✔️ SEO YARDIMI | NICOLA.ÜST

✔️ SEO YARDIMI | NICOLA.ÜST

Bir WordPress sitesine hacker saldırısı - önlemenin yolları

Görüntülenme sayısı

2.269
Yazdır · Время на чтение: 11min · tarafından · Yayınlanan · Güncellenmiş

oynamakBu makaleyi dinle

WordPress sitenizi bilgisayar korsanlarından nasıl korursunuz?

Bir WordPress sitesine bilgisayar korsanı saldırısı mümkündür? Bilgisayar korsanlarının WordPress sitenize saldırdığından mı endişeleniyorsunuz? Keşke endişelenmeseydin ama gerçek şu ki, WordPress web siteleri sürekli olarak bilgisayar korsanları tarafından saldırıya uğruyor. Bu, esas olarak, WordPress'in internetteki tüm web sitelerinin üçte birini desteklediği için popülerliğinden kaynaklanmaktadır.

WordPress'in kendisi güvenli bir web sitesi oluşturma platformu olsa da, kendi başına çalışmaz. Bir WordPress sitesini çalıştırmak için eklentilere ve temalara ihtiyacınız var. Eklentiler ve temalar genellikle bilgisayar korsanlarının web sitelerine girmek için kullandıkları güvenlik açıkları içerir.

Web sitenize eriştikten sonra, gizli bilgileri çalmak, müşterileri dolandırmak ve yasa dışı içerik görüntülemek gibi her türlü kötü niyetli faaliyette bulunurlar. Bu sırada siteniz arama sonuçlarında uyarı ile işaretlenebilir, Google tarafından kara listeye alınabilir, Yandex tarafından yasaklanabilir ve hatta web sunucunuz tarafından engellenebilir. Bütün bunlar ziyaretçi ve gelir kaybına yol açar.

WordPress geliştiricileri platformu güvende tutarken, WordPress site sahiplerinin de kendi başlarına işlem yapması gerekir. Bu yazıda, WordPress sitelerine yapılan en yaygın saldırıları ve bunlara karşı alabileceğiniz önleyici tedbirleri tartışacağız.

Makalenin içeriği:

WordPress neden bilgisayar korsanları için popüler bir hedeftir?

WordPress neden bilgisayar korsanları için bir hedeftir?

wordpress herkesin kodlama bilmeden web siteleri oluşturmasına izin veren bir web sitesi oluşturma platformudur. Dahası, WordPress ücretsizdir. Sonuç olarak, bugün platform 1,4 milyardan fazla aktif siteye hizmet vermektedir.

Tüm bunların diğer tarafı, WordPress web sitelerinin diğer herhangi bir platformda oluşturulmuş web sitelerinden daha hedefli olmasıdır.

Artık bilgisayar korsanlarının sitenize girebileceği birkaç yol var. Listeyi en yaygın 5 tanesine kadar daralttım. Neler olduğunu ve WordPress sitenizi bundan nasıl koruyabileceğinizi açıklayacağım.

WordPress sitelerine yapılan en yaygın 5 saldırı

1. Savunmasız eklentiler ve temalar

WordPress web sitesi üç öğe kullanılarak oluşturulur: temel kurulum, temalar ve eklentiler. Her üç unsur da bir siteyi bilgisayar korsanlığına karşı savunmasız hale getirebilir.

Uzun yıllar boyunca, WordPress'in çekirdeğinde önemli bir güvenlik açığı yoktu. Nitelikli ve deneyimli geliştiricilerden oluşan bir ekip tarafından desteklenmektedir. Platformun tamamen güvenli olduğundan emin olmak için çok çalışıyorlar, yani endişelenecek bir şey yok.

Bununla birlikte, WordPress eklentileri ve temaları üçüncü taraf geliştiriciler tarafından oluşturulur ve sıklıkla WordPress güvenlik açıkları oluştururlar. Geliştiriciler herhangi bir güvenlik açığı keşfettiklerinde, hemen düzeltirler ve güncellenmiş bir sürüm yayınlarlar.

Site sahibi olarak sizin en son sürüme güncellemeniz gerekiyor ve siteniz güvende olacak. Bu güvenlik güncellemelerini hemen yüklemek önemlidir. Bunun nedeni, geliştiricilerin bir güncelleme yayınladığında, güncellemenin arkasındaki nedenleri de ortaya çıkarmasıdır. Böylece güvenlik açığı kamuoyuna duyurulmaktadır.

Bu, bilgisayar korsanlarının artık bir güvenlik açığı olduğunu bildiği anlamına gelir. Ayrıca, tüm site sahiplerinin sitelerini hemen güncellemediğini de biliyorlar. Bu nedenle, bir eklentinin veya temanın savunmasız olduğunu öğrendiklerinde, web'i taramak ve bunları kullanan siteleri bulmak için botları ve tarayıcıları programlarlar. Bir güvenlik açığının tam olarak ne olduğunu bilmek, wp feed malware vb. gibi kötü amaçlı yazılımları kolayca kullanmalarına, hacklemelerine ve enjekte etmelerine olanak tanır.

Sitenizi savunmasız eklentilerden ve temalardan nasıl korursunuz?

  • Yalnızca WordPress deposunda veya bu tür pazarlarda bulunan doğrulanmış temaları ve eklentileri kullanın.
  • Eklenti listesini düzenli olarak kontrol edin ve yalnızca kullandıklarınızı saklayın. İhtiyacınız olmayan veya etkin olmayan her şeyi silin.
  • Konunuzu düzenli olarak tarayın. İdeal olarak, yalnızca aktif olarak kullandığınız temayı tutmalısınız.
  • Asla korsan temalar ve eklentiler kullanmayın. Genellikle sitenize bulaşacak kötü amaçlı yazılım içerirler.
  • Sitenizdeki tüm eklentileri ve temaları tanıdığınızdan emin olun. Bazen bilgisayar korsanları, web sitesi arka kapılarının kurulu olduğu kendi eklentilerini ve temalarını kurarlar. Bu onlara sitenize gizli erişim sağlar.

2. Kaba kuvvet saldırıları

WordPress sitenize giriş yapmak için giriş kimlik bilgilerinizi, yani kullanıcı adı ve şifreyi girmeniz gerekir.

Genellikle WordPress site sahipleri, hatırlaması kolay kullanıcı adları ve şifreler kullanır. Birçok WordPress kullanıcısı, varsayılan "admin" kullanıcı adını kullanır. Yaygın parolalar arasında "password123" veya "1234567" bulunur. Bilgisayar korsanları bunun gayet iyi farkındadır ve WordPress sitelerinin giriş sayfasına saldırır.

WordPress yönetici giriş sayfası. (giriş, e-posta, şifre).

Yaygın olarak kullanılan kullanıcı adları ve parolalardan oluşan bir veritabanı oluştururlar. Ardından, WordPress sitelerini hedeflemek ve veritabanlarından farklı kombinasyonlar denemek için botlar programlarlar.

Oturum açma kimlik bilgileriniz güvenli değilse, botların bunları tahmin etme ve sitenizi ele geçirme olasılığı yüksektir. Bu, "kaba kuvvet saldırısı" olarak bilinir ve 10%'de başarılı oldukları tahmin edilmektedir!

Sitenizi kaba kuvvet saldırılarından nasıl korursunuz?

Sitenizi bir kaba kuvvet saldırısından korumak için atabileceğiniz birkaç adım vardır:

  • Varsayılan olarak, WordPress kullanıcı adınız yöneticidir. Yöneticiden daha benzersiz bir şeye değiştirebilirsiniz. Güçlü bir WordPress şifresi kullanın. Birdgfydhfgyysr143% gibi sayı ve sembollerle birlikte bir parola kullanmanızı öneririm.
  • Diğer web sitelerinde kullanmadığınız benzersiz kimlik bilgilerini kullanın.
  • Sitenize giriş denemelerinin sayısını sınırlayın. Bu, bir WordPress kullanıcısının, 3 deneme veya 5 deneme gibi doğru kimlik bilgilerini girme şansının yalnızca sınırlı olacağı anlamına gelir. Bundan sonra, "şifremi unuttum" seçeneğini kullanmaları gerekecek. Bir güvenlik eklentisi kurabilirsiniz ve oturum açma bilgilerinizi otomatik olarak güvence altına alacaktır.
  • WordPress kullanıcısının akıllı telefonlarında oluşturulan veya kayıtlı bir e-posta adresine gönderilen tek seferlik bir parola ile birlikte kimlik bilgilerini girmesini gerektiren iki faktörlü kimlik doğrulamayı kullanın.

3. Enjeksiyon saldırıları

Hemen hemen her web sitesinde iletişim formu, site arama çubuğu veya ziyaretçilerin veri girmesine olanak tanıyan yorum bölümü gibi bir giriş alanı bulunur. Bazı web siteleri, ziyaretçilerin belge ve resim dosyaları yüklemesine de izin verir.

Tipik olarak, bu veriler alınır ve işlenmek ve saklanmak üzere veritabanınıza gönderilir. Bu alanların, verileri veritabanınıza girmeden önce doğrulamak ve sterilize etmek için uygun şekilde yapılandırılması gerekir. Bu, yalnızca geçerli verilerin alınmasını sağlar. Bu önlemler eksikse, bilgisayar korsanları bundan yararlanır ve kötü amaçlı kod enjekte eder.

İletişim formu olan bir WordPress sitesi örneğini ele alalım. İdeal olarak, bu formun bir adı, e-posta adresini ve telefon numarasını kabul etmesi gerekir.

WordPress sitesindeki iletişim formu. Sayfadaki iletişim formu.

  1. Ad alanı yalnızca alfabetik karakterleri kabul etmelidir.
  2. E-posta adresi alanı, example@sitem.com gibi geçerli bir e-posta adresi biçimini kabul etmelidir.
  3. Telefon numarası alanı yalnızca sayıları içermelidir.

Şimdi, bu yapılandırmalar mevcut değilse, bir bilgisayar korsanı aşağıdakiler gibi kötü amaçlı komut dosyaları ekleyebilir:

String userLoginQuery = "Kullanıcı adı = '" + request.getParameter("user") + "'" KULLANICILARINDAN user_id, username, password_hash SEÇİN;

Bu, veritabanına belirli işlevleri gerçekleştirmesini söyleyen koddur. Böylece bilgisayar korsanları, sitenizin tam kontrolünü ele geçirmek için kullanabilecekleri kötü amaçlı komut dosyalarını sitenizde çalıştırabilir. WordPress sitelerine yönelik en popüler enjeksiyon saldırıları, SQL enjeksiyon saldırılarını ve siteler arası komut dizisini içerir.

Sitenizi enjeksiyon saldırılarından nasıl korursunuz?

  • Birçok enjeksiyon saldırısı, ziyaretçilerin sitenize bilgi girmesine izin veren temalar ve eklentiler içerir. Yalnızca kanıtlanmış temaları ve eklentileri kullanmanızı öneririm. Ardından eklentilerinizi ve temanızı her zaman güncelleyin.
  • Giriş alanlarını yönetin ve verileri gönderin. Bu teknik bir sorundur ve geliştirici yardımı gerektirecektir.
  • Bir WordPress güvenlik duvarı kullanın.

4. Kimlik avı ve veri hırsızlığı

Ziyaretçiler sitenizle farklı şekillerde etkileşime girer. Bazıları sadece blog yazılarınızı okur, diğerleri sizinle iletişim kurduğunuz kişi aracılığıyla iletişim kurar vb. Bir e-ticaret siteniz varsa birçok ziyaretçi sitenizden ürün satın alır. Bu, web sitenize giriş yapmaları ve banka kartı bilgilerini girmeleri gerektiği anlamına gelir.

Birisi sitenize kredi kartı bilgilerini girdiğinde, bilgileri iletir ve sitenizin sunucusunda saklar. Bu bilgi, iletimi sırasında ele geçirilebilir. Ayrıca banka kartı bilgileri de çalınabilir.

Ayrıca sitenize sızabilir ve sizi taklit edebilirler. E-postalar gönderirler veya ziyaretçileri başka web sitelerine yönlendirirler ve kişisel ve fatura bilgilerini ifşa etmeleri için onları kandırırlar.

Web sitenizi kimlik avı ve veri hırsızlığından nasıl korursunuz?

  • Bir SSL sertifikası kullanın. Bu, web sitenize ve web sitenizden aktarılan verileri şifreleyecektir. Bir bilgisayar korsanı onu yakalasa bile şifresini çözemeyeceği için onu kullanamayacaktır. Bu, sitenizdeki WordPress site güvenlik uyarısını da kaldıracaktır.
  • Sitenizdeki şüpheli etkinlik hakkında uyarılar almak için bir WordPress güvenlik eklentisi kullanın. Eklenti ayrıca bilgisayar korsanlığı girişimlerini de engeller.

5. Çerez hırsızlığı

Bir web sitesini ziyaret ettiğinizde tarayıcınızın sizden "beni hatırla" veya "şifreyi kaydet" istediğini fark ettiniz mi? Bu, bir web sitesine her erişmek istediğinizde kimlik bilgilerinizi girmek zorunda kalmamanızı sağlamak içindir. Tarayıcının oturum açma bilgilerini saklamasına izin verebilirsiniz.

Tarayıcılar çerezler sayesinde bu verileri kaydedebilir. Çerezler, bir ziyaretçinin bir web sitesiyle etkileşimini kaydeden küçük veri parçalarıdır. Örneğin, bir çevrimiçi mağaza işletiyorsanız, siteniz müşterinin hangi ürünü aradıkları ve ne satın aldıkları gibi yolculuğunu izleyebilir. Bu veriler analitikte kullanılır ve reklamverenler, reklamları ziyaretçinin tercihlerine göre ayarlar. Çerezler artık banka detaylarını ve kişisel bilgileri de saklayabilir.

Bir bilgisayar korsanı web sitenizin tanımlama bilgilerini çalabilirse işletmeniz ve ziyaretçilerinizle ilgili hassas verilere erişebilir. Bu verileri, kredi kartı bilgilerini kullanarak müşterileri dolandırmak gibi kötü niyetli faaliyetlerini gerçekleştirmek için kullanabilirler.

Sitenizi çerez hırsızlığından ve oturum hırsızlığından nasıl korursunuz?

  • WordPress anahtarlarınızı ve tuzlarınızı düzenli olarak değiştirin. Anahtarlar ve tuzlar, tarayıcı çerezlerinde saklanan bilgilerin güvenli bir şekilde şifrelenmesini sağlar. Bu önlem doğası gereği tekniktir.
  • Web sitesi verilerinizi korumak için bir SSL sertifikası yüklemeniz de önerilir.

Bu, WordPress'e yönelik en yaygın saldırıları sonuçlandırır. Bitirmeden önce, size sitenizi bu tür saldırılara karşı daha güvenli hale getirecek birkaç WordPress güvenlik önlemi göstermek istiyorum.

WordPress sitenizi saldırılardan nasıl korursunuz?

Web sitenizi belirli saldırılardan korumak için belirli adımlar atabilseniz de, kendinizi daha iyi korumak için web sitenize uygulayabileceğiniz bazı genel güvenlik önlemleri vardır. Buna WordPress sıkılaştırma önlemleri denir.

1. Dosya düzenleyiciyi devre dışı bırakın

WordPress, tema ve eklenti dosyalarını doğrudan kontrol panelinden düzenlemenizi sağlayan bir özelliğe sahiptir. Birçok site sahibi bu özelliğe ihtiyaç duymaz, çoğunlukla geliştiriciler kullanır. Ancak bir bilgisayar korsanı wp-admin kontrol panelinize girerse, temanıza ve eklenti dosyalarınıza kötü amaçlı kod ekleyebilir. Böylece bu özelliğe ihtiyacınız yoksa kapatabilirsiniz.

2. Eklentilerin veya temaların kurulumunu devre dışı bırakın

Bilgisayar korsanları sitenize eriştiklerinde kendi eklentilerini veya temalarını yüklerler. Bu eklentiler ve temalar genellikle kötü amaçlıdır ve arka kapılar içerir. Bu, bilgisayar korsanlarına sitenize gizli erişim sağlar.

Ayrıca, belirttiğim gibi, savunmasız temalar ve eklentiler, web sitesi saldırılarının ana nedenidir. Web sitenizde birden çok kullanıcı varsa, güvenli olmayan bir eklenti veya tema yükleyebilirler. Bu, sitenizi bilgisayar korsanlarına açabilir. Bundan kaçınmak istiyorsanız, sitenize eklentilerin ve temaların yüklenmesini devre dışı bırakabilirsiniz. Sitenize düzenli olarak eklenti ve tema yüklemiyorsanız, yükleme seçeneğini devre dışı bırakabilirsiniz.

3. Giriş denemelerini sınırlayın

Daha önce de belirttiğim gibi, bir WordPress kullanıcısının siteye giriş yapmak için doğru giriş bilgilerini girme şansını sınırlayabilirsiniz. Bu, kaba kuvvet saldırıları riskini ortadan kaldırır.

4. Güvenlik anahtarlarını ve tuzlarını değiştirin

anahtarlar ve syağ tarayıcınızda saklanan bilgileri şifreleyin. Bu şekilde, bir bilgisayar korsanı çerezlerinizi çalmayı başarsa bile bunların şifresini çözemez. Ancak, bir bilgisayar korsanı bu anahtarlara ve tuzlara erişim kazanırsa, çerezlerin şifresini çözmek için bunları kullanabilir. Anahtarları ve tuzları düzenli olarak değiştirmek, çerez hırsızlığını önlemeye yardımcı olabilir.

5. Bilinmeyen klasörlerde PHP yürütmesini engelleyin

WordPress sitenizde kodu yürüten yalnızca belirli dosya ve klasörler vardır. Resimleri ve videoları depolayan İndirilenler klasörü gibi diğer klasörler yalnızca bilgileri depolar. Ancak, bir bilgisayar korsanı sitenize erişim kazandığında, php kodunu rastgele klasörlere yapıştırır, hatta kendi klasörlerini oluşturur. Bilinmeyen klasörlerde PHP yürütmesini devre dışı bırakarak bu tür etkinlikleri engelleyebilirsiniz.

Bu önlemlerin uygulanması teknik bilgi gerektirir. Manuel olarak yapmanızı önermem. Bunu sadece birkaç tıklamayla yapmanızı sağlayan bir WordPress güvenlik eklentisi kullanmak çok daha güvenli ve kolaydır.

Bunu yaparken, WordPress sitenizin bilgisayar korsanlarından korunduğundan emin olacağım.

Nihayet

Bilgisayar korsanlarının WordPress sitenize girmelerinin birçok yolu vardır ve genellikle yenilerini bulurlar! Web sitenizi korumak ve bilgisayar korsanlarının saldırılarına karşı korumak için güvenlik önlemleri almanız gerekir.

Bu makaleyi okumak:

Okuduğunuz için teşekkürler: SEO YARDIMI | NICOLA.ÜST

Bu gönderi ne kadar yararlı oldu?

Derecelendirmek için bir yıldıza tıklayın!

Ortalama puanı 5 / 5. Oy sayısı: 103

Şimdiye kadar oy yok! Bu gönderiyi ilk değerlendiren siz olun.

Etiketler:

Şunlar da hoşunuza gidebilir...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

16 − 15 =