İçeriğe geç

WordPress Siteniz Saldırı Riski Altında Mı?

Tarih: 2 Şubat 2021 | Yazar: Utku Kahraman

Pandemi nedeniyle, çevrimiçi mağazalara tüketici göçü hızla arttı. Ve siber saldırı riskleri de var.

Geçtiğimiz Ekim ayında, WordPress güvenlik ekibi bir güvenlik güncellemesini popüler bir eklentiye göndermek için dahili bir özellik kullandı. Bir güncellemeyi zorla yaptırma özelliği, deneyimli geliştiriciler arasında bile birçok kişi tarafından bilinmiyordu.

Bir milyondan fazla site tarafından kullanılan Loginizer eklentisinde bulunan hata, son hafızadaki bir WordPress eklentisini etkileyen en kötü güvenlik sorunlarından biri olarak kategorize edildi, bu yüzden WordPress’teki güvenlik ekibi eylemin gerekli olduğunu düşündü.

Herkes WordPress’in proaktif yaklaşımını beğenmedi, kullanıcılar Loginzer’ın forumunda ve WordPress.org sitesinde şikayet etti. Bazıları, devre dışı bırakılmış otomatik güncellemeleri olan bir eklentiyi güncellemenin bile mümkün olduğunu öğrenince şaşırdı. Kullanıcılar, WordPress zorunlu güncelleme özelliğini ilk kez kullandıktan sonra 2015 yılında şikayet etti.

WordPress, eklentide bulunan tehlikeli bir SQL enjeksiyon hatasını engellemek için bir güvenlik düzeltmesi yapmaya karar verdi. Güvenlik açığı, bilgisayar korsanlarının, WordPress oturum açma sayfası için ironik bir şekilde güvenlik geliştirmeleri sağlayan eski Loginizer sürümlerini kullanarak WordPress sitelerini ele geçirmesini sağlayabilirdi.

WordPress güncellemesi

Yaklaşık iki hafta sonra, WordPress, WordPress çekirdeği için WordPress 5.5.2 güvenlik ve bakım sürümünü çıkardı. Bu güncelleme on güvenlik düzeltmesi içerir ve WordPress tüm kullanıcıların sitelerini hemen güncellemelerini önerir.

2016 itibarıyla WordPress , internetteki 1,2 milyar web sitesinin yaklaşık % 34’ünü destekledi  . Bir içerik yönetim sistemi (CMS) olan WordPress, öncelikle kullanım kolaylığı nedeniyle temel ve ileri düzey beceri seviyelerine sahip web geliştiricileri tarafından tercih edilmektedir. Bu kadar çok yükleme ile siber suçlular için sabit bir hedef haline geldi ve dünyanın dört bir yanındaki site sahipleri, sürekli bir dizi kaba kuvvetin ve diğer saldırı türlerinin kurbanı oldu. WordPress’in bu düzenli güvenlik güncellemeleri, bu sitelerin güvenli ve erişilebilir durumda tutulması için kritik öneme sahiptir.

WordPress ekosistemi

WordPress sadece hain bilgisayar korsanlarını değil, aynı zamanda girişimcileri de cezbetmektedir. Astra, iThemes, Sucuri ve Bullet gibi şirketler, işlerini WordPress web sitesi sahipleri için güvenlik sorunlarını çözme üzerine kurdular.

Bu popüler CMS’nin kullanım kolaylığının yanı sıra basit bir özelleştirme de geliyor. Ne tür bir site oluşturmak isterseniz isteyin, hazır özelleştirme sağlayan bir eklenti vardır. Son olarak,  WordPress.org 58.000’den fazla çözüm listeledi, ancak bu eklentiler ve temalar genellikle saldırıların giriş noktasıdır.

WordPress, eklentiler ve temalar genellikle şunlara karşı savunmasızdır:

  • Brute Force Attacks – giriş kazanana kadar farklı kullanıcı adı ve şifre kombinasyonları girme.
  • Siteler Arası Komut Dosyası – bilgisayar korsanları, kurbanları kötü amaçlı JavaScript kodları içeren bir siteye ikna eder.
  • File Inclusions – WordPress PHP kodundaki güvenlik açıklarından yararlanma.
  • Kötü amaçlı yazılım – örneğin yetkisiz yönlendirmeleri kolaylaştırmak veya barındırma hesabınıza yüksek düzeyde erişime izin vermek için siteye yerleştirilen kod.
  • SQL Enjeksiyonları – saldırganlar güvenli olmayan veritabanları arar ve onlara MySQL enjeksiyonlarını kullanarak erişir, bu da onlara tüm veriler üzerinde kontrol sağlar ve yönetici hesapları oluşturmalarını veya kötü amaçlı yazılım içeren diğer sitelere bağlantılar gibi veritabanına içerik eklemelerini sağlar.

WordPress web siteniz neden risk altında?

Çoğu WordPress web sitesi (tüm web siteleri) savunmasızdır çünkü web sitesi geliştiricileri ve sahipleri, güvenlik söz konusu olduğunda en iyi uygulamaları uygulamazlar. Zayıf parolalar, güvenlik açığının birincil noktalarıdır ve hızla giderilir, ancak zayıf, tahmin edilmesi kolay parolalar nedeniyle her gün binlerce site ihlal edilmektedir.

Basit şifreler

Kaba kuvvet saldırılarını engellemek için 12 veya daha fazla karakter kullanarak, sembolleri, harfleri ve sayıları karıştırarak ve parolanın WordPress siteniz için benzersiz olmasını sağlayarak karmaşık parolalar oluşturun. LastPass ve 1Password gibi parola kasası uygulamaları bunu kolaylaştırır.

Kimlik doğrulama yok

Çok faktörlü kimlik doğrulama, diğer en iyi uygulamalara eklendiğinde bilgisayar korsanlarının web sitenize erişmesini engellemeye yardımcı olacak ek bir güvenlik katmanı sağlar. Yetkili erişim girişimlerini doğrulamak için mobil cihazınız için Google Authenticator gibi çeşitli uygulamalar vardır.

Kullanılmayan eklentiler ve temalar

WordPress web siteleri için diğer giriş noktaları, eski eklentiler ve temalardır. Siteler daha az eklentiyle daha hızlı çalışsa da, birçok web sitesi sahibi eklentileri yükler, dener ve ardından sağladıkları özelliği kullanmamayı tercih eder. Terk edilen eklentiler geride bırakılır ve güncellemeler göz ardı edilir. Zamanla, web siteleri düzinelerce kullanılmayan eklenti ve temayı biriktirebilir.

Yeni eklentiler ve temalar yüklerken dikkatli olun. Her zaman WordPress.org gibi güvenilir web sitelerinden indirin . Birkaç tek işlevli eklenti yerine birden çok işlevi olanları seçerek daha az eklenti kullanın.

Hosting hesabınıza giriş yaparak veya FTP yazılımı kullanarak temaları silin. Ayrıca, artık kullanmadığınız eklentiler tarafından oluşturulan tablo öksüzleri için veritabanını kontrol edin.

Güvenlik eklentisi yok

Her sitenin bir güvenlik eklentisi olmalıdır ve pek çok iyi eklentisi vardır. Bunlar, bilgisayar korsanlarının sitenize erişmeye çalışması durumunda ilk savunma hattınızdır. Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security ve Wordfence’i daha az bilinen diğer seçeneklerle birlikte ilk on listede sık sık bulacaksınız.

Barındırma güvenliği yok

Birçok barındırma şirketi, bir eklenti hizmeti dahil edilmiş veya mevcut güvenlik özelliklerine sahiptir. Yazılımı (ve WordPress güvenlik eklentinizi) düzenli taramalar için yapılandırın – günlük çok sık değil – ve sizi herhangi bir anormallik konusunda uyarmak için.

Bir yedekleme planı

Her web sitesi sahibinin en iyi güvenlik uygulamalarını izlemesi gerekse de, bir sitenin saldırıya uğraması ihtimali hala mevcuttur. Yedekleme planları, ters gidebilecek her şey olduğunda güvenli olanlardır. Sitede ne sıklıkta değişiklik yaptığınıza bağlı olarak düzenli yedeklemeleri etkinleştirin. Günlük bir görevse, günlük yedeklemeler oluşturun. Bunları iş yeri dışında saklayın ve hemen bir saldırı keşfetmezseniz ve temiz bir yedek bulmak için birkaç gün geri gitmeniz gerekirse diye bir haftalık değerde kalın.

WordPress’in arkasındaki geliştiriciler, web sitelerini güvende tutmak için yorulmadan çalışır, ancak sahipler yazılımlarının güncel ve şifrelerin güvenli olduğundan emin olmak için sorumluluk almalıdır. Aynı şekilde WordPress site geliştirmeyi kolaylaştırdığı gibi güvenliği de kolaylaştırmıştır. Güncellemeleri yükleyin, karmaşık parolalar kullanın, kimlik doğrulama ekleyin ve sitenizin çalışır durumda kalmasını ve para kazanmasını sağlamak için yedeklemeleri planlayın.

 

Kaynak : entrepreneur.com

Kategori:CMSWordpress

İlk Yorumu Siz Yapın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir