• Anasayfa
  • Nesne
  • Tema
  • WordPress Web Sitenizin Güvenli Olduğundan Nasıl Kesinlikle Emin Olabilirsiniz?

WordPress Web Sitenizin Güvenli Olduğundan Nasıl Kesinlikle Emin Olabilirsiniz?

Yayınlanan: 2022-03-08

Yirmi ya da birkaç on yıl önce, soygun, birinin gelirini veya değerli eşyalarını çalmak için hırsızlıkla sınırlıydı. Şimdi haylazlıklar ve soyguncular olurdu, bilgisayar korsanlarının tipine geçin. Kişisel kazanımlar veya siyasi nedenlerle yazılım programı güvenlik açıklarını bulan ve kullanan herkes.

Başlamadan hemen önce, bu yazının WP güvenliğinin özüne girmediğini, bunun yerine WordPress güvenlik açıklarının tetikleyicilerini tartıştığını bilmelisiniz. Aradığınız şey bu değilse, “WordPress Güvenliğini Artırma – WordPress Web Sayfalarını Güvence Altına Almak İçin Tam Bilgi” çalışmanızı tavsiye ederim. Yine de, daha önceki WP güvenlik açıklarının ana doğasını anlamanın, web sitenizin koruma protokollerinden nasıl emin olabileceğiniz konusunda iyi bir algı sağladığını belirtmeliyim.

İnsanlar neden sitelere ve bilgi merkezlerine ayrılır? Müşteri bilgilerini, e-posta kimliklerini, kredi kartı rakamlarını vb. içeren internet sitelerine girmek, bir borç vereni soymaktan çok daha mali açıdan faydalıdır. Makul düzeyde gelişen bir web sitesi işletiyorsanız, web sitenizin ayrıntılarına erişme girişiminde bulunan sayısız olmasa da yüzlercesinin zaten üretildiğine eminim.

Kısa bir süre önce AshleyMadison.com saldırıya uğradı ve 37 milyon alıcının bilgileri çalındı. Bilgisayar korsanları sitenin kapatılmasını talep ettiler, aksi takdirde çalınan kullanıcının cinsel fanteziler içeren bilgilerinin ayrıntılarını yayınlayacaklar. Bu size, bir bilgisayar korsanının gerçeklere basitçe erişerek neden olabileceği türden bir yıkım tarzı sunar.

Dünya çapında web güvenliği son derece önemli bir konudur ve tüketicilerinin özel bilgilerini ve gerçeklerini elde etmek için açılan web siteleri yelpazesini belirttiğinden, giderek daha fazla uygulanabilir hale gelmektedir.

Ağın %65'i Yazılı içerik Yönetim Süreci olarak WordPress ile çalıştığından, bu günlerde WordPress kararlılığını ve WP web sitelerinin daha önce nasıl nitelendirildiğini veya saldırıya uğradığını tartışacağım.

Neden Mükemmel Güvenlik Taktiklerine Başvurmalısınız?

  • Güvende tutmak için hassas kişisel bilgiler ve gerçekler konusunda size güvenen alıcılarınıza ve müşterilerinize borçlusunuz.
  • İnternet siteniz saldırıya uğrar – Gelir kaybedersiniz.
  • Web siteniz saldırıya uğradı - Arama motoru sıralamalarınız cehenneme sadece tek yönlü bir gezintiye çıkıyor.

WordPress internet siteleri, yüzlerce olmasa da 1000'ler tarafından saldırıya uğradı. Her web sayfası daha önce saldırıya uğradığını araştırmaz. Tahmin edebileceğiniz gibi markaları için büyük bir destek değil.

WordPress güvenliğiyle ilgili bu yazının gerekliliğine biraz ışık tutmak istiyorum.

Sandro Gucci (İzin Korumasının Kurucusu) tarafından paylaşılan bir araştırmaya göre.

  • En beğenilen WordPress kurulumlarının %73,2'si ücretsiz otomatik kaynaklar uygulanarak tespit edilebilen güvenlik açıklarına karşı savunmasızdır.
  • Yalnızca 7.814 site (%18.55) WordPress 3.6.1'e yükseltildi; bu, test yapıldığında WP'nin en son varyasyonuydu.
  • 13.034 web sitesi (%30.95) WordPress'in hassas bir sürümünü yönetmeye devam etti, sürüm 3.6. WordPress 3.6, o sırada 5 tanınmış güvenlik açığına sahipti.

Ve eğer kafa yoruyorsanız, bu pek iyi, loş web sitesinde bir yerde, tanıdık olmayan kompakt sitelerin adil olmayan genelleştirilmiş karakterizasyonu, yanılıyorsunuz. Veriler, Alexa'nın En İyi Tek Bir Milyon web sitesindeki yaklaşık 42.000 WordPress web sitesinin incelemesine dayalı olarak üretildi. Bu, dünya çapında web'de sözde en çok ziyaret edilen internet siteleri için çok çeşitli duyarlı sitelerdir. Bu siteler, ziyaretçileri ve aboneleri hakkında çok miktarda bilgi biriktirir.

Veriler Eylül 2013'teki gibi doğruydu, o zaman ve olsa bile, bu makalede sergilenen istatistikler WordPress'i rahatsız eden güvenlik zorluklarının ölçeğini sergilediği için çok fazla sapma olacağına inanmıyorum.

WordPress'in güvenliğinin ihlal edilebileceğini kanıtlayan fazladan kanıt istiyorsanız. Sizi Netcraft tarafından yapılan bir incelemeye yönlendiriyorum,

  • Şubat 2014'te, kimlik avı web sayfaları için platform olarak hizmet veren 12.000 WordPress web günlüğü sona erdi.
  • Netcraft tarafından dünya çapında web barındırılan kötü amaçlı yazılımları dağıtmak için engellenen tüm kötü amaçlı yazılım URL'lerinin %8'inden çok daha fazlası WordPress blogları ile sonuçlandı.

Automattic wordpress.com'da sadece bireysel blogların işletilmediğini belirtmem gerekiyor. Bu, WordPress'in bile dikkatli kullanılmadığı ve WP koruması hakkında biraz bilgi sahibi olmadığı takdirde savunmasız olabileceğini gerçekten açıkça göstermelidir. Bunun için ek bir neden, wordpress.com'da barındırılan tüm blogların, WordPress güncellemeleri başlatılır başlatılmaz hemen güncel olduğu basit gerçeğiyle ilişkilendirilebilir. Bunu göz önünde bulundurarak, web sitelerini sıfırıncı gün istismarlarından korumak için WP model 3.7'de otomatik WordPress güncellemelerinin başlatıldığından bahsetmek gerekir.

Ve bunu takiben bile, WordPress'i rahatsız eden bir dizi güvenlik endişesi oldu. Platformun kendine özgü sürümlerindeki bu WordPress güvenlik açıklarına bakın.

Şimdi bunun devam etmesini durdurmak için yapabileceğiniz kesinlikle hiçbir şey yok, yeni güvenlik açıkları hemen hemen keşfedilecek. Çekirdek WP grubu, istikrarı çok ciddiye aldı ve WordPress'i çok daha güvenli hale getirdi.

Ancak diğer popüler yazılımlarda olduğu gibi, güvenlik açıklarından yararlanmak, günümüzde daha fazla insan bunları kullanmaya başladığında ekstra ödüllendirici hale geliyor.

Bana inanmıyor musun? Bir şekilde WordPress'in aniden tüm güvenlik açıklarından tamamen arınmış hale geleceğini düşünüyorsanız, bu grafiği inceleyin!

wordpress-güvenlik açıkları-yıllarca

Güvenlik açıklarının miktarı zaman içinde 2007 ve 2014'teki en yüksek seviyelerinden düşmüş olsa da, WordPress'in artan itibarı nedeniyle artan kârlılığın sunduğu artışla yeni güvenlik açıklarını keşfetme ve yararlanma teşviki bitmez.

WordPress kutudan çıkar çıkmaz güvenli olabilir, ancak bu kadar çok eklenti/tema ve özelleştirilmiş kod ekledikten hemen sonra, birçok güvenlik açığı büyük bir hızla artmaya başlar.

Bununla birlikte, büyük miktarda ek korumalı hale getirmek için WordPress'inizde küçük iyileştirmeler yapabiliriz. İlk olarak, WordPress güvenliğine tam olarak aşina olmamız gerekir, bu, güvenlikteki başarısızlığın nedenlerini bulmada oldukça yardımcı olur.

Kararlılık ihlali durumlarında WP çekirdek sisteminin nadiren hatalı olduğunu keşfetmek sizi şaşırtabilir. WP'nize fazladan sahip olduğunuz bir şeyin, bilgisayar korsanlarının yararlanabileceği bir güvenlik açığı oluşturması çok daha olasıdır.

WordPress Siteleri Nasıl Tehlikede?

Kapsamlı güvenlik sağlama ile ilgili sorunlar, bunların olmamasıdır.

WordPress'inizin tamamen korunduğunu varsayarsak, Apache, FTP istemcisi, MySQL ve sunucunuzda çalışan ve endişelenmeniz gereken herhangi bir uygulamaya sahip olmaya devam edersiniz. Siteniz yalnızca en zayıf URL'si kadar risksizdir. Bu, sunucunuzun yazılım paketinin kalitesini, internet sitelerinizin üzerinde çalıştığı temaları ve eklentileri içerir.

Seni de sahneye koyabileceğim çok daha son istatistiklere sahip olmak istiyorum. Yine de, WpWhiteSecurity'nin blogunda bir infografik olarak sunulan bu inceleme, WordPress internet sitelerinin nasıl saldırıya uğradığına ve onları nelerin hassas hale getirebileceğine dair mükemmel bilgiler sağlar.

Araştırma, 2012 yılında saldırıya uğrayan 170.000 web sitesinin bilgilerine bağlı olarak gerçekleştirilmiştir. Bir önceki takvim yılına (2012) göre saldırı çeşitliliğinde %18'lik bir artış olmuştur, komik olan ayrıntı, güvenlik açıklarının çeşitliliğinin ortaya çıkmamasıdır. aynı oranda. Ancak güvenlik açıklarındaki küçük bir artış bile, WordPress ve WordPress merkezli ürünlerin artan kullanımı nedeniyle çok daha fazla web sitesini etkiler.

  • Saldırıya uğramış WordPress'in %41'i, barındırma sistemlerindeki bir güvenlik açığı tarafından saldırıya uğradı.
  • %29'u, sonunda kullandıkları WordPress Teması'ndaki bir kararlılık zorluğu nedeniyle saldırıya uğradı.
  • %22'si, kullandıkları WordPress Eklentilerindeki bir koruma sorunu nedeniyle saldırıya uğruyor.
  • %8'i, esas olarak zayıf bir parolaları olduğu için saldırıya uğradı.
  • Daha önce bahsedilenlerden, saldırıya uğramış WordPress internet sitelerinin %51'inden fazlasının, birlikte çalıştıkları WordPress temaları veya eklentilerindeki bir güvenlik açığı yoluyla saldırıya uğradığı sonucuna varabiliriz.

Saldırıların sinir bozucu büyük bir kısmı, eklentiler, temalar türündeki yazılımların yerleştirilmesi ve dünya çapındaki web barındırma hizmeti sağlayıcılarının sunucudaki güvenliği yeterince güçlendirmemesi nedeniyle ortaya çıktı.

Web barındırma, temalar ve eklentiler söz konusu olduğunda koruma koşullarında sahip olduğunuz harika seçeneklere değinmeden önce, web sitenizi koruma adımlarını tartışmanın hiçbir aşaması yoktur. Ve WP güvenliğini güçlendirmek için belirli kararlılık adımlarını önermeye başlamadan önce, web siteniz için mükemmel üçüncü fırsat yazılımını ve güvenli ve sağlam barındırmayı nasıl elde edebileceğiniz hakkında konuşacağım.

Çözüm

WordPress web siteleri, bilgi yönetimi tekniğinin temel kodundaki hatalar nedeniyle nadiren savunmasızdır. Ancak bir web sitesi tamamen yazılı içerik yönetimi tekniğine dayalı olarak çalışmaz, CMS'yi dünya çapında web'de barındırmak için bir internet sunucusuna, onu süslü hale getirmek için temalara ve gerekli işlevleri eklemek için eklentilere ihtiyaç duyar. WordPress kurulumunuza çok sayıda üçüncü sosyal toplama yazılımı katmanı dahil etmek, uygun şekilde gerçekleştirilmezse, kararlılığınızı biraz gözenekli hale getirebilir.

WordPress ana sayfanızın, eklentilerin ve temaların ve ağ ana bilgisayarınızın, WordPress web sayfanızın çalışmasını korumak için bağlanması gerekir. Bu konuşmanın bazen kusurları vardır ve web sitelerini duyarlı hale getirir.

Web sitelerinin pozitif %8'i zayıf parolalar nedeniyle tehlikeye girebilir. Devam edin, çok sayıda kanıt, korkunç derecede yazılmış eklentiler/temalar veya eski bir yazılım programı üzerinde çalışan bir internet ana bilgisayarının tanıtılmasının, tüm WordPress internet sitelerinin mükemmel bir bölümünün saldırıya uğramasının veya kapanmasının birincil sonucu olduğunu ima ediyor.

WP Stability serisinde sonraki yayının bir unsuru olarak, WordPress güvenlik açıklarına yol açan olası durumlarla ilgili bazı netliği fark ettiğimize göre, WordPress güvenliğinizi güçlendirmek için almanız gereken önlemlere odaklanacağım.

WordPress sitenizin bir saldırı nedeniyle tehlikeye düştüğünü veya bir DDOS saldırısına maruz kaldığını fark ettiyseniz, lütfen ayrıntıları paylaşın. Muhtemelen Aigars veya ben, bizim yetkimiz dahilindeyse sorunu çözmeye çalışacağız. Şerefe