• Anasayfa
  • Nesne
  • Kılavuz
  • WordPress uzmanı: WP White Security'nin CEO'su Robert Abela ile röportaj

WordPress uzmanı: WP White Security'nin CEO'su Robert Abela ile röportaj

Yayınlanan: 2021-04-10
WP Beyaz Güvenlik

Robert Abela, sen kimsin?! Lütfen kendini tanıt!

Çocukluğumdan beri bilgisayarlara ilgim vardı. 8-9 yaşlarındayken amcam eve bir Atari getirdi ve onunla oyunlar oynardık.

O zamandan beri ilgim arttı ve bazı temel programları yazdığım ilk bilgisayarımı (Amiga 500+) aldım.

Sonra PC geldi (486 DX4'üm vardı) ve ardından internet. Bilgisayarımı birçok kez bozduktan sonra elektronik mühendisliği okulunu bıraktım ve uluslararası bir yazılım şirketinde yazılım test uzmanı olarak ilk BT işimi yaptım. İlk kurumsal işimi yaptıktan 14 yıl sonra kendi şirketimi kurdum, WP White Security.

Robert Abela

WordPress kullanmaya nasıl başladınız? Ne zamandı ve onunla ne yapıyordun?

Acunetix'te ürün yöneticisi olarak son tam zamanlı kurumsal işim sırasında WordPress hakkında bilgi sahibi oldum. Araştırma bulgularımızı belgelemek için bir bloga ihtiyacımız vardı ve WordPress'i kullanmaya başladık.

WordPress'i kullanmaya başladığımızda, WordPress güvenlik endüstrisinde birçok fırsat olduğunu fark ettik. Bir web uygulaması güvenlik yazılımı şirketi olduğumuzdan, Website Defender adlı bir WordPress güvenlik hizmeti bile oluşturduk. Ne yazık ki ürün hiç yükselmedi, ancak bunu WordPress ekosistemi hakkında daha fazla şey öğrenmem için iyi bir fırsat olarak değerlendirdim.

Bütün bunlar beni kendine bağlamaya yetti ve WP White Security fikri böyle doğdu. Daha önceki tecrübem güvenlik üzerine olduğu için WP White Security'ye güvenlik blogu olarak başladım . Ayrıca, saldırıya uğramış web sitelerini temizleme, kaynak kodunu denetleme, WordPress web sitelerinin güvenliğini güçlendirme ve benzeri diğer işler gibi WordPress güvenlik hizmetleri de sunduk.

Daha sonra, nasıl kod yazılacağını öğrenmeye başladım ve mükemmel bir kullanım durumum oldu: bir WordPress aktivite günlükleri eklentisi. Her zaman web sitesi sahiplerinin, web siteleri saldırıya uğramadan önce böyle bir eklenti yüklemiş olmasını diledim. O zamanlar hayatı çok daha kolay hale getirirdi!

WP Activity Log'un ilk sürümünü geliştirmeye başlamak için ihtiyaç duyduğum tüm motivasyon buydu. Eklenti hız kazanmaya başladığında, güvenlik hizmetleri sağlamayı bıraktık ve tamamen WordPress eklentileri geliştirmeye odaklandık. Gerisi tarih.

Birkaç güvenlik eklentisi geliştirdiniz. Neden WordPress'e odaklanmaya karar verdiniz?

Her şey doğal olarak gerçekleşti.

Geçmişim uygulama güvenliği olduğundan, daha önce her zaman güvenlik yazılımı şirketlerinde çalıştım. Acunetix'te WordPress'i keşfettiğimde, dahil olmak ve WordPress'te bir şeyler yapmak için iyi bir fırsat gördüm.

Diğer CMS projelerine (Joomla, Drupal vb.) hiç bakmadım çünkü WordPress'te bir şeyler yapmak, topluluğa dahil olmak ve potansiyel olarak yeni arkadaşlar edinmek iyi hissettirdi, tam olarak olan buydu.

Bu CMS'nin güçlü ve zayıf yönleri nelerdir? WordPress güvenli mi? İnsanlar neden bir güvenlik eklentisine yatırım yapmalıdır ?


Benim düşünceme göre, WordPress'in güçlü yönleri:

  • Çok iyi destekleniyor ve belgeleniyor
  • Büyük ve şaşırtıcı bir topluluk tarafından destekleniyor
  • WordPress çekirdeği çok kararlı, sık güncellenen ve bakımlı
  • Tonlarca eklenti ve tema sayesinde WordPress ile her türden web sitesi oluşturabilirsiniz.

WordPress'in çekirdeği çok güvenlidir. WordPress web sitelerindeki en yaygın güvenlik sorunlarına site sahipleri/yöneticileri neden olur. Örneğin;

  • Web siteleri yanlış yönetiliyor ve gereksiz eklentiler yüklü, güncel olmayan yazılımlar, yanlış atanmış kullanıcı ayrıcalıkları, zayıf şifreler vb.
  • Deneyimi olmayan kullanıcılar, bir WordPress sitesini güvenli tutmak için neyin gerekli olduğunu bilmiyor.

Açıkçası, bir siteyi güvende tutmak roket bilimi değildir. Çoğunlukla, bazı temel güvenlik en iyi uygulamalarını takip etmekle ilgilidir.

Bir WordPress web sitesinin güvenliğini güçlendirmek için 5 hızlı ipucunu paylaşır mısınız?

  • Eklentiler, temalar ve tabii ki WordPress sürümü dahil her şeyi güncel tutun. Bu aynı zamanda bilgisayarınız, akıllı telefonunuz ve sahip olduğunuz diğer tüm cihazlar için de geçerlidir.
  • Doğru ayrıcalıkları atayın. WordPress kullanıcı rolleri, web sitenizin genel güvenliğinde önemli bir rol oynar. Yanlış kişiye çok fazla yetenek atamak gibi basit bir eylem, potansiyel olarak feci sonuçlara yol açabilir.
  • Eklentileri kurmadan önce araştırın. Ayrıca, yalnızca ihtiyacınız olan eklentileri yükleyin. WordPress web siteniz için eklenti seçerken aklınızda bulundurmanız gereken bazı şeyler şunlardır: Eklenti derecelendirmeleri, kullanıcı incelemeleri, eklentinin etkin yükleme sayısı, destek, geliştirici yanıt hızı ve belgeler.
  • Sertleştirme – WordPress sertleştirme söz konusu olduğunda yapılabilecek çok şey var. Ancak, 2FA uygulamak, parola güvenliğini artırmak ve ihtiyacınız olmayanları devre dışı bırakmak gibi bazı basit adımlarla başlayabilirsiniz.
  • Güvenlik, günlük görevlerinizin bir parçası olmalıdır. WordPress güvenliği tek seferlik bir düzeltme değil, web sitenizin güvenlik duruşunu iyileştirmek için savunmalarınızı sürekli olarak test etme ve bunu yineleme sürecidir.

Eklentilerinize odaklanalım: Neden WP Etkinlik Günlüğü oluşturdunuz?

Bu fikir, saldırıya uğramış web sitelerini temizlerken aklıma geldi. Günlüklerin bir web sitesini yönetmek için hayati önem taşıdığını düşündüm, ancak ne olduğunu ve neyin istismar edildiğini anlamanıza yardımcı olabilecekleri adli tıp çalışmaları sırasında da faydalıdır.

WordPress'te log olmadığı için WP Activity Log geliştirmeye başladım. Bugün itibariyle, tümü WordPress güvenliğine ve kullanıcı yönetimine odaklanan altı eklentimiz var.

WP Activity Log :Binlerce WordPress yöneticisinin ve güvenlik uzmanının web sitelerinde neler olup bittiğini takip etmesine yardımcı olan kapsamlı bir gerçek zamanlı kullanıcı izleme ve etkinlik günlüğü eklentisi.

Parola Politikası Yöneticisi : Bu eklenti, WordPress web siteniz ve çok siteli ağınız için güçlü parola politikaları yapılandırmanıza olanak tanır.

WP 2FA : WordPress kullanıcı girişinizin güvenliğini birkaç saniye içinde güçlendirebileceğiniz, kullanımı kolay, iki faktörlü bir kimlik doğrulama eklentisi.

Web Sitesi Dosya Değişiklikleri Monitörü : WordPress çekirdeğini, eklentileri ve tema değişikliklerini tanıyan özel bir akıllı teknolojiye sahip bir dosya bütünlüğü izleme eklentisi, böylece yasal dosya değişiklikleriyle ilgili yanlış alarmlar vermez.

MainWP için etkinlik günlükleri : Bu, yöneticilerin ve ajansların, alt sitelerde neler olup bittiğini tek bir merkezi portaldan, MainWP panosundan izlemek için kullandığı bir MainWP uzantısıdır.

Yönetici Bildirimleri Yöneticisi : Bu eklenti, WordPress panonuzdaki yönetici bildirimlerini yönetir. Fikir basit, dikkat dağıtmayan bir gösterge panosuna sahip olmak ve yönetici bildirimlerini kendi rahatınızla okumak ve önemli bir WordPress çekirdeğini veya geliştirici mesajını asla kaçırmayın.

Zaman zaman insanlar bize neden "genel" bir güvenlik eklentisi yerine tek amaçlı eklentiler geliştirdiğimizi soruyorlar. Bunun nedenlerinden biri kullanım kolaylığıdır. Genel güvenlik eklentileri, kullanıcılar için biraz bunaltıcı olabilir.

Tek amaçlı bir eklenti geliştirdiğinizde, o alanda uzmanlaşabilir ve daha sağlam özellikler oluşturmaya odaklanabilirsiniz, ki bu elbette belirli ihtiyaçları olan kullanıcılar için iyidir. Bu diğer her şeyde aynıdır. Örnek olarak akıllı telefon kamerası ve DSLR benzetmesini kullanalım; Günümüzde çoğu telefonun iyi kameraları olmasına rağmen, böyle bir kamerayı bir DSLR ile karşılaştıramazsınız, çünkü kameralı telefonunuz ne kadar iyi olursa olsun, asla bir dijital kameranın çok yönlülüğüne, özelliklerine ve seçeneklerine sahip olmayacaktır.

WordPress'in gelecekte nasıl geliştiğini düşünüyorsunuz?

WordPress mütevazı bir blog platformu olarak başladı ve bugün bloglar, web siteleri, e-ticaret çözümleri ve ayrıca birçok web projesi için bir arka uç çözümü olarak kullanılıyor.

Pazar payı da hızla artıyor, bu nedenle gelecek kesinlikle ilginç.

Ne kadar çok benimsenirse, o kadar çok ilgi görüyor. Bu, daha fazla işletmenin, genellikle daha fazla inovasyona, yeni ürünlere ve onu kullanmanın yeni yollarına, daha fazla entegrasyona ve hepsinden önemlisi daha güvenli bir WordPress'e yol açan WordPress ekosistemine yatırım yapacağı anlamına gelir .

WP Etkinlik Günlüğü ne olacak?

Bu yıl, eklentinin özünü ve özelliklerini yeniden düzenlemeye odaklanıyoruz. Bunun da ötesinde, bir etkinlik günlüğü çözümü olarak, daha büyük işletmelerin ihtiyaç duyduğu entegrasyonlara da odaklanıyoruz.

Örneğin, üçüncü taraf çözümlere günlük yazma, Splunk gibi çözümlerle entegrasyonlar ve merkezi kayıt sistemleri.

Bunun da ötesinde, diğer tüm eklentiler, özellikle WP 2FA için ilginç bir yol haritamız var. Bu yıl birçok yeni özellik ekleyeceğiz, bu yüzden bizi izlemeye devam edin!