Bir Web Sitesi Güvenlik Duvarı ile WordPress Sitenizi Koruyun

Yayınlanan: 2020-08-25
Protect Your WordPress Site With a Website Firewall

WordPress'in büyük popülaritesi, onu hızlı para kazanmak için WordPress sitenizden yararlanmaya çalışan suçlular ve bilgisayar korsanları için muazzam bir hedef haline getirdi. Hatta sitenizi zevk için tahrif ederek yaşıtları arasında bir miktar internet itibarı kazanmak isteyen senaryo çocukları bile olabilir. Nasıl olduğu önemli değil, herhangi bir site tavizi şekli müşterilerinizde ciddi bir güven kaybına neden olacak ve markanızın sonunu kolayca heceleyebilir.

Bu nedenle, bir WordPress örneği dağıttığınızda web sitenizi, müşterilerinizi ve markanızı korumak birincil önceliktir. Ne yazık ki bilgisayar korsanları, WordPress'ten yararlanmak ve yarattıklarınızı mahvetmek için gelişmiş araçlar ve teknikler geliştirdiler. Bir adım önde olmanın tek yolu, WordPress sitenizin nasıl hedef alınabileceğini ve bu tehditlere karşı nasıl korunulacağını anlamaktır.

Bu makalede, bilgisayar korsanlarının WordPress sitenizin internet ile iletişim kurma yollarından yararlanabileceği tüm yollara ve herhangi bir zarar vermeden onları durdurmak için oluşturabileceğiniz savunmalara bakacağız.

Bitleri ve Baytları Filtreleme – Bir Ağ Güvenlik Duvarı

İnternet üzerinden veri göndermek şaşırtıcı derecede karmaşık bir süreçtir. Fiziksel altyapıyı tanımlayan en alttaki donanım katmanından, her biri aşağıdakilere bağlı olan yukarıdaki birkaç yazılım katmanına kadar birçok “katman” vardır. Bu bölümde bizi ilgilendiren katmanlar, ana bilgisayardan ana bilgisayara katmanlardır. Bu katmanlarda, bir arkadaşınıza gönderdiğiniz bir görüntü gibi veriler, paket adı verilen küçük parçalara bölünür. Bunlar internet üzerinden sizden (kaynak) arkadaşınıza (hedef) yönlendirilir ve burada gönderdiğiniz orijinal görüntüde yeniden birleştirilir.

Bu veri paketlerinin tümü, aşağıdakileri içeren çeşitli özelliklere sahiptir:

  • Protokol – Örneğin, TCP, UDP, ICMP ve daha fazlası
  • Bağlantı Noktası – Örn, Web 80/443, E-posta 110/25
  • IP Adresleri – Paketleri gönderen ve alan bilgisayarların kaynak ve hedef IP'leri

Ağ arayüzü ve işletim sistemi arasında bir ağ güvenlik duvarı bulunur ve her paketi sunucuya ulaştığında inceler. Bir dizi izin verme ve engelleme kuralına dayalı olarak bir paketin işletim sistemine ilerlemesine izin verir veya reddeder. Güvenlik duvarı kurallarından herhangi birini ihlal ederlerse paketler atılır.

Bir ağ güvenlik duvarı, yanlışlıkla veya kasıtlı olarak kötü niyetli trafiği dinleyen işlemlerle yetkisiz iletişimi engellediği için bir sunucunun ve WordPress kurulumunun vazgeçilmez bir parçasıdır. İşletim sistemine ve bunun ötesinde WordPress'e izin verilen tek trafik, güvenlik duvarının dayattığı katı kurallara uymalıdır.

Düzgün yapılandırılmış bir ağ güvenlik duvarı, internete bağlı her sunucunun standart bir parçasıdır. Ne yazık ki, bu onların kurulumu ve yönetimi kolay olduğu anlamına gelmez. Aslında, yalnızca WordPress örneğinize erişiminiz varsa, etkili bir güvenlik duvarına WordPress'in içinden erişilemeyeceğinden, bir güvenlik duvarını doğru şekilde yönetmek imkansızdır.

Web İsteklerini Filtreleme – Bir Web Uygulaması Güvenlik Duvarı

Bilgisayar korsanları, WordPress sitenize saldırmak için kötü niyetli web isteklerini sandıkları karmaşık bir ağ saldırısı yöntemiyle cephaneliklerini genişletti. Bu web istekleri, ağ güvenlik duvarı kurallarının hiçbirini ihlal etmeyecek, bu nedenle ciddi zarar verebilecekleri WordPress sitenizle etkileşime girmelerine izin verilecektir.

Kötü amaçlı web isteklerinin nasıl çalıştığını anlamak için önce web isteklerinin yıllar içinde karmaşıklığının nasıl arttığını düşünün. PHP gibi aktif web teknolojilerinden önce bir web isteği çok basitti ve şuna benziyordu:

 http://www.example.com/index.php

Bu istek aşağıdaki gibi parçalara ayrılır:

  • http:// – İstek, HTTP protokolünü kullanıyor.
  • www.example.com – Web sunucusunun IP adresini çözümleyen ana bilgisayar adı.
  • index.php – İstenen dosya.

Gördüğünüz gibi, bu istek çok açık. Bir web sitesini güvenli hale getirmek istediğinizde, web sunucusunun bunları sunmayı reddetmesi için gizli olan dosyaların engellenen bir listesini oluşturdunuz. Fazla bir şey yoktu.

Web sitesi teknolojisi daha karmaşık hale geldikçe, bu karmaşıklıklardan yararlanma fırsatları da arttı.

Böyle kötü niyetli bir isteğin bir örneği, SQL Injection saldırısı olarak bilinir. Bu tür bir saldırı, WordPress veritabanından hassas bilgileri okumaya veya bu veritabanını değiştirmeye çalışır. Bunu, bir PHP betiğinin çalışacağı bir web isteği oluşturarak yapar ve komut dosyası girişlerini kontrol etmek için yazılmamışsa, saldırganın WordPress veritabanını okumasına veya yazmasına izin verir.

Basit bir SQL enjeksiyon saldırısı web isteğine bir göz atalım. Örneğin, istemci tarayıcısına bir giriş formunun gönderildiğini hayal edin. Formu doldurduklarında, girdikleri hesap kullanıcı adını içeren sunucuya bir web isteği gönderir. Bu örnek istekte, kullanıcı adı kimliği, bize şuna benzeyen bir web isteği veren JohnSmith'tir :

 http://www.example.com/accountView?id=JohnSmith

Sunucudaki PHP betiği bu girişi alır ve geçerliliğini kontrol etmezse, ciddi sorunlara yol açabilir. Örneğin, bir bilgisayar korsanı, hiçbir kimliği olmayan aşağıdaki hatalı biçimlendirilmiş URL'yi göndermeyi deneyebilir, örneğin:

 http://www.example.com/app/accountView? veritabanlarının dili olan SQL'de özel bir önemi vardır. Kötü yazılmış bir komut dosyasının, parolalar ve diğer hassas bilgiler dahil olmak üzere müşteri veritabanının tam listesini geri göndermesine neden olabilir. Bu açıkçası bir felaket.


Peki kendinizi bu saldırı biçimlerine karşı nasıl koruyorsunuz?
		




Burada bir Web Uygulaması Güvenlik Duvarı (WAF) devreye girer. İnternet ve WordPress arasına bir WAF yerleştirilir ve her web isteğini sunucuya ulaştığında denetler. Yukarıdaki gibi hatalı biçimlendirilmiş herhangi bir istek bulursa veya kural listesini ihlal ederse, bu isteğin WordPress'inize ulaşmasını engeller. Bir WAF, aksi takdirde sitenizdeki her PHP dosyasının kontrol edilmesini gerektirecek bir WordPress sitesini kolayca tehlikeye atabilecek tüm yaygın programlama hatalarını etkili bir şekilde ortadan kaldırır.


Açıkçası, bu, çok büyük ve hızla gelişen bir olasılık yelpazesinden gelen kötü niyetli bir talebin yalnızca bir örneğidir. Bu, gerçekten etkili bir WAF'yi bilgisayar korsanlarına ayak uyduran kurallar eklemek için sürekli bir meydan okuma haline getirir. Tıpkı bir ağ güvenlik duvarı gibi, bir WAF da kurulması ve daha da önemlisi bakımı teknik olarak zor bir tekliftir.
		




Botları Durdurma – Bruteforce Koruması ve reCAPTCHA


Etkili ağ savunmasının son katmanı, WordPress yönetici paneli giriş sayfanıza yönelik otomatik saldırıları durdurmaktır. Bu saldırılar, genellikle robot kelimesinden alınan "bot" olarak adlandırılan programlar tarafından başlatılır. Botlar, yorulmadan ve çok sayıda koordineli saldırılar başlatmak için çalıştıkları için bilgisayar korsanları tarafından kullanılır.


En yaygın saldırı yöntemi, bir giriş sayfasını hedef almaktır, kaba kuvvet saldırısıdır. Bu, WordPress sitenize giriş yapabilmeleri için kullanıcı adlarını ve şifreleri tahmin etmeye çalışır.
		




Bir kaba kuvvet saldırısı, çok sayıda farklı kullanıcı adı ve şifre kombinasyonu deneyerek çalışır. Genellikle bunlar, admin veya root gibi en popüler kullanıcı adlarının yanı sıra “123456” gibi en yaygın şifrelerin kombinasyonları olacaktır. Aşağıdaki kullanıcı adı ve şifre kombinasyonlarını göndererek bir kaba kuvvet saldırısı başlayacaktır:


    

  • yönetici: 123456
    • 

  • yönetici: passw0rd
    • 

  • admin: letmein
    • 

  • yönetici: qwerty
    • 

  • kök : 123456
    • 

  • kök : passw0rd
    • 

  • kök: letmein
    • 

  • kök: qwerty
    • 



Ve oradan daha az yaygın kombinasyonları denemeye devam edin.


Bot, nasıl yapılandırıldığına bağlı olarak birkaç yüz ila binlerce deneyecek. Bruteforce koruması, tüm başarısız oturum açma işlemlerini fark edecek ve ardından sahte oturum açma istekleri gönderen IP adreslerinden gelen diğer istekleri engelleyecektir. Bu, WordPress kullanıcılarının kendi şifrelerini seçmelerine izin verildiğinde genellikle daha zayıf şifreler seçeceklerinden önemli bir korumadır.
		




Bruteforce saldırıları, botların kullanıldığı tek kullanım alanı değildir. Ayrıca, sitenizi zayıflıklar, açıkta kalan hassas dosyalar veya güvenliği ihlal edilebilecek eklentiler ve temalar için araştırmak için kullanılırlar.


Bu botlar, Google'ın reCAPTCHA adlı endüstri standardı dolandırıcılık karşıtı reklam kötüye kullanımı aracıyla durdurulabilir. reCAPTCHA, insanları kötü niyetli botlardan otomatik olarak ayırır ve insanların sitenizi ziyaret etmesine izin verir ve botları geri çevirir. Bu, genellikle insan kullanıcı için görünmez ve sorunsuz bir şekilde gerçekleşirken, botun web sitenize girmesi için elinden gelenin en iyisini yapmaya çalışacağı yer imkansızdır.


Ama Bütün Bunları Nasıl Yapacağım?


Bir ağ güvenlik duvarı, WAF, bruteforce dedektörü ve reCAPTCHA'yı yapılandırmak ve sürdürmek için zamanınız, uzman teknik bilginiz veya bütçeniz yoksa, işi Rocket gibi uzmanlara bırakmalısınız. Rocket, WordPress güvenliği alan yönetilen bir barındırma sağlayıcısıdır. Tüm bu temel güvenlik araçlarını her WordPress kurulumunda standart olarak içerir.


Tek yapmanız gereken kaydolmak, bir WordPress sitesi açmak ve birkaç saniye sonra oluşturmaya başlamak.


Veya WordPress'te Parolasız Kimlik Doğrulama Nasıl Kurulur?