardır - barındırma hesabınızda değil, üçüncü taraf bir depolama hizmetinde (örneğin, Dropbox bulutunda, Amazon'da) oluşturulmaları gerekir.

Web sitenizi ne kadar sık ​​güncellerseniz, o kadar sık ​​yedek kopyalarını almanız gerekir. Blogda günlük güncellemeler yapıyorsanız, günde en az bir kez yedekleme yapmanızı öneririz.

Nasıl yapılır?

VaultPress veya BackupBuddy gibi eklentileri indirin . Güvenilirdirler ve en önemlisi, kullanımı kolaydır, kurulumu kolaydır ve ana yedekleme işlevleriyle mükemmel bir şekilde başa çıkarlar.

WordPress güvenlik eklentilerini ve hizmetlerini kullanın

Ölçeği ne olursa olsun her web sitesi için temel bir güvenlik altyapısına sahip olmak şarttır. Örneğin, WordPress kullanıcıları için basit bir araç olan Login Lockdown , kaba kuvvet kullanan girişimlerde ilkel oturum açma saldırılarını önlemek için kullanışlıdır.

Bu nedenle halihazırda sitenizi koruyan bir güvenlik duvarı veya güvenlik sisteminiz yoksa vakit kaybetmeden bunları etkinleştirin. Amacımız saldırıyı önlemek ve hasar verildikten sonra geri yüklememek olduğundan, çözüm olarak bir web uygulaması güvenlik duvarı (WAF) kullanmanızı öneririz.

Güvenlik duvarı , ekstra bir koruma düzeyi ekleyen ve web sitenize gelen tüm trafiği kontrol ederek çok çeşitli kötü amaçlı tehditleri engelleyen hazır bir yazılım çözümüdür.

Açık Web Uygulaması Güvenlik Projesi, SQL Enjeksiyonları, Siteler Arası Komut Dosyası Oluşturma ve Geçersiz Yönlendirmeler dahil olmak üzere en yaygın ve agresif tehditlerle savaşır. Güvenlik duvarı veya güvenlik duvarı genellikle modern işletim sistemlerinde yerleşik olarak bulunur veya ücretli antivirüs sistemlerine dahil edilir.

Bir web uygulaması güvenlik duvarı (WAF), bir siteyi korumanın ve güvenliğinden emin olmanın en kolay yoludur. Kaynağınızı ele geçirmeden önce tüm kötü niyetli trafiği engeller.

İyi barındırma sağlayıcıları, açık kaynaklı mod_security Apache sunucu modülünü kullanarak yerleşik WAF koruması sunar, ancak en son tespit edilen tehditleri engellemenin yeterli olmadığını anlıyoruz. Modül, hızla gelişen tehdit ortamını izlemek için yeterli kaynağa sahip olmayan web barındırma tarafından nadiren güncellenir.

Bu nedenle kullanıcılar, bulut güvenlik sağlayıcıları tarafından sağlanan güvenlik duvarını kullanarak görevi kendi ellerine almalıdır. Bu tür bulut tabanlı WAF'ler, gelen tüm trafiği kontrol eden ve yeni ve mevcut tehditlere hızla yanıt vermek için tüm tehdit algılama ve kaldırma sürecini özerk bir şekilde işleyen tak ve çalıştır çözümleridir.

Ayrıca, bu tür bulut hizmetleri tipik olarak CDN içerik dağıtım ağları, DDoS yük devretme hizmetleri ve hatta performansı, güvenliği ve kullanılabilirliği iyileştirmek için yük dengeleme çözümleriyle birlikte gelir.

WordPress için web uygulamaları için en iyi güvenlik duvarı olarak Sucuri'yi öneriyoruz . Sucuri güvenlik duvarının avantajı, kötü amaçlı yazılımları kaldırma garantisiyle birlikte gelmesidir. Geliştiriciler, web sitenizi düzelteceklerini garanti eder (kaç sayfanız olursa olsun). Güvenlik uzmanları, genellikle, çalışmalarını saatte 250 ABD Doları olarak tahmin ederken, Sucuri ile tüm güvenlik yelpazesini yılda 199 ABD Doları karşılığında elde edebilirsiniz.

Sucuri tek güvenlik duvarı satıcısı değil. Zaten topuklarının üzerine basan ünlü rakibi Cloudflare .

Sucuri ve Cloudflare arasındaki farklar nelerdir?

Her iki hizmet de farklı özelliklerle gelen farklı planlar sunar.

Cloudflare Özellikleri

Cloudflare, ücretsiz CDN hizmetiyle ün kazandı. DDoS saldırılarını önlemede uzmanlaşmıştır. Cloudflare, bir saldırı sırasında veya sunucunuz yanıt vermeyi bıraktığında yoğun trafikte sitenizin kullanıcılar tarafından erişilebilir olmasını sağlar.

Güvenlik duvarı ayrıca formları kapsar ve web sitenizi spam yorumlarından ve spam kayıtlarından korur. Cloudflare ayrıca tüm ücretli planlarında ücretsiz SSL sertifikaları sunar. Ücretsiz planlar yalnızca Cloudflare sertifikalarını kullanmanıza izin verir. Özel bir sertifika almak için bir işletme veya kurumsal plana yükseltmeniz gerekir.

Cloudflare'in ücretsiz CDN sağlayan ücretsiz bir sürümü olmasına rağmen, web uygulaması güvenlik duvarı dahil olmak üzere diğer birçok işlev, ücretli bir plana geçiş gerektirir.

Cloudflare, kötü amaçlı yazılımları tespit etmek için sunucuları taramak için bir hizmet sunmaz. Ayrıca kötü amaçlı yazılımın kaldırılması için bir garanti sağlamaz.

Sucuri Özellikleri

Sucuri, web sitelerini izlemek için en güvenilir güvenlik hizmetlerinden biridir. Kötü amaçlı yazılımlar için kapsamlı izleme ve tarama, DDoS'tan koruma ve kötü amaçlı yazılımların kaldırılmasını sağlar.

Sucuri, bir web sitesi güvenlik duvarı olan CloudProxy ve yük dengeleme hizmetleri sunar. Şüpheli trafiği, virüslü kodu, botları ve diğer tehditleri engeller. Sucuri düzenli olarak web sitenizi tarar.

Ne seçeceksin?

Sucuri'nin açıkça daha fazla avantajı var çünkü en iyi araç ve hizmet kombinasyonunu sunuyor (güvenlik duvarı sitesi + yük dengeleme + kötü amaçlı yazılım temizleme/hack restorasyonu).

fiyatlandırma

Cloudflare , herkes için ücretsiz bir CDN hizmeti sunar. Bant genişliği için ücret almazlar, yani trafik miktarından bağımsız olarak ücretsiz CDN'lerini kullanabilirsiniz.

Ancak, ücretsiz plan, web uygulamaları için bir güvenlik duvarı ile birlikte gelmez. Web siteniz CDN'yi kullanabilir, ancak DDoS saldırıları, spam vb.

Güvenlik duvarı kullanmak için ayda 20 ABD Doları tutarında bir Profesyonel plana ihtiyacınız vardır, ancak bu plan DDoS saldırılarının ileri düzeyde azaltılmasını ve özel SSL'yi içermez. Bu özellikleri elde etmek için ayda 200 ABD Doları tutarında bir iş planı satın almanız gerekir.

Sucuri ücretsiz bir plan sunmuyor. Güvenlik planları yıllık 199 dolardan başlıyor ve bu da CloudFlare'in Pro planından daha uygun fiyatlı görünüyor. Bu temel plan, tam site izleme, web uygulaması güvenlik duvarı, DDoS koruması, kötü amaçlı yazılım kaldırma ve ücretsiz bir SSL sertifikası içerir.

Sucuri, daha düşük seviyeli planlardan önemli özellikleri hariç tutmak yerine, daha pahalı planları için bir teşvik olarak zaman önceliğini kullanır. Örneğin, temel bir fiyatlandırma planında kötü amaçlı yazılımları kaldırma süresi 12 saat, profesyonel bir plan için 6 saat ve bir iş planı için 4 saattir. Aynı zamanda, gerçek temizlik süresi planlarda belirtilenden daha hızlıdır.

Sucuri, tüm planlar için 24 saat destek sunar. İş planı aboneleri de sohbet desteğini kullanabilir.

Ne seçeceksin?

Sucuri, fiyatlar söz konusu olduğunda küçük işletmeler için bariz bir seçimdir. Cloudflare Pro, çok çeşitli özelliklerle yılda 199 $ ücret alan Sucuri'ye karşı yılda 240 ABD Doları tutarındadır. Aynı işlevi elde etmek için yılda 2400 ABD Doları tutarındaki Cloudflare planına gitmeniz gerekecek. En pahalı Sucuri planı yılda 499 dolar.

Kötü amaçlı yazılımı kaldırma

Kötü amaçlı yazılım ve virüslü kod, web sitesi sahiplerinin karşılaştığı en yaygın tehditlerdir.

Sucuri ve Cloudflare, siteleri bu yaygın tehditlerden nasıl korur?

Cloudflare'ın ücretsiz bir sürümü, genellikle sitenizin daha hızlı indirilmesini sağlayacak bir içerik dağıtım ağı olarak iyidir.

Web siteleri için güvenlik duvarı güvenliği (ücretli sürümde mevcuttur), sitenin kötü amaçlı kodlardan, XSS JavaScript'teki açıklardan ve formlardan korunmasını içerir. Dosyalardaki değişikliklerin tespiti, kötü amaçlı yazılım taraması, kara liste izleme ve diğer güvenlik özellikleri sunmaz. Kötü amaçlı yazılımları taramak için üçüncü taraf uygulamaları ekleyebilirsiniz, ancak bu hizmetler size ekstra paraya mal olur.

Sucuri, siteleri izleme ve onları kötü amaçlı yazılımlardan ve diğer saldırılardan koruma konusunda uzmanlaşmıştır. Sucuri güvenlik duvarı sizi DDoS, SQL enjeksiyonu, XSS JavaScript enjeksiyonları, yorumlar ve spam iletişim formlarından korur.

Ancak, bir saldırgan da bu engelleri aşarsa, Sucuri sitenizi temizlemeyi teklif eder (ücretsiz). Artık kötü amaçlı yazılımlardan etkilenen bir web siteniz varsa, Sucuri onu da temizleyebilir.

Ne seçeceksin?

İzleme, kötü amaçlı yazılımdan koruma ve temizleme hizmetleriyle bir web uygulaması güvenlik duvarı kullanmak için Sucuri en uygunudur. Ancak içerik teslimi alanında Cloudflare kullanmak daha iyidir.

Adım 2. Henüz yapmadıysanız HTTPS'ye aktarın

Google'ın resmi olarak duyurduğu en yeni sıralama faktörlerinden biri de HTTPS'ye geçiş zorunluluğu. Web sitesi güvenliğine yapılan bu vurgu, Google'ın güvenilir olmayan veya saldırıya uğramış web sitelerinin arama motoru sıralamalarında düşürüldüğü konusunda ciddi olduğunu göstermektedir. Google'ın kendisine göre bu, İnternet'i daha güvenli hale getirme girişimidir.

HTTPS , bir kullanıcı ile bir web sitesi arasındaki veri alışverişinin gizliliğini sağlamak için bir protokoldür. Eski HTTP protokolünün aksine siteler ve sunucular arasında önemli bilgilerin aktarılmasının güvenliğini sağlar.

HTTPS, daha önce posta kutularını korumak için e-ticaret sitelerinde finansal işlemler için yaygın olarak kullanılıyordu. Yani güvenlik ve güvenilirlik gerektiren her türlü işleme uygulandı.

Sitenizi bir HTTPS protokolüne aktararak sadece daha güvenli hale getirmezsiniz; Google ve Bing tematik sorgularında arama sonuçlarında üst sıralarda yer alma şansınızı da artıracaksınız.

3. Adım: WordPress güvenlik eklentilerini yükleyin

Sitenizde gerçekleşen her etkinliği izleyen bir denetim ve izleme sistemi kurmak önemlidir.

Şunlar için bir güvenlik eklentisine ihtiyacınız var:

  • dosyaların bütünlüğünü izlemek;
  • başarısız oturum açma girişimlerini takip edin;
  • siteyi kötü amaçlı yazılımlara karşı tarayın;
  • herhangi bir tehdidi ortadan kaldırmak;
  • sitenizi tehditlerden koruyun;
  • her türlü güvenlik açığına karşı mücadelede evrensel bir yardımcıya sahip olmak;

Ücretsiz eklenti Sucuri Scanner bu görevleri yerine getirebilir.

Sucuri Tarayıcı nasıl yapılandırılır?

  1. Ücretsiz bir API anahtarı oluşturun. İz kayıtları tutmaya, web sitesinin bütünlüğünü kontrol etmeye, tehdit oluştuğunda e-posta ile bilgilendirmeye yardımcı olacaktır.
  2. WordPress panosundaki Sucuri menüsündeki Sertleştirme sekmesine gidin. Her seçeneği işaretleyin ve "Güçlendir" düğmesini tıklayın.

Bu ayarlar, bilgisayar korsanlarının saldırıları için sıklıkla kullandıkları risk bölgelerini engellemeye yardımcı olur.

  1. E-posta ile tehdit uyarılarını yapılandırın. E-postanızın postalarınızı karıştırmamasını sağlamak için, yalnızca yeni kullanıcı kaydetme, eklentilerdeki değişiklikler gibi kritik işlemlerle ilgili e-posta almayı ayarlamanızı öneririz.

Wordfence Security , 2 milyondan fazla aktif kurulum ve yerleşik bir güvenlik duvarı ile en ünlü güvenlik eklentilerinden biridir. Bir web sitesinin tüm cephelerde kapsamlı bir şekilde korunmasını sağlar:

  • Evrensel site koruması;
  • Yeni tehditlere karşı koruma;
  • Kaba kuvvet saldırılarına karşı koruma;
  • Kötü niyetli trafiğin tespiti;
  • Davetsiz misafirleri siteye ulaşmadan engelleme;
  • Botlardan korunma;
  • Kötü amaçlı ağları engelleme;
  • Girişin kaba kuvvet parolalarından, DDoS saldırılarından korunması;
  • Tehdit tespiti için siteyi taramak;
  • Arka kapıların taranması;
  • Truva atları, şüpheli kod taraması;
  • Mesajları ve yorumları tarama.

Daha güvenilir bir güvenlik duvarı elde etmek için bir Premium sürüm satın almanız gerekir (yıllık 99$'dan). Temel eklenti özellikleri ücretsiz sürümde mevcuttur.

Google'a, Bing'e vb. bir istek gönderin.

Saldırıya uğramanın olumsuz sonucu, birçok arama motorunun, tarayıcının ve güvenlik yazılımının kaynağınızı sorunlu olarak tanımlaması ve siteyi ziyaret etmek isteyen kullanıcılara uyarılar vermesidir. Böylece kullanıcılarının güvenliğini sağlamaya, onları tehlikelerden korumaya çalışırlar.

Sitenizin olabildiğince çabuk ayağa kalkabilmesi için sitenizi kara listelerinden çıkarmak için Google, Bing, Yahoo, Mozilla ve diğer hizmetlerle iletişime geçin.

sonuçlandırmak

Aniden yanlış giden diğer birçok şeyde olduğu gibi, dikkatli olun ve WordPress sitenizi herhangi bir saldırıdan korumak için mümkün olan her önlemi aldığınızdan emin olun. Kaçınılmazsa ve zaten saldırıya uğradıysanız, cesaretiniz kırılmasın.

Olumsuz deneyimi (genellikle önlenebilir) bir alarm zili olarak kullanın, yukarıda açıklanan adımları izleyin ve gelecekte böyle bir olaydan kaçınmak için tüm güvenlik önlemlerini kullanın.