• Anasayfa
  • Nesne
  • Tema
  • En İyi 10 WordPress Güvenlik Hatası ve Bunlardan Nasıl Kaçının

En İyi 10 WordPress Güvenlik Hatası ve Bunlardan Nasıl Kaçının

Yayınlanan: 2020-10-23

WordPress güvenlik hataları yapmak kolaydır. WordPress güvenliğinizdeki en yaygın hatalar, güncel olmayan bilgilere, yaygın WordPress güvenlik mitlerine veya WordPress güvenlik en iyi uygulamalarını bilmemenize bağlı olabilir.

WordPress'in kendisi güvenli olsa da, WordPress güvenlik hatalarından kaçınmak site sahiplerinin biraz çaba göstermesini gerektirir. Bu yazıda, en önemli 10 WordPress güvenlik hatasını, bunlardan nasıl kaçınılacağına dair ipuçlarıyla birlikte ele alacağız.

Bu makalede

    Hemen konuya girelim. WordPress sunucunuzun kalitesinden WordPress yönetici girişinize, kullandığınız temalara ve eklentilere kadar her şeyi ele alacağız.

    1. Kötü Barındırma Seçimi

    Tüm web barındırıcıları eşit yaratılmamıştır ve yalnızca fiyat üzerinden bir tane seçmek, WordPress güvenlik hatalarıyla uzun vadede size çok daha pahalıya mal olabilir.

    Çoğu paylaşılan barındırma ortamı güvenlidir, ancak bazıları kullanıcı hesaplarını düzgün şekilde ayırmaz. Kullanıcı hesapları düzgün bir şekilde ayrılmazsa, güvenliği ihlal edilmiş tek bir hesap, o paylaşılan sunucudaki her web sitesini kapatabilir.

    Barındırıcınız, en son güvenlik düzeltme eklerini uygulama ve sunucu ve dosya güvenliğiyle ilgili diğer önemli barındırma güvenliği en iyi uygulamalarını izleme konusunda dikkatli olmalıdır.

    Kötü Barındırma Seçmekten Nasıl Kaçınılır?

    Web siteniz için sağlam bir güvenlik kaydına sahip saygın bir ana bilgisayar seçin.

    Güvenebileceğiniz bir barındırma sağlayıcısı için iThemes Hosting'e göz atın.

    2. Bir WordPress Yedekleme Planına Sahip Olmamak

    Yedeklemeler ve güvenlik, kulağa gerçekten ilgiliymiş gibi gelmiyor. Ancak bize güvenin, bir fidye yazılımı saldırısından sonra WordPress web sitenizin yedeğini almak gerçekten pastırmanızı kurtarabilir.

    Bir fidye yazılımı saldırısından sonra yedeklemeye sahip olmak, pastırmayı gerçekten kurtarabilir.

    Fidye yazılımı saldırısı, bir bilgisayar korsanının web sitenizin dosyalarını şifreleyerek onları ve web sitenizi erişilemez hale getirmesidir. Web sitenize yeniden erişim sağlamak için dosyaların şifresini çözmek için bir anahtara ihtiyacınız var. Yüksek bir ücret karşılığında, bilgisayar korsanı size anahtarı vermekten çok mutlu olacaktır.

    WordPress web sitenizin yedeğine sahip olmak, web sitenizi fidye için tutulmadan önceki bir duruma geri döndürmenize olanak tanır. Talep edilen fidyeyi ödemek zorunda kalmadan web sitenize yeniden erişim kazanırsınız. #domuz pastırması

    Web Sitesi Yedeğine Sahip Olmamaktan Nasıl Kaçınılır?

    Web sitenizi düzenli olarak yedeklemek için bir program oluşturun.

    WordPress yedekleme eklentimiz BackupBuddy, WordPress yedeklemeleri için önerilen aracımızdır. BackupBuddy ile, yedeklemelerinizin otomatik olarak çalışması için 5 tür WordPress yedeklemesi için yedekleme programları ayarlayabilirsiniz. Huzur bu.

    3. Güvensiz Girişler

    WordPress oturum açma, herhangi bir WordPress sitesinin en saldırıya uğrayan ve potansiyel olarak en savunmasız kısmıdır. Varsayılan olarak, birinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress'te yerleşik bir şey yoktur. Bir saldırganın yapabileceği başarısız oturum açma girişimlerinin sayısında bir sınırlama olmaksızın, başarılı olana kadar sonsuz sayıda kullanıcı adı ve parola denemeye devam edebilir.

    WordPress girişiniz, evinizin ön kapısına çok benzer. Ön kapınızda bir kilit olmadan, herhangi birinin evinize girmesi, mobilyalarınızı hareket ettirmeye başlaması, eşyalarınızı kırması ve TV'nizi çalması kolay olurdu. Olası bir hırsızın evinize girmesini zorlaştırmak için yalnızca ön kapınıza bir kilit eklemek mantıklıdır.

    Güvensiz Giriş Nasıl Önlenir?

    Geçersiz oturum açma girişimlerini sınırlamak için bir WordPress güvenlik eklentisi kullanın.

    iThemes Security Pro Yerel Kaba Kuvvet Koruması özelliği, bir ana bilgisayar veya IP adresi ve bir kullanıcı adı tarafından yapılan geçersiz oturum açma girişimlerinin kaydını tutar. Bir IP veya kullanıcı adı arka arkaya çok sayıda geçersiz oturum açma girişiminde bulunduğunda, bunlar kilitlenir ve daha fazla deneme yapmaları engellenir.

    4. Otomatik Bot Saldırılarına Karşı Koruma Yok

    Bot, belirli bir görev listesini gerçekleştirmek üzere programlanmış bir yazılım parçasıdır. Geliştiriciler, geliştiricinin başlamalarını söylemesine gerek kalmadan bir botun otomatik olarak izleyeceği bir dizi talimat oluşturur. Botlar, tekrarlayan ve sıradan görevleri bizden çok daha hızlı gerçekleştirecek.

    Bu botlardan bazıları, aşağıdakiler gibi hain amaçlarla programlanmıştır:

    Brute Force Botları, saldırmak için WordPress girişlerini aramak için interneti tarar.

    İçerik Kazıma Botları , web sitenizin içeriğini izniniz olmadan indirmek için programlanmıştır. Bot, SEO'larını geliştirmek ve site trafiğinizi çalmak için saldırganın web sitesinde kullanmak üzere içeriği çoğaltabilir.

    Spambot'lar , ziyaretçilerinizi kötü niyetli web sitelerine gönderme umuduyla evden çalışırken milyoner olma vaadiyle yorumlarınızı alt üst eder.

    Otomatik Bot Saldırılarından Nasıl Kaçınılır?

    Web sitenizde Google reCAPTCHA gibi otomatik bot korumasını kullanarak bu WordPress güvenlik hatasından kaçının.

    iThemes Security Pro'daki Google reCAPTCHA özelliği, sitenizi kötü botlardan korur. reCAPTCHA, insanları ve robotları birbirinden ayırmak için gelişmiş risk analizi teknikleri kullanır. Kötü bir bot tespit edildiğinde, web sitenizden başlatılacaktır.

    5. Eklentilerin, Temaların veya WordPress Çekirdeğinin Savunmasız Sürümlerini Kullanma

    Güvenlik açığı bulunan WordPress eklentileri veya temaları, yapabileceğiniz en büyük WordPress güvenlik hatasıdır. Yazılımı güncel tutmak, herhangi bir güvenlik stratejisinin önemli bir parçasıdır ve buna WordPress çekirdeği ile temalarınız ve eklentileriniz dahildir. Sürüm güncellemeleri yalnızca hata düzeltmeleri ve yeni özellikler için değildir. Güncellemeler ayrıca kritik güvenlik yamalarını da içerebilir. Bu yama olmadan telefonunuzu, bilgisayarınızı, sunucunuzu, yönlendiricinizi veya web sitenizi saldırılara karşı savunmasız bırakıyorsunuz.

    Bilgisayar korsanları, insanların güncelleme yapmadığını bildikleri için (web sitenizdeki eklentiler ve temalar dahil) yamalı güvenlik açıklarını hedefler. Güvenlik açıklarının yamalandığı gün kamuya açıklanması bir endüstri standardıdır. Bir güvenlik açığı kamuya açıklandıktan sonra, yazılımın güncel olmayan ve yama uygulanmamış sürümleri için güvenlik açığı "bilinen bir güvenlik açığı" haline gelir. Bilinen güvenlik açıklarına sahip yazılımlar, bilgisayar korsanları için kolay bir hedeftir.

    Hackerlar kolay hedefleri sever. Bilinen güvenlik açıklarına sahip eski yazılımlara sahip olmak, bir bilgisayar korsanına WordPress web sitenize girmesi için adım adım talimatlar vermek gibidir.

    Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur.

    Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur.

    Güvenlik Açığı Olan Eklentileri ve Temaları Kullanmaktan Nasıl Kaçınılır?

    Güvenlik açığı bulunan yazılımların WordPress güvenlik hatasını önlemek için tüm eklentilerinizi ve temalarınızı güncel tutun.

    iThemes Security Pro Site Taramasını kullanın. Site Taraması, sitenizde kurulu olan bilinen güvenlik açıkları için otomatik kontroller gerçekleştirir. Bir yama varsa, iThemes Security Pro düzeltmeyi sizin için otomatik olarak uygular.

    6. Zayıf Kullanıcı Güvenliği

    Zayıf kullanıcı güvenliği, büyük bir WordPress güvenlik hatasıdır. Basitçe söylemek gerekirse: Zayıf parolaya sahip tek bir WordPress yönetici kullanıcısı, uyguladığınız diğer tüm web sitesi güvenlik önlemlerini baltalayabilir. Bu nedenle kullanıcı güvenliği, herhangi bir WordPress güvenlik stratejisinin önemli bir parçasıdır.

    Verizon Veri İhlali Araştırmaları Raporuna göre, çalışanların %70'inden fazlası iş yerinde parolaları yeniden kullanıyor. Ancak rapordaki en önemli istatistik, "hack ile ilgili ihlallerin %81'inin çalıntı veya zayıf parolalardan yararlandığı"dır.

    Splash Data tarafından derlenen bir listede, tüm veri dökümlerinde bulunan en yaygın şifre 123456 idi. Veri dökümü, internette bir yere dökülen kullanıcı şifreleriyle dolu, saldırıya uğramış bir veritabanıdır. Veri dökümlerinde en yaygın şifre 123456 ise, web sitenizde kaç kişinin zayıf bir şifre kullandığını hayal edebiliyor musunuz?

    Hacker'ın araçları daha iyi hale geliyor ve şifreleri her zamankinden daha hızlı atlayabiliyorlar. Örneğin, yüksek performanslı bir şifre kırma şirketi olan Terahash tarafından oluşturulan bir grafiğe bakalım. Grafikleri, 448x RTX 2080'lerden oluşan bir hashstack kümesi kullanarak bir parolayı kırmak için geçen süreyi gösterir.

    Varsayılan olarak, WordPress, WP veritabanında depolanan kullanıcı şifrelerini toplamak için MD5 kullanır. Bu tabloya göre, Terahash 8 karakterlik bir şifreyi neredeyse anında kırabilir. Bu sadece süper etkileyici değil, aynı zamanda gerçekten korkutucu.

    Daha da kötüsü, insanların %91'i parolaları yeniden kullanmanın kötü bir uygulama olduğunu bilse de, %59'u hala her yerde parolalarını yeniden kullanıyor! Bu kişilerin çoğu hala bir veritabanı dökümünde göründüğünü bildikleri parolaları kullanıyor.

    Bilgisayar korsanları, sözlük saldırısı adı verilen bir kaba kuvvet saldırısı kullanır. Sözlük saldırısı, veritabanı dökümlerinde görünen yaygın olarak kullanılan parolalarla bir WordPress web sitesine girme yöntemidir. “Koleksiyon #1? MEGA barındırılan üzerinde barındırılan Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu. Bu bir b ile milyar. Bu tür bir puan, bir sözlük saldırısının en sık kullanılan WordPress şifrelerini daraltmasına gerçekten yardımcı olacaktır.

    Zayıf Kullanıcı Güvenliği Nasıl Önlenir

    Zayıf kullanıcı güvenliğine ilişkin WordPress güvenlik hatasını önlemenin en iyi yolu, güçlü bir parola politikası oluşturmak ve iki faktörlü kimlik doğrulama kullanmaktır.

    iThemes Security Pro Parola Gereksinimleri özelliği, bir kullanıcı grubunun üyelerini güçlü bir parola kullanmaya zorlamaya, parolanın sona ereceği bir zaman seçmeye, güvenliği ihlal edilmiş parolaları reddetmeye ve herkesin yeni güçlü parola ilkenize uymasını sağlamak için site genelinde parolaları değiştirmeye zorlamaya olanak tanır.

    İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. Google, blogunda iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı.

    iThemes Security Pro İki Faktörlü Kimlik Doğrulama özelliği, web sitenize 2fa uygularken çok fazla esneklik sağlar. Kullanıcılarınızın tamamı veya bir kısmı için iki faktörü etkinleştirebilir ve üst düzey kullanıcılarınızı her oturum açmada 2fa kullanmaya zorlayabilirsiniz.

    7. Şifrelenmemiş İletişim (SSL Yok)

    Web sitenizdeki iletişimleri şifrelememek ciddi bir WordPress güvenlik hatasıdır. Çevrimiçi bir satın alma yaptığımızda, tarayıcınız ve çevrimiçi mağaza arasında iletişim gerçekleşir. Örneğin tarayıcımıza kredi kartı numaramızı girdiğimizde tarayıcımız numarayı online mağaza ile paylaşacaktır. Mağaza ödemeyi aldıktan sonra, tarayıcınıza satın alma işleminizin başarılı olduğunu bildirmesini söyler.

    Tarayıcımız ve mağazanın sunucusu arasında paylaşılan bilgiler hakkında akılda tutulması gereken bir şey, bilgilerin geçiş sırasında birkaç duraklamasıdır. İletişim şifrelenmemişse, bir bilgisayar korsanı, mağaza sunucusunun son hedefine ulaşmadan önce kredi kartımızı çalabilir.

    Şifrelemenin nasıl çalıştığını daha iyi anlamak için satın almalarımızın nasıl teslim edildiğini düşünün. Çevrimiçi bir satın alma işleminin teslimat durumunu daha önce takip ettiyseniz, siparişinizin evinize varmadan önce birkaç kez durduğunu görürdünüz. Satıcı satın aldığınız ürünü düzgün bir şekilde paketlemediyse, insanların satın aldığınız ürünü görmesi kolay olacaktır.

    Şifrelenmemiş İletişimden Nasıl Kaçınılır?

    Web sitenizdeki iletişimi şifrelemek için bir SSL sertifikasına ihtiyacınız olacak. WordPress web sitenizde SSL yoksa, yapmanız gereken ilk şey, barındırma sağlayıcınızdan ücretsiz bir SSL sertifikası ve yapılandırması sağlayıp sağlamadıklarını sormaktır.

    Cloudflare, WordPress web siteleri için ücretsiz bir paylaşılan SSL sertifikası sunar. Paylaşılan bir SSL sertifikasına sahip olmamayı tercih ediyorsanız ve komut satırı konusunda rahatsanız, CertBot mükemmel bir seçenektir. Certbot, Let's Encrypt kullanarak sizin için sadece ücretsiz bir SSL sertifikası oluşturmakla kalmaz, aynı zamanda sertifikanın yenilenmesini de sizin için otomatik olarak yönetir.

    8. Yetersiz Güvenlik Günlüğü ve İzleme

    Web sitenizde yetersiz oturum açma, OWASP web uygulaması güvenlik risklerinin ilk 10'una giren yeterince büyük bir WordPress güvenlik hatasıdır. Günlük kaydı, WordPress güvenlik stratejinizin önemli bir parçasıdır. Doğru davranışı izlemek, saldırıları belirlemenize ve durdurmanıza, bir ihlali tespit etmenize ve başarılı bir saldırıdan sonra web sitenize verilen zarara erişmenize ve onarmanıza yardımcı olacaktır.

    Yetersiz günlük kaydı ve izleme, bir güvenlik ihlalinin tespitinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor! Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir.

    Yetersiz günlük kaydı ve izleme, bir güvenlik ihlalinin tespitinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor!

    Yetersiz Günlüğe Kaydetme Nasıl Önlenir

    Bu WordPress güvenlik hatasını önlemek için web sitenize güvenlik günlüğü ekleyin. Bir günlük sistemi oluşturmak için WordPress'in sağladığı geliştirici işlevlerinden ve filtrelerinden bazılarını kullanabilirsiniz, ancak bir güvenlik günlüğü başlatmanın en kolay yolu bir WordPress güvenlik eklentisi yüklemektir.

    iThemes Security Pro WordPress Güvenlik Günlükleri, web sitenizde meydana gelen kritik güvenlik olaylarını otomatik olarak izler ve kaydeder.

    9. Kullanılmayan Eklentiler ve Temalar

    Kullanılmayan veya etkin olmayan eklentilerin ve temaların web sitenizde bulunması büyük bir WordPress güvenlik hatasıdır. Web sitenizdeki her kod parçası, bir bilgisayar korsanı için potansiyel bir giriş noktasıdır.

    Geliştiricilerin eklentilerinde ve temalarında üçüncü taraf kod benzeri JS kitaplıkları kullanmaları yaygın bir uygulamadır. Ne yazık ki, kitaplıklar düzgün bir şekilde korunmazsa, saldırganların web sitenizi hacklemek için kullanabileceği güvenlik açıkları oluşturabilirler.

    Eklentilerden ve Temalardan Nasıl Kaçınılır?

    Web sitenizdeki erişim noktalarının ve yürütülebilir kodun sayısını sınırlamak için WordPress sitenizdeki gereksiz eklentileri ve temaları kaldırın ve tamamen silin.

    Web sitenizdeki erişim noktalarının ve yürütülebilir kodun sayısını sınırlamak için WordPress sitenizdeki gereksiz eklentileri ve temaları kaldırın ve tamamen silin.

    Ayrıca, terk edilmiş WordPress eklentilerini kullanmaktan kaçının. WordPress sitenize yüklenen herhangi bir eklenti altı ay veya daha uzun bir süre içinde güncelleme almadıysa.

    10. Güvenilmeyen Kaynaklardan Yazılım Yükleme

    Güvenilmeyen kaynaklardan yazılım yüklemek, WordPress güvenlik hatası oluşturmanın hızlı yollarından biridir. Ticari eklentilerin "boş" bir sürümüne karşı dikkatli olmalısınız. Çoğu zaman bu ücretsiz veya çok indirimli profesyonel eklenti sürümleri kötü amaçlı kod içerir.

    Ticari eklentilerin "boş" bir sürümüne karşı dikkatli olmalısınız. Çoğu zaman bu ücretsiz veya çok indirimli profesyonel eklenti sürümleri kötü amaçlı kod içerir.

    Kötü amaçlı yazılım yükleyen sizseniz, WordPress sitenizi nasıl kilitlediğinizin bir önemi yoktur.

    Güvenilmeyen Kaynaklardan Gelen Yazılımlardan Nasıl Kaçının

    Yalnızca WordPress.org'dan, iyi bilinen ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımları yüklemelisiniz.

    Yalnızca WordPress.org'dan, iyi bilinen ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımları yüklemelisiniz.

    WordPress eklentisi veya teması geliştiricinin web sitesinde dağıtılmıyorsa, eklentiyi indirmeden önce gerekli özeni göstermek isteyeceksiniz. Ürünlerini ücretsiz veya indirimli fiyatla sunan web sitesine herhangi bir şekilde bağlı olup olmadıklarını öğrenmek için geliştiricilere ulaşın.

    Özet: En İyi 10 WordPress Güvenlik Hatası Açıklandı

    Gördüğümüz gibi, birçok potansiyel WordPress güvenlik hatası var. Neyse ki, tüm güvenlik hatalarından sadece biraz çaba sarf ederek kolayca kaçınılabilir.

    Basit Bir WordPress Güvenlik Kontrol Listesi

    WordPress güvenlik açıklarının çoğu, WordPress güvenliğine proaktif bir yaklaşım benimsenerek azaltılabilir. Özetlemek gerekirse, izlenmesi gereken basit bir WordPress güvenlik kontrol listesi:

    • 1. Kaliteli barındırma seçin.
    • 2. Bir yedekleme programı oluşturun.
    • 3. Geçersiz giriş denemelerini sınırlayın
    • 4. Otomatik bot koruması ekleyin.
    • 5. Güvenlik açığı bulunan yazılımları kullanmaktan kaçının.
    • 6. Güçlü parolalar ve 2fa kullanın.
    • 7. SSL ile iletişimi şifreleyin.
    • 8. WordPress güvenlik günlüğü ekleyin.
    • 9. Kullanılmayan eklentileri ve temaları kaldırın.
    • 10. Yalnızca güvenilir kaynaklardan gelen yazılımları yükleyin.

    iThemes Security Pro'yu edinin