5 Yaygın WordPress Güvenlik Sorunu
Yayınlanan: 2021-01-27WordPress destekli bir web siteniz varsa veya WordPress'i CMS'niz olarak kullanmayı düşünüyorsanız, olası WordPress güvenlik sorunları konusunda endişeleriniz olabilir. Bu gönderide, WordPress sitenizi güvenli hale getirmek ve korumak için atabileceğiniz adımlarla birlikte en yaygın WordPress güvenlik açıklarından birkaçını özetleyeceğiz.
WordPress Güvenli mi?
“WordPress güvenli mi?” Sorusunun cevabı. mı bağlıdır . WordPress güvenlik en iyi uygulamaları izlendiği sürece WordPress'in kendisi çok güvenlidir.
W3Techs'ten gelen içerik yönetim sistemleri verilerinin en son kullanımına göre, WordPress tüm web sitelerinde %34 oranında güç sağlıyor. Bu nedenle, WordPress güvenlik açıkları kaçınılmazdır çünkü tüm kullanıcılar web sitelerinde dikkatli, eksiksiz veya güvenlik bilincine sahip değildir. Bir bilgisayar korsanı web'deki yüz milyonlarca WordPress web sitesinden birine girmenin bir yolunu bulabilirse, eski veya güvenli olmayan WordPress sürümlerinin güvenli olmayan kurulumlarını çalıştıran diğer web sitelerini tarayabilir ve bunları da hackleyebilir.
WordPress, açık kaynak kodunda çalışır ve çekirdek kodda ortaya çıkan WordPress güvenlik sorunlarını bulmaya, tanımlamaya ve düzeltmeye özel olarak ayrılmış bir ekibe sahiptir. Güvenlik açıkları ortaya çıktıkça, WordPress'te keşfedilen yeni güvenlik sorunlarına yama yapmak için düzeltmeler hemen gönderilir. Bu nedenle, WordPress'i en son sürüme güncel tutmak, web sitenizin genel güvenliği için inanılmaz derecede önemlidir.
WordPress güvenlik açıklarının WordPress çekirdeğinin ötesine geçerek sitenize yüklediğiniz temalara veya eklentilere kadar uzandığını unutmamak önemlidir. wpvulndb.com tarafından yakın zamanda yayınlanan bir rapora göre, veritabanlarında bilinen 2.837 WordPress güvenlik açığı:
- %75'i WordPress eklentilerinden
- %14'ü temel WordPress'ten
- %11'i WordPress temalarından
5 Yaygın WordPress Güvenlik Sorunu
En yaygın WordPress güvenlik sorunları, sitenizin güvenliğinin ihlal edilmesinden önce veya hemen sonra ortaya çıkar. Saldırının amacı, WordPress sitenize yönetici düzeyinde, ön uçtan (WordPress panonuz) veya sunucu tarafında (komut dosyaları veya kötü amaçlı dosyalar ekleyerek) yetkisiz erişim sağlamaktır.
İşte bilmeniz gereken en yaygın 5 WordPress güvenlik sorunu:
1. Kaba Kuvvet Saldırıları
WordPress kaba kuvvet saldırıları, başarılı bir kombinasyon bulunana kadar birden fazla kullanıcı adı ve şifre kombinasyonunu tekrar tekrar girme deneme yanılma yöntemini ifade eder. Kaba kuvvet saldırısı yöntemi, web sitenize erişmenin en basit yolunu kullanır: WordPress giriş sayfanız.
WordPress, varsayılan olarak, giriş denemelerini sınırlamaz, bu nedenle botlar, kaba kuvvet saldırısı yöntemini kullanarak WordPress giriş sayfanıza saldırabilir. Bir kaba kuvvet saldırısı başarısız olsa bile, oturum açma girişimleri sisteminizi aşırı yükleyip sitenizi yavaşlatabileceğinden, sunucunuzda hasara yol açabilir. Bir kaba kuvvet saldırısı altındayken, bazı ana bilgisayarlar, özellikle de paylaşılan bir barındırma planındaysanız, sistem aşırı yüklemeleri nedeniyle hesabınızı askıya alabilir.
2. Dosya Dahil Etme İstismarları
Kaba kuvvet saldırılarından sonra, WordPress web sitenizin PHP kodundaki güvenlik açıkları, saldırganlar tarafından istismar edilebilecek bir sonraki en yaygın güvenlik sorunudur. (PHP, eklentileriniz ve temalarınızla birlikte WordPress web sitenizi çalıştıran koddur.)
Dosya dahil etme açıkları, saldırganların web sitenize erişmesine izin veren uzak dosyaları yüklemek için güvenlik açığı bulunan kod kullanıldığında ortaya çıkar. Dosya ekleme açıkları, bir saldırganın WordPress kurulumunuzdaki en önemli dosyalardan biri olan WordPress web sitenizin wp-config.php dosyasına erişmesinin en yaygın yollarından biridir.
3. SQL Enjeksiyonları
WordPress web siteniz, çalışmak için bir MySQL veritabanı kullanır. SQL enjeksiyonları, bir saldırgan WordPress veritabanınıza ve tüm web sitesi verilerinize eriştiğinde gerçekleşir.
Bir SQL enjeksiyonu ile saldırgan, daha sonra oturum açmak ve WordPress web sitenize tam erişim sağlamak için kullanılabilecek yeni bir yönetici düzeyinde kullanıcı hesabı oluşturabilir. SQL enjeksiyonları, kötü amaçlı veya spam web sitelerine bağlantılar dahil olmak üzere veritabanınıza yeni veriler eklemek için de kullanılabilir.
4. Siteler Arası Komut Dosyası Çalıştırma (XSS)
İnternetin tamamındaki tüm güvenlik açıklarının %84'üne Siteler Arası Komut Dosyası Çalıştırma veya XSS saldırıları denir. Siteler Arası Komut Dosyası güvenlik açıkları, WordPress eklentilerinde bulunan en yaygın güvenlik açığıdır.
Siteler Arası Komut Dosyası Çalıştırmanın temel mekanizması şu şekilde çalışır: bir saldırgan, kurbanını güvenli olmayan javascript komut dosyalarıyla web sayfaları yüklemeye ikna etmenin bir yolunu bulur. Bu komut dosyaları ziyaretçinin bilgisi olmadan yüklenir ve daha sonra tarayıcılarından veri çalmak için kullanılır. Siteler Arası Komut Dosyası Çalıştırma saldırısına örnek olarak, web sitenizde yer alıyor gibi görünen ele geçirilmiş bir form verilebilir. Bir kullanıcı bu forma veri girerse, bu veriler çalınır.
5. Kötü amaçlı yazılım
Kötü amaçlı yazılımın kısaltması olan kötü amaçlı yazılım, hassas verileri toplamak için bir web sitesine yetkisiz erişim sağlamak için kullanılan koddur. Saldırıya uğramış bir WordPress sitesi genellikle web sitenizin dosyalarına kötü amaçlı yazılım enjekte edildiği anlamına gelir, bu nedenle sitenizde kötü amaçlı yazılım olduğundan şüpheleniyorsanız, yakın zamanda değiştirilen dosyalara bir göz atın.
Web'de binlerce tür kötü amaçlı yazılım bulaşması olmasına rağmen, WordPress bunların tümüne karşı savunmasız değildir. En yaygın dört WordPress kötü amaçlı yazılım bulaşması şunlardır:
- arka kapılar
- Drive-by indirmeleri
- İlaç hileleri
- Kötü amaçlı yönlendirmeler
Bu kötü amaçlı yazılım türlerinin her biri, kötü amaçlı dosyayı manuel olarak kaldırarak, yeni bir WordPress sürümü yükleyerek veya WordPress sitenizi önceki, virüslü olmayan bir yedekten geri yükleyerek kolayca tanımlanabilir ve temizlenebilir.
WordPress Sitenizi WordPress Güvenlik Sorunlarına Karşı Savunmasız Yapan Nedir?
Birkaç faktör, WordPress sitenizi başarılı saldırılara karşı daha savunmasız hale getirebilir.
1. Zayıf Parolalar
Zayıf bir parola kullanmak, kolayca önleyebileceğiniz en büyük güvenlik açıklarından biridir. WordPress yönetici şifreniz güçlü olmalı, birden fazla karakter, sembol veya sayı türü içermelidir. Ayrıca parolanız WordPress sitenize özel olmalı ve başka hiçbir yerde kullanılmamalıdır.
Parolanızın ele geçirilip geçirilmediğini mi merak ediyorsunuz? iThemes Güvenlik eklentisi, şifrenizin bir veri ihlalinde görünüp görünmediğini kontrol eder. Bir veri ihlali, genellikle, bir sitenin güvenliği ihlal edildikten sonra açığa çıkan kullanıcı adlarının, şifrelerin ve genellikle diğer kişisel verilerin bir listesidir. Ele Geçirilmiş Parolaları Reddet ayarıyla, ele geçirilmiş parolaları reddedebilir ve kullanıcıları Have I Been Pwned API'si tarafından izlenen parola ihlallerinde görünmeyen parolaları kullanmaya zorlayabilirsiniz.
2. WordPress, Eklentiler veya Temaları Güncellememek
Basitçe söylemek gerekirse: Web sitenizde WordPress'in eski sürümlerini, eklentileri ve temaları çalıştırıyorsanız saldırı riski altındasınız. Sürüm güncellemeleri genellikle koddaki güvenlik sorunları için yamalar içerir, bu nedenle WordPress web sitenizde yüklü olan tüm yazılımların her zaman en son sürümünü çalıştırmanız önemlidir.
Güncellemeler, kullanıma sunulur sunulmaz WordPress kontrol panelinizde görünecektir. WordPress sitenize her giriş yaptığınızda bir yedekleme çalıştırma ve ardından mevcut tüm güncellemeleri çalıştırma alıştırması yapın. Güncellemeleri çalıştırma görevi uygunsuz veya yorucu görünse de, bu önemli bir WordPress güvenliği en iyi uygulamasıdır.
Birden fazla WordPress web sitesini yönetiyorsanız, güncellemeleri daha iyi yönetmek için iThemes Sync Pro gibi zaman kazandıran bir araç kullanabilirsiniz. Her bir siteye ayrı ayrı giriş yapmak yerine, birden fazla WordPress sitesi için güncellemeleri tek bir yerden yönetmeniz için size bir pano sunar.
3. Güvenilir Olmayan Kaynaklardan Gelen Eklentileri ve Temaları Kullanma
Kötü yazılmış, güvenli olmayan veya güncel olmayan kodlar, saldırganların WordPress web sitenizi istismar etmesinin en yaygın yollarından biridir. Eklentiler ve temalar potansiyel güvenlik açıkları kaynakları olduğundan, en iyi güvenlik uygulaması olarak, yalnızca WordPress.org deposu gibi saygın kaynaklardan veya bir süredir faaliyet gösteren premium şirketlerden WordPress eklentilerini ve temalarını indirin ve yükleyin. . Ayrıca, dosyalar kötü amaçlı yazılım içerecek şekilde değiştirilmiş olabileceğinden, premium temaların ve eklentilerin bootleg veya torrentli "ücretsiz" sürümlerinden kaçının. Bu "ücretsiz" eklentilerin ve temaların maliyeti, sitenizin güvenliği pahasına olabilir.
4. Düşük Kaliteli veya Paylaşımlı Barındırma Kullanımı
WordPress web sitenizin bulunduğu sunucu saldırganlar için bir hedef olduğundan, düşük kaliteli veya paylaşılan barındırma kullanmak sitenizi tehlikeye atılmaya karşı daha savunmasız hale getirebilir. Tüm ana bilgisayarlar, sunucularının güvenliğini sağlamak için önlemler alırken, hepsi web sitelerini sunucu düzeyinde korumak için uyanık veya en son güvenlik önlemlerini uygulamaz.
Paylaşılan barındırma da bir endişe kaynağı olabilir çünkü birden fazla web sitesi tek bir sunucuda depolanır. Bir web sitesi saldırıya uğrarsa, saldırganlar diğer web sitelerine ve bunların verilerine de erişebilir. Bir VPS veya sanal özel sunucu kullanmak daha pahalı olsa da, web sitenizin kendi sunucusunda saklanmasını sağlar.
WordPress Sitenizi Korumak için Bugün Yapabileceğiniz 8 Eylem
1. Her çevrimiçi hesap için güçlü bir parola kullanın.
Şu anda 6'dan az karakter içeren bir şifre kullanıyorsanız, şimdi değiştirin. Şu anda birden fazla oturum açmada bir şifre kullanıyorsanız, şimdi değiştirin. Altı aydan uzun süredir aynı parolaya sahipseniz, şimdi değiştirin. Birden çok çevrimiçi hesap için bir parolayı yeniden kullanıyorsanız, şimdi değiştirin.
2. Bir WordPress güvenlik eklentisi kurun.
Bir WordPress güvenlik eklentisi kullanmak, WordPress web sitenizde ek güvenlik önlemleri almanın harika bir yoludur. iThemes Security, en önemli ve önerilen WordPress güvenlik ayarlarını etkinleştiren tek tıklamalı bir WordPress güvenlik kontrolü sunar. İyi bir WordPress güvenlik eklentisi, sitenizin güvenliğinin daha teknik yönlerini halledebilir, bu yüzden birini kullanmak için bir güvenlik uzmanı olmanıza gerek yok.
3. WordPress iki faktörlü kimlik doğrulamayı etkinleştirin.
İki faktörlü kimlik doğrulama, WordPress girişinize ekstra bir koruma katmanı ekler. Giriş yapabilmek için şifrenize ek olarak, akıllı telefonunuz gibi başka bir cihazdan zamana duyarlı ek bir kod gerekir. İki faktörlü kimlik doğrulama, WordPress girişinizi kilitlemenin en iyi yollarından biridir ve başarılı kaba kuvvet saldırılarının potansiyelini neredeyse tamamen en aza indirir.
4. WordPress sitenizi güncel tutun.
Yine: WordPress sitenizi güncel tutmak, olası WordPress güvenlik sorunlarından kaçınmanın en iyi yollarından biridir. WordPress sitenize şimdi giriş yapın ve WordPress çekirdeği, temalarınız veya eklentileriniz için mevcut güncellemeleri çalıştırın. Premium WordPress eklentileri veya temaları kullanıyorsanız, güncellemeleri aldığınızdan ve eski sürümleri çalıştırmadığınızdan emin olmak için geçerli bir lisansınız olduğundan emin olun.
5. Sunucunuzda uygun izinleri ayarlayın.
Sunucunuzdaki tüm dizinlerde uygun izinlerin ayarlandığından emin olun. Uygun izinler, kimin dosya okuma, dosya oluşturma ve düzenleme iznine sahip olduğunu belirler.
6. Zamanlanmış kötü amaçlı yazılım taramalarını çalıştırın.
Planlanmış kötü amaçlı yazılım taramalarıyla olası kötü amaçlı yazılım bulaşmalarını takip edin. Çoğu hizmet, iThemes Security Pro eklentisinde sunulan kötü amaçlı yazılım taraması gibi, size web sitenizin kötü amaçlı yazılım durumu ve diğer birkaç kara liste durumu hakkında bir rapor verir.
7. Güvenilir bir WordPress yedekleme planınız olsun.
Bir WordPress yedekleme planına sahip olmak, WordPress güvenlik stratejinizin önemli bir bileşenidir. Çalıştırmak için zamanlanmış yedeklemeler kurun ve yedeklerinizi güvenli bir şekilde site dışına güvenli, uzak bir WordPress yedekleme konumuna gönderdiğinizden emin olun. Ayrıca sitenizi temiz bir yedekten geri yüklemeniz gerekebileceği için yedekleme stratejinizin bir geri yükleme bileşeni olduğundan emin olun.
8. WordPress Brute Force Protection'ı etkinleştirin.
Kendinizi kaba kuvvet saldırılarından korumak, olası güvenlik açıklarını veya sunucu aşırı yüklemelerini azaltmanın başka bir yoludur. Diğer sitelere girmeye çalışan kullanıcıların sizin sitenize de girmesini yasaklamak için hem yerel hem de ağ kaba kuvvet koruması içeren bir hizmet kullanın.
iThemes Security Pro'yu Şimdi Edinin + %25 İndirim Kazanın !
WordPress için güvenlik sorunları mevcut olsa da, çoğu WordPress güvenlik en iyi uygulamaları ve potansiyel güvenlik risklerinin farkındalığı ile önlenebilir. WordPress sitenizi korumak için bilgi ve stratejilerle donanmış olarak, saldırılara karşı savunmasızlığınızı büyük ölçüde en aza indirebilir ve WordPress sitenizi güvenli ve emniyetli tutabilirsiniz.
iThemes Security Pro gibi güvenilir bir WordPress güvenlik eklentisi, WordPress web sitenizin güvenliğini sağlamaya ve korumaya yardımcı olabilir. Sitenizi kilitlemenin 30'dan fazla yolu ile iThemes Security, WordPress'i kilitlemek, ortak açıkları düzeltmek, otomatik saldırıları durdurmak ve kullanıcı kimlik bilgilerini güçlendirmek için çalışır.
iThemes Güvenlik Pro planı.
iThemes Security Pro'yu edinin
Kristen, 2011'den beri WordPress kullanıcılarına yardımcı olmak için eğitimler yazıyor. Onu genellikle iThemes blogu için yeni makaleler üzerinde çalışırken veya #WPprosper için kaynaklar geliştirirken bulabilirsiniz. Kristen iş dışında günlük tutmaktan (iki kitap yazdı!), doğa yürüyüşü yapmaktan ve kamp yapmaktan, yemek pişirmekten ve daha güncel bir hayat yaşamayı umarak ailesiyle günlük maceralardan hoşlanıyor.
