16 WordPress güvenlik sorunu (güvenlik açıkları)

Bu makaleyi dinle

WordPress güvenlik açıkları – 16 popüler güvenlik sorunu, onlar hakkında ve nasıl düzeltileceği bu makalede. WordPress, herkesin hızlı bir şekilde bir web sitesi oluşturmasına izin verir, ancak İnternette ne kadar çok güvenlik sorunu olduğunu bize söyleyen çok fazla gürültü vardır.

• WordPress'in güvenlik sorunları var mı? Evet
• Karşı konulamaz mı? Numara
• Bu, web sitenizi WordPress ile oluşturmanızı engellemeli mi? Büyük ihtimalle hayır

En ihtiyatlı tahmin, web sitelerinin sayısını yaklaşık 2 milyar olarak gösteriyor ve bunların neredeyse 45%'si WordPress tarafından destekleniyor. Bunun nedeni, WordPress'in çok üretken olması ve birçok saldırıya maruz kalmasıdır. Doğrudan bir sonuç olarak, WordPress çok güvenli bir sisteme dönüştü. Aslında, WordPress'in yıllar içinde çözdüğü güvenlik sorunlarının çoğu, diğer CMS'lerde hala mevcuttur.

Bu yazıda, hangi WordPress güvenlik sorunlarına dikkat etmeniz gerektiğini ve daha da önemlisi sitenizi bunlardan nasıl koruyabileceğinizi anlatacağım.

Makalenin içeriği:

• WordPress'in güvenlik açıkları ve güvenlik sorunları var mı?
• Sitenizi Etkileyebilecek 16 Yaygın WordPress Güvenlik Açığı Sorunu
• WordPress güvenlik sorunlarını önlemek için en iyi uygulamalar
• WordPress güvenlik açığı kullanan siteleri hacklemenin ana nedenleri
• Çıktı

WordPress'in güvenlik açıkları ve güvenlik sorunları var mı?

Evet, WordPress'te güvenlik sorunları var, ancak bunların üstesinden gelmek zor değil. Tehditlere karşı koymak için geliştirme deneyimine veya WordPress koduyla ilgili deneyime sahip olmanıza gerek yoktur. Bu makalede belirtilen basit düzeltmeleri uygulayın ve güvenilir ve güvenli bir WordPress web sitesine sahip olacaksınız.

Sitenizi Etkileyebilecek 16 Yaygın WordPress Güvenlik Açığı Sorunu

WordPress'in birçok güvenlik sorunu ve epeyce güvenlik açığı var. Ama iyi olan şey, hepsinin kolayca çözülebilmesi. Hiç kimse web sitesini geliştirmek veya gelirini artırmak yerine web sitesinin güvenliğini yönetmek için zaman harcamak istemez.

Dışında WordPress güvenlik açıkları güvenliği ihlal edilmiş parolalar, kötü amaçlı yazılımlar ve saldırılar da güvenlik kaygılarıdır. Kötü amaçlı yazılım ve WordPress saldırıları bazen birbirinin yerine kullanılsa da farklıdırlar. Kötü amaçlı yazılım, bilgisayar korsanlarının sitenize enjekte ettiği kötü amaçlı koddur, saldırılar ise kötü amaçlı yazılım enjekte etmek için kullandıkları mekanizmalardır. Aşağıdaki listede, 4 tür WordPress güvenlik sorununu ele aldım.

Farkında olmanız gereken yaygın WordPress güvenlik açığı sorunlarının bir listesi:

• Eski eklentiler ve temalar;
• Zayıf şifreler;
• WordPress sitenizdeki kötü amaçlı yazılım;
• SEO spam kötü amaçlı yazılımı;
• Kimlik dolandırıcılığı;
• Kötü amaçlı yönlendirmeler;
• Yeniden kullanılabilir şifreler;
• Sıfırlanmış yazılım;
• WordPress sitenizdeki arka kapılar;
• Kötü amaçlı yazılım wp-vcd.php;
• Kaba kuvvet saldırıları (kaba kuvvet saldırısı);
• SQL enjeksiyonu;
• Siteler arası komut dosyası çalıştırma saldırıları;
• Site HTTP üzerinden çalışır, HTTPS üzerinden değil;
• WordPress'ten gönderilen spam e-postalar;
• Etkin olmayan kullanıcı hesapları.

1. Güncel olmayan eklentiler ve temalar

WordPress eklentileri ve temaları kodla oluşturulmuştur ve daha önce de açıkladığım gibi, geliştiriciler bazen kodda hatalar yaparlar. Hatalar, güvenlik açıkları adı verilen güvenlik açıklarına neden olabilir.

Güvenlik araştırmacıları, interneti daha güvenli bir yer haline getirmek için popüler yazılımlardaki WordPress güvenlik açıklarını arıyor. Güvenlik açıklarını keşfettiklerinde, düzeltmeleri için geliştiricilere bildirirler. Sorumlu geliştiriciler daha sonra güvenlik açığını gideren bir güncelleme biçiminde bir güvenlik yaması yayınlar. Yeterli bir süre sonra, güvenlik araştırmacıları bulgularını açıklayacaktır.

İdeal olarak, eklentiler ve temalar bu zamana kadar güncellenmelidir. Ancak, çoğu zaman durum böyle değildir. Bilgisayar korsanları da web sitelerine saldırma ve güvenlik açıklarından yararlanma eğilimini bilir ve buna güvenir.

Güncellemeler, dikkatli yapılmadığı takdirde bazen bir siteyi bozabilir. Güncellemeleri yönetmek için BlogVault'u kullanın, böylece siteniz bir güncellemeden önce yedeklenir, böylece bir üretim sitesine geçmeden önce bir test aşamasında her şeyin mükemmel çalıştığından emin olabilirsiniz.

Düzeltme: Web sitenizdeki güncellemeleri hızla yönetin.

2. Zayıf şifreler

Bilgisayar korsanları, bir web sitesine girmek için birçok kullanıcı adı ve parola kombinasyonunu deneyerek oturum açma sayfalarına saldırmak için bot adı verilen programları kullanır. Botlar, kırmak için genellikle sözlük sözcüklerini ve yaygın olarak kullanılan parolaları kullanarak dakikada yüzlerce kombinasyonu deneyebilir. Başarılı olduklarında, bilgisayar korsanı sitenize açık erişime sahip olacaktır.

Öte yandan, karmaşık şifrelerin hatırlanması zordur, bu nedenle yöneticiler evcil hayvan isimleri, doğum günleri ve hatta "şifre" kelimesinin varyasyonları gibi hatırlanması kolay olanları seçerler.

Ancak bu, sitenin güvenliğini saldırılara karşı savunmasız bırakır. Bu bilgilere yasal olarak çevrimiçi olarak sosyal medya ve diğer siteler aracılığıyla ve yasa dışı olarak veri ihlalleri veya karanlık ağ aracılığıyla erişilebilir. Hesabınızı ve dolayısıyla web sitesini güvende tutmak için güçlü ve benzersiz bir şifreye sahip olmak en iyisidir.

NotA: Kullanıcı hesabınız ve barındırma hesabınız dahil olmak üzere web sitesi hesaplarınız için güçlü parolalar belirlemeniz gerekir. Yönetici, SFTP kimlik bilgilerini ve veritabanlarını sık sık değiştirmez, ancak değiştirirseniz bunlar için güçlü parolalar da belirlediğinizden emin olun.

Ek olarak, WordPress giriş denemelerinin sayısını sınırlayabilirsiniz. Bir kullanıcının çok fazla hatalı girişi varsa, geçici olarak yasaklanır veya bot olmadığını kanıtlamak için bir CAPTCHA tamamlaması gerekir. Bu önlem botlara karşı koruma sağlar ve insan faktörünü hesaba katar.

Düzeltme: Botları engellemek için güçlü parolalar kullanın ve giriş denemelerinin sayısını sınırlayın.

3. WordPress sitenizdeki kötü amaçlı yazılım

Kötü amaçlı yazılım, web sitenizde yetkisiz faaliyetlere izin veren herhangi bir kodu tanımlamak için kullanılan genel bir terimdir. Aşağıdaki paragraflarda, arka kapılar ve kimlik avı saldırıları gibi belirli durumlara da bakacağım.

WordPress güvenlik sorunlarını çözmekten bahsettiğimizde amaç, kötü amaçlı yazılımları dışarıda tutmaktır. Ancak, daha önce de söylediğim gibi, 100%'de hiçbir sistem zırh delici değil. Her şeyi doğru yapabilirsiniz ve zeki bir bilgisayar korsanı korumayı kırmanın yeni bir yolunu bulacaktır. Nadirdir, ama olur. Halihazırda sitenizde bulunan kötü amaçlı yazılımlarla nasıl başa çıkıyorsunuz?

Her şeyden önce, kötü amaçlı yazılımın gerçekten sitenizde olduğunu doğrulamanız gerekir. Kötü amaçlı yazılımlar dosyalarda, klasörlerde ve bir veritabanında saklanabilir. WordPress çekirdek dosyaları, görüntü dosyaları olarak gizlenmiş ve hatta eklenti olarak görüntülenen kötü amaçlı dosyalar gördük. Web sitenize virüs bulaşıp bulaşmadığından emin olmanın tek yolu, her gün derinlemesine tarama yapmaktır. Bunu yapmak için MalCare veya Wordfence Security'yi yüklemeniz gerekir. MalCare'e bir göz atalım:

MalCare, sitenizdeki kötü amaçlı yazılımları tespit etmek için gelişmiş bir algoritma kullanır. Diğer tarayıcılar, kötü amaçlı yazılımı işaretlemek için dosya karşılaştırma ve imza eşleştirme gibi kısmen etkili yöntemler kullanır. MalCare, kod davranışını kontrol etmek için 150'den fazla sinyal kullanır ve ardından, amaç kötüyse kötü amaçlı yazılım olarak işaretler. Bunun iki büyük faydası var:

• ilk olarak, kullanıcı kodu kötü amaçlı yazılım olarak işaretlendiğinde hatalı pozitif sonuç olmaz;
• ikincisi, kötü amaçlı yazılımın en yeni çeşitleri bile doğru bir şekilde algılanır.

MalCare, 95'ten fazla % kötü amaçlı yazılım tarama doğruluğu sağlar ve tamamen ücretsizdir. Tarama sonuçları sitenizin saldırıya uğradığını gösteriyorsa, ancak o zaman sitenizi temizlemek için yeni sürüme geçmeniz gerekir. MalCare ile otomatik temizleme özelliği, kötü amaçlı yazılımları WordPress sitenizden ameliyatla kaldıracak ve sitenizi tekrar bozulmamış halde bırakacaktır.

Düzeltme: MalCare ile sitenizi tarayın ve temizleyin.

4. SEO Spam Kötü Amaçlı Yazılım

SEO spam'ı, bilgisayar korsanları tarafından web sitenizin trafiğini web sitenizden şüpheli ve spam sitelerine yönlendirmek için kullanılan özellikle korkunç bir kötü amaçlı yazılımdır. Bunu, Google arama sonuçlarınızı ele geçirerek, mevcut sayfalarınıza kod ekleyerek veya trafiği kendi web sitelerine yönlendirerek yaparlar. Bazen bütün bunları yaparlar. Her iki durumda da, her zaman kötü haber.

SEO spam kötü amaçlı yazılımının Japonca anahtar sözcük korsanlığı ve ilaç korsanlığı gibi birkaç yaygın çeşidi vardır. Bu seçeneklerin her ikisi de kendi başlarına ün kazandı çünkü semptomları, arama sonuçlarında belirli Japonca karakterler veya ilaç şirketi anahtar sözcükleri.

Tüm SEO spam kötü amaçlı yazılım türlerinin manuel olarak kaldırılması inanılmaz derecede zordur çünkü kolayca kaldırılamayan yüzbinlerce yeni spam sayfası oluşturabilirler. Ek olarak, .htaccess dosyası gibi önemli WordPress çekirdek dosyalarına ve klasörlerine kötü amaçlı yazılım enjekte ederler; bu, düzgün bir şekilde temizlenmezse siteyi bozabilir.

Bu tür kötü amaçlı yazılımlara sahip siteler, Google Search Console'da her zaman işaretlenir, Google tarafından kara listeye alınır ve web sunucusunun barındırma hesabınızı askıya almasına neden olur. Dolayısıyla, bu saldırıyla mücadele etmenin anahtarı, işi bu durumda WordPress güvenlik eklentileri olan uzmanlara bırakmaktır. Yalnızca kötü amaçlı yazılımlardan kurtulmakla kalmaz, aynı zamanda sitenizi gelişmiş bir güvenlik duvarı ile korurlar.

Düzeltme: SEO spam kötü amaçlı yazılımlarını WordPress güvenlik eklentileriyle kaldırın.

5. Kimlik avı dolandırıcılığı

Kimlik avı amaçlı kötü amaçlı yazılım, güvenilir markalar gibi görünerek kullanıcıları hassas verilerini ifşa etmeleri için kandıran iki parçalı bir dolandırıcılıktır.

İlk kısım, şüphelenmeyen kullanıcıya, genellikle şifrelerini veya başka bir şeyi hemen güncellemezlerse korkunç bir şey olacağına dair ciddi bir uyarı içeren resmi bir e-posta göndermektir. Örneğin, bir kimlik avı e-postası bir web barındırma istemcisini taklit ettiğinde, sitenin kapatılma tehlikesiyle karşı karşıya olduğunu söyleyebilirler.

Dolandırıcılığın ikinci yarısı web sitesinde gerçekleşir. Bir kimlik avı e-postası genellikle, kullanıcıyı sözde resmi bir web sitesine götüren ve kimlik bilgilerini girmesini gerektiren bir bağlantı içerir. Web sitesi açıkça sahtedir ve bu, hesaplarını bu kadar çok kişinin tehlikeye atmasıdır.

Dolandırıcılığın hangi bölümünün gerçekleştiğine bağlı olarak, WordPress web sitelerinde iki tür kimlik avı vardır. İlk durumda, WordPress yöneticisi, web sitelerinin bir veritabanı güncellemesi gerektirdiğine dair kimlik avı e-postaları alır ve giriş bilgilerini girmeleri için kandırılır.

Öte yandan, bilgisayar korsanları sitenizi sahte sayfalar için kullanabilir. Çoğu zaman, web sitesi yöneticileri, hiçbir sebepleri olmasa bile, web sitelerinde banka logoları veya e-ticaret sitesi logolarına rastlarlar. İnsanları aldatmak için kullanılırlar.

Google ve Yandex, özellikle bu sayfaları barındıran web sitelerinde, kimlik avına karşı önlem almakta çok hızlıdır. Bir kimlik avı web sitesi bulunduğunda web siteniz kara listeye alınacak ve bildirilecektir ve bu, ziyaretçi güveni ve marka bilinci oluşturma açısından korkunç bir durumdur. Masum olmanıza rağmen web siteniz dolandırıcı bir site haline geldi. Bu kötü amaçlı yazılımdan bir an önce kurtulmanız ve zararı önlemek için adımlar atmanız zorunludur.

Düzeltme: MalCare veya Wordfence Security güvenlik eklentisi ile web sitenizden kimlik avı amaçlı kötü amaçlı yazılımları kaldırın ve kullanıcılarınıza e-postalardaki bağlantılara tıklamamalarını tavsiye edin.

6. Kötü amaçlı web sitesi yönlendirmeleri

En kötü WordPress saldırılarından biri, kötü amaçlı yönlendirme saldırısıdır. Web sitenizi yalnızca şüpheli ürün ve hizmetler satan başka bir spam veya dolandırıcılık web sitesinde bulmak için ziyaret etmek inanılmaz derecede sinir bozucu. Çoğu zaman, bir WordPress yöneticisi, saldırıya uğramış bir yeniden yönlendirme kötü amaçlı yazılımı nedeniyle web sitelerine giriş bile yapamaz. Bu kötü amaçlı yazılımın birçok çeşidi vardır ve web sitesinin dosyalarına ve veritabanına tamamen bulaşır.

Kötü amaçlı kötü amaçlı yazılım yönlendirmelerinden kurtulmanın tek yolu bir güvenlik eklentisi kullanmaktır. Aslında, sitenize giriş yapamayacağınız için muhtemelen eklentiyi kurarken yardıma ihtiyacınız olacak.

Düzeltme: MalCare veya Wordfence Security ile kırık yönlendirme kötü amaçlı yazılımlarından kurtulun.

7. Yeniden kullanılabilir parolalar

Yeniden kullanılabilir parolalar, önceki bölümde tartıştığım gibi güçlü parolalar olabilir, ancak benzersiz olmaları gerekmez.

Örneğin, sosyal medya hesabınız ve web sitesi hesabınız, şifre için aynı harf, sembol ve sayı dizisine sahiptir. Yazmaya alışkınsınız ve tahmin etmenin imkansız olduğunu düşünüyorsunuz, bu yüzden iyi bir şifre.

Yarı haklısın. Bu iyi bir parola, ancak yalnızca bir hesap için. Temel kural, parolaları asla farklı hesaplar için yeniden kullanmamaktır. Bunun nedeni, potansiyel veri sızıntısı tehdididir.

GoDaddy, Eylül 2021'de yalnızca Kasım 2021'de keşfettikleri bir sızıntı yaşadı. O zamana kadar, 1,2 milyon kullanıcıdan oluşan bir veritabanı ve SFTP kimlik bilgileri ele geçirilmişti. Bu kullanıcılardan herhangi biri bu şifreleri başka bir yerde, örneğin bir banka hesabı için kullanmışsa, bu bilgi artık bir bilgisayar korsanının elindeydi. Diğer hesapları hacklemek çok daha kolay hale geldi.

Verilerimizi korumak için çeşitli hizmetlere ve web sitelerine güveniyoruz, ancak hiçbir sistem tamamen zırh delici değildir. Her şey doğru zamanda kırılabilir ve kırılacaktır. Amaç, hasarı mümkün olduğunca kontrol altına almaktır. Bu, her hesap için benzersiz ve güçlü parolalar oluşturmanıza yardımcı olacaktır.

Düzeltme: Benzersiz parolalar belirleyin ve bunları hatırlamak için bir parola yöneticisi kullanın.

8. Sıfırlanmış yazılım

Nulled eklentiler ve temalar, çevrimiçi olarak ücretsiz olarak sunulan, kırılmış lisanslara sahip premium sürümlerdir. Sıfırlanmış yazılım, geliştiricilerden çalma ahlakının ötesinde, WordPress için büyük bir güvenlik riski oluşturur.

Sıfırlanan temaların ve eklentilerin çoğuna kötü amaçlı yazılım bulaşmış durumda. Bilgisayar korsanları, kaliteli bir ürünü iyi bir fiyata satın almak ve yüklemelerini beklemek isteyen insanlara güveniyor. Web sitesi bir doz manuel olarak gönderilen kötü amaçlı yazılım alıyor ve şimdi site saldırıya uğradı. Herhangi birinin premium yazılımı hacklemesinin tek nedeni budur. Robin Hood, WordPress ekosisteminin bir parçası değildir.

Sıfırlanan temalar ve eklentiler kötü amaçlı yazılım içermese bile - ki bu çok nadirdir - bunları güncelleyemezsiniz. Resmi sürümler olmadıkları için geliştiricilerden destek almadıkları açıktır. Bu nedenle, bir güvenlik açığı keşfedilirse ve geliştiriciler bir güvenlik düzeltme eki yayınlarsa, sıfırlanan yazılım, üzerinde kötü amaçlı yazılım yüklü olmasının yanı sıra güvenlik açığıyla birlikte güncelliğini yitirir.

DüzeltmeY: Sıfırlanmış eklentilerden ve veba gibi temalardan kaçının.

9. WordPress sitenizdeki arka kapılar

Arka kapılar, adından da anlaşılacağı gibi, web sitenizin koduna erişmenin alternatif ve yasa dışı yollarıdır. Kötü amaçlı yazılımın yanı sıra, bilgisayar korsanları web sitenize arka kapı kodu enjekte eder, böylece kötü amaçlı yazılım bulunup kaldırılırsa, arka kapı ile tekrar erişim sağlayabilirler.

Kötü amaçlı yazılımların web sitenizden manuel olarak kaldırılmasını önermememin ana nedenlerinden biri arka kapılardır. Kötü amaçlı komut dosyalarını bulabilir ve kaldırabilirsiniz, ancak arka kapılar çok zekice gizlenebilir ve neredeyse görünmez hale getirilebilir. Sitenizden arka kapıları kaldırmanın tek yolu bir WordPress güvenlik eklentisi kullanmaktır.

Düzeltme: arka kapıları kaldırmak için bir güvenlik eklentisi kullanın.

10. Kötü amaçlı wp-vcd.php

wp-vcd.php kötü amaçlı yazılımı, WordPress web sitenizde kullanıcıları diğer web sitelerine yönlendiren spam açılır pencerelerine neden olur. SEO spam saldırıları ve kötü amaçlı yönlendirmelerle aynı amaca sahiptir, ancak farklı şekilde çalışır. wp-tmp.php ve wp-feed.php gibi çeşitli seçeneklere sahiptir.

wp-vcd.php kötü amaçlı yazılımı, site her yüklendiğinde yürütülen kodla web sitelerine bulaşır. Bu, WordPress sitelerine bulaşan en iğrenç saldırılardan biridir çünkü onu kaldırır kaldırmaz geri geliyor gibi görünür; bazı durumlarda anında. Eğer ortadan kaldırılamayan yinelenen bir virüsle karşılaştırılabilecek bir kötü amaçlı yazılım varsa, o zaman wp-vcd.php gidilecek yoldur.

wp-vcd.php kötü amaçlı yazılımı, web sitelerini öncelikle geçersiz eklentiler ve temalar aracılığıyla etkiler. Wordfence, "kendi sitenize yüklediğiniz kötü amaçlı yazılım" diyecek kadar ileri gider.

Düzeltme: Bir güvenlik eklentisi ile web sitenizdeki wp-vcd.php kötü amaçlı yazılımından anında kurtulun.

11. Kaba kuvvet saldırısı

Bilgisayar korsanları, erişim elde etmek için giriş sayfanızı kullanıcı adı ve şifre kombinasyonlarıyla bombalamak için botları kullanır. Bu yöntem kaba kuvvet saldırısı olarak bilinir ve parolalar zayıfsa veya veri ihlaliyle aynıysa başarılı olabilir.

Kaba kuvvet saldırıları yalnızca güvenlik açısından korkunç değildir, aynı zamanda sitenizin sunucu kaynaklarını da tüketir. Oturum açma sayfası her yüklendiğinde, bazı kaynaklar gerektirir. Tipik olarak, disk kullanımı önemsizdir, bu nedenle performans üzerinde gözle görülür bir etkisi yoktur. Ancak kaba kuvvet botları, oturum açma sayfasını dakikada birkaç yüz, hatta binlerce kez tıkıyor. Siteniz paylaşımlı barındırmadaysa, gözle görülür yansımalar olacaktır.

Kaba kuvvet saldırılarına karşı koymanın yolu, sitenizi botlardan korumak ve geçersiz oturum açma girişimlerini sınırlamaktır.

CAPTCHA'yı oturum açma sayfasında da etkinleştirebilirsiniz. Varsayılan URL'yi değiştirerek oturum açma sayfasını gizleme tavsiyesi görebilirsiniz, ancak bunu yapmayın. Bu URL kaybolursa ve bilgisayar korsanlarıyla birlikte web sitenizden yasaklanırsanız kurtarması inanılmaz derecede zordur.

Düzeltme: Giriş denemelerinin sayısını sınırlayın ve siteniz için bot koruması elde edin.

12. SQL Enjeksiyonu

Tüm WordPress web siteleri, web sitesi hakkında önemli bilgileri depolayan veritabanlarına sahiptir. Kullanıcılar, karma şifreleri, gönderileri, sayfaları, yorumları gibi şeyler tablolarda saklanır ve düzenli olarak düzenlenip web sitesi dosyaları tarafından alınır. Veritabanına nadiren doğrudan erişilir ve güvenlik amacıyla web sitesinin dosyaları tarafından kontrol edilir.

SQL enjeksiyonları özellikle tehlikeli saldırılardır çünkü bilgisayar korsanları veritabanıyla doğrudan etkileşim kurabilir. SQL sorguları eklemek için web sitenizdeki formları kullanırlar, veritabanını manipüle etmelerine veya okumalarına izin verirler. SQL, bir veritabanında veri ekleme, silme, değiştirme veya veri alma gibi değişiklikler yapmak için kullanılan bir programlama dilidir. Bu nedenle SQL enjeksiyon saldırıları çok tehlikelidir.

Çözüm, eklentilerinizi ve temalarınızı güncel tutmaktır çünkü ham girdi gibi WordPress güvenlik açıkları başarılı SQL enjeksiyon saldırılarına yol açar. Ek olarak, iyi bir güvenlik duvarı sitenizi davetsiz misafirlerden koruyacaktır.

DüzeltmeC: Her şeyi güncel tutun ve bir güvenlik duvarı kurun.

13. Siteler Arası Komut Dosyası Saldırıları

Siteler arası komut dosyası çalıştırma veya XSS, web sitelerine yönelik saldırılar, bir bilgisayar korsanının bir web sitesine kod enjekte etmesi açısından SQL enjeksiyonlarına benzer. Aradaki fark, kodun sitenizin veritabanını değil, sitenizin bir sonraki ziyaretçisini hedeflemesidir.

Bir XSS saldırısı, sitenize kötü amaçlı yazılım ekler. Bir ziyaretçi gelir ve tarayıcısı, kötü amaçlı yazılımın web sitenizin bir parçası olduğunu düşünür ve bu nedenle ziyaretçi saldırıya uğrar. Tipik olarak, siteler arası komut dosyası çalıştırma saldırıları, şüphelenmeyen ziyaretçilerden veri çalmak için kullanılır.

Site ziyaretçilerinizi korumak için sitenizde XSS güvenlik açıklarının bulunmadığından emin olmanız gerekir. Bunu yapmanın en kolay yolu, sitenizin tamamen güncel olduğundan emin olmaktır. Bir WordPress güvenlik duvarı eklentisi kurarak güvenliğinizi bir sonraki seviyeye taşıyabilirsiniz.

Düzeltme: Bir WordPress güvenlik duvarı kurun ve web sitesindeki her şeyi güncel tutun.

14. Web sitesi HTTP kullanıyor, HTTPS değil

Artık birçok web sitesinin adres çubuğunun yanında yeşil bir asma kilit olduğunu fark etmişsinizdir. Bu, ziyaretçinin web sitesinin SSL kullandığını söylemesi için bir güven rozetidir. SSL, bir web sitesinden gelen ve giden trafiği şifreleyen bir güvenlik protokolüdür.

Bunun için iyi bir benzetme bir telefon görüşmesidir. Bir hatta iki kişi arasında değiş tokuş edilen verilerin, aralarında özel bir konuşma olarak kalması amaçlanır. Ancak üçüncü bir taraf bu hatta bağlanabilseydi, verileri anlayacak ve bu nedenle artık özel olmayacaktı. Ancak iki asıl kişi, üçüncü kişi ne kadar kulak misafiri olursa olsun, yalnızca kendilerinin çözebileceği bir şifre kullanırsa, bilginin gerçek anlamı onlardan gizlenir.

SSL, web siteleri için bu şekilde çalışır. Hassas bilgilerin üçüncü şahıslar tarafından okunmasını ve yasa dışı bir şekilde kullanılmasını önlemek için web sitesine ve web sitesinden gönderilen verileri şifreler.

Son on yılda, İnternet bir bütün olarak veri güvenliği ve gizliliğine doğru ilerliyor ve SSL bu hedefe ulaşmanın ana yollarından biri haline geldi. Google bile SSL özellikli web sitelerini, SSL olmayan web sitelerini arama sonuçlarında cezalandırma noktasına kadar güçlü bir şekilde savunmaktadır.

Düzeltme: Sitenize bir SSL sertifikası kurun.

15. WordPress'ten gönderilen spam e-postalar

E-postalar, dijital pazarlamanın temel taşı ve web sitesi ziyaretçileriyle etkileşim kurma şeklinizdir. İnsanlar ayrıca almak istedikleri e-postalar konusunda daha duyarlı hale geliyor, bu nedenle altta yatan bir güven var.

Güvenin hassas doğası göz önüne alındığında, bir bilgisayar korsanının web sitenize kötü amaçlı yazılım yerleştirebileceğini ve ziyaretçilerinize e-posta ile spam gönderebileceğini düşünmek korkunç. Ve yine de, bazı kötü amaçlı yazılımların yaptığı tam olarak budur. Spam göndermek için ana WordPress işlevi olan wp_mail()'i durdururlar.

Kötü amaçlı yazılımlar genellikle Google'ı kara listeye alır, sitenizi Yandex'den yasaklar ve web barındırıcınızı askıya alır, ancak spam olması durumunda web barındırıcınız e-posta hizmetinizi de kara listeye alır ve başka birçok hata görürsünüz. Aslında, spam gönderici web sitenize e-posta adresleri de eklerse, kara listeye alınma riskiniz vardır.

Spam e-postalar, spam tuzağına düşer ve WordPress web sitesinin e-posta gönderme yetkisini tehlikeye atar.

Düzeltme: Web sitenizdeki istenmeyen postaları temizleyin ve bunun yerine bir e-posta pazarlama aracı kullanın.

16. Aktif Olmayan Kullanıcı Hesapları

Sitedeki kullanıcılar sürekli değişmektedir. Örneğin, birden çok yazarı ve editörü olan bir blog işletiyorsanız, büyük olasılıkla web sitesine yeni yazarlar eklenir ve eski yazarlar ayrılır.

Buradaki sonuç, hızlı bir şekilde silinmeyen eski kullanıcı hesaplarının zamanla bir WordPress güvenlik sorunu haline gelmesidir. Hesaplar var olduğu ancak parolalar düzenli olarak güncellenmediği için saldırılara açıktır. Etkin olmayan kullanıcı hesapları, güvenliği ihlal edilmiş parolalarla aynı risklere tabidir, bu nedenle aktif olarak kullanılmayan hesapları silmek gerekli bir iş görevidir.

Sitenizde kimin ne yaptığını bilmek de önemlidir. Olağandışı veya beklenmedik kullanıcı eylemleri, hesapların saldırıya uğradığının erken bir işaretidir.

Düzeltme: Etkin olmayan kullanıcı hesaplarını kaldırın ve Etkinlik Günlüğünü kullanın.

WordPress güvenlik sorunlarını önlemek için en iyi uygulamalar

WordPress güvenlik sorunları sürekli olarak gelişmektedir ve bir web sitesi çalıştırmayla ilgili diğer tüm işlere ek olarak bu sorunları da takip etmek zordur. Bu nedenle, sitenizi kötü amaçlı yazılımlardan ve bilgisayar korsanlarından herhangi bir ekstra çaba harcamanıza gerek kalmadan korumanıza yardımcı olacak bazı iyi güvenlik ipuçlarını burada bulabilirsiniz.

• Güvenlik eklentisini kurun: WordPress'iniz için bilgisayar korsanlarına karşı en iyi koruma, iyi bir güvenlik eklentisidir. Bir WordPress güvenlik eklentisinin bir kötü amaçlı yazılım tarayıcısı ve temizleyicisi olmalıdır. İdeal olarak, aynı zamanda bir güvenlik duvarı, kaba kuvvet koruması, bot koruması ve bir etkinlik günlüğü ile birlikte gelmelidir. Böyle bir eklenti, WordPress güvenlik açıklarının üstesinden gelmenize yardımcı olacaktır.
• Güvenlik duvarı kullanC: Web Uygulaması Güvenlik Duvarı, sitenizi her türlü davetsiz misafirden korur. Bilgisayar korsanları, diğer WordPress güvenlik açığı sorunlarına ek olarak web sitenizdeki güvenlik açıklarından yararlanmak istiyor. Güvenlik duvarı, yalnızca meşru ziyaretçilerin geçmesine izin vererek bunu engeller. Bu, web siteniz için bir zorunluluktur ve güvenlik eklentinizle birlikte gelmesi daha da iyidir.
• Her şeyi güncel tutun: WordPress çekirdeğinin, eklentilerinin ve temalarının her zaman güncel olduğundan emin olun. Güncellemeler genellikle güvenlik açıkları için güvenlik düzeltmeleri içerir, bu nedenle bunları mümkün olan en kısa sürede güncellemek önemlidir. Riski en aza indirmek için web sitenizi BlogVault ile güvenle güncelleyin. Siteniz yükseltmeden hemen önce yedeklenir ve canlı web sitenizi yükseltmeden önce yükseltmenin hazırlık aşamasında nasıl çalıştığını görebilirsiniz.
• İki faktörlü kimlik doğrulama kullanın: Parolalar, özellikle çok güçlü değilse veya yeniden kullanılmışsa kırılabilir. İki faktörlü kimlik doğrulama, kırılması çok daha zor olan parolalara ek olarak gerçek zamanlı bir oturum açma belirteci oluşturur. WP 2FA gibi bir eklenti veya bu listeden başka bir eklenti ile iki faktörlü kimlik doğrulamayı etkinleştirebilirsiniz.
• Güçlü parola politikaları uygulayınC: Güçlü ve benzersiz parolaların önemini yeterince vurgulayamıyorum. Bir şifre yöneticisi kullanmanızı tavsiye ederim. Web sitenizi kaba kuvvet saldırıları gibi güvenlik sorunlarından korumak için güvenlik eklentiniz giriş denemelerini de kısıtlamalıdır.
• Düzenli site yedeklemeleri yapınC: Yedeklemeler, bilgisayar korsanlığının son çaresidir ve web sitenizin her zaman web sitenizin sunucusundan uzak tutulan bir yedeği olmalıdır.
• SSL kullan: onunla iletişimi şifrelemek için web sitenize bir SSL sertifikası kurun. SSL fiili standart haline geldi ve Google, daha güvenli gezinme için kullanımını aktif olarak teşvik ediyor.
• Birkaç ayda bir güvenlik denetimi gerçekleştirin: Etkinlik günlüğü ile kullanıcıları ve web sitesindeki etkinliklerini kontrol edin. Olağandışı etkinlik, kötü amaçlı yazılıma karşı erken bir uyarı olabilir. Ayrıca, yönetici ve kullanıcı hesapları için bir en düşük ayrıcalık politikası uygulamanızı öneririz. Son olarak, web sitenizdeki kullanılmayan eklentileri veya temaları kaldırın. Devre dışı bırakılan temalar ve eklentiler güncellemeler için göz ardı edilir ve WordPess güvenlik açıkları kontrol edilmeden kalır ve bu da web sitelerinin saldırıya uğramasına neden olur.
• Saygın eklentiler ve temalar seçinC: Bu, bir güvenlik önlemi olarak biraz özneldir, ancak sitenizdeki en iyi eklentileri ve temaları kullanmaya değer. Örneğin, geliştiricinin ürününü düzenli olarak güncelleyip güncellemediğini kontrol edin. Çevrimiçi incelemelere ve diğer kullanıcı desteği deneyimlerine ek olarak, bu önemli bir ölçümdür. Ayrıca, premium yazılım genellikle daha iyidir. Ama en önemlisi, asla sıfırlanmış yazılım kullanmayın. Tam da bu nedenle saldırıya uğradığı için genellikle kodda kötü amaçlı yazılım içerir. Sadece riske değmez.

WordPress güvenlik açığı kullanan siteleri hacklemenin ana nedenleri

WordPress sitenizin güvenliğinde iki zayıf halka vardır: WordPress güvenlik açıkları ve şifreler. 90%+ kötü amaçlı yazılımı güvenlik açıkları aracılığıyla, 5%+ güvenliği ihlal edilmiş veya zayıf parolalar nedeniyle ve <1% kötü web barındırma hizmetleri gibi diğer nedenlerle ortaya çıkar.

güvenlik açıkları

WordPress'in kendisi güvenli olsa da, web siteleri yalnızca WordPress çekirdeğinden daha fazlasıyla oluşturulmuştur. Web sitelerimizin işlevselliğini artırmak, özellikler eklemek, güzel tasarım ve web sitesi ziyaretçileriyle etkileşim için eklentiler ve temalar kullanıyoruz. Bütün bunlar eklentiler ve temalar aracılığıyla elde edilir.

WordPress gibi eklentiler ve temalar kodla oluşturulmuştur. Geliştiriciler kod yazdıklarında, boşluklara yol açan hatalar yapabilirler. Bilgisayar korsanları, geliştirici tarafından amaçlanmayan eylemleri gerçekleştirmek için koddaki boşlukları kullanabilir.

Örneğin, web siteniz kullanıcıların örneğin bir profil resmi için resim yüklemesine izin veriyorsa, yükleme yalnızca bir resim dosyası olmalıdır. Ancak, geliştirici bu sınırları belirlemediyse, bilgisayar korsanı bunun yerine kötü amaçlı yazılımla dolu bir PHP dosyası indirebilir. Bir web sitesine yüklendikten sonra, bir bilgisayar korsanı dosyayı çalıştırabilir ve kötü amaçlı yazılım sitenin geri kalanına yayılır. Bu boşluklar güvenlik açıklarıdır. Elbette başka türler de var, ancak bunlar WordPress sitelerinin muzdarip olduğu başlıca türlerdir.

Güvenliği ihlal edilmiş parolalar

Bir bilgisayar korsanı hesap kimlik bilgilerinize sahipse, sitenizi ele geçirmesine gerek yoktur. Bu nedenle güçlü parolalar çok önemlidir.

Parolaların WordPress güvenlik zincirindeki en zayıf halka haline gelmesinin iki ana yolu vardır. Birincisi, bilgisayar korsanlarının ve botlarının tahmin etmesi kolay olan, hatırlaması kolay parolalar kullanmaktır. İkinci yol ise, kullanıcıların farklı sitelerde ve hizmetlerde parolaları yeniden kullanmasıdır.

Veri ihlalleri çok yaygın. Örneğin, bir kullanıcı iki farklı hesap için aynı şifreye sahiptir: bir e-ticaret sitesi ve Twitter hesabı. Bir e-ticaret web sitesinde, kullanıcı verilerinin çalındığı bir veri ihlali varsa, Twitter hesabı artık tehlikeye girer. Bir bilgisayar korsanı bir hesaba girebilir ve her türlü yıkıma neden olabilir.

Hem güvenlik açıkları hem de güvenliği ihlal edilmiş parolalar, doğru araçlar ve doğru ipuçlarıyla kolayca çözülebilen WordPress güvenlik tehditleridir.

Çıktı

WordPress güvenlik açığı sorunları, deneyimsiz bir yönetici için korkutucu olabilir, ancak bu, onlar için bir çözüm olmadığı anlamına gelmez. Güvenlik sorunları, uzmanların tavsiyelerini dinleyerek kolayca çözülebilir. Umarım bu makale endişeleri gidermeye yardımcı olmuştur. Kapatmadığım bir şey varsa, lütfen bana bildirin.

Bu makaleyi okumak:

• Favicon.ico virüsü WordPress sitenizden nasıl kaldırılır?
• WordPress'te bir ülke nasıl engellenir?

Okuduğunuz için teşekkürler: SEO YARDIMI | NICOLA.ÜST