Pandemi nedeniyle, çevrimiçi mağazalara tüketici göçü hızla arttı ve siber saldırıya maruz kalmanız olası
Geçtiğimiz Ekim ayında, WordPress güvenlik ekibi bir güvenlik güncellemesini popüler bir eklentiye göndermek için dahili bir özellik kullandı. Bir güncellemeyi zorla itme yeteneği, deneyimli geliştiriciler arasında bile birçok kişi tarafından bilinmiyordu.
Bir milyondan fazla site tarafından kullanılan Loginizer eklentisinde bulunan hata, son hafızadaki bir WordPress eklentisini etkileyen en kötü güvenlik sorunlarından biri olarak sınıflandırıldı, bu yüzden WordPress'teki güvenlik ekibi eylemin gerekli olduğunu düşündü.
Herkes WordPress’in proaktif yaklaşımını beğenmedi, kullanıcılar Loginzer’in forumu ve WordPress.org sitesinden şikayet etti. Bazıları, devre dışı bırakılmış otomatik güncellemeleri olan bir eklentiyi güncellemenin bile mümkün olduğunu öğrenince şaşırdı. Kullanıcılar, WordPress zorunlu güncelleme özelliğini ilk kez kullandıktan sonra 2015 yılında da şikayet etti.
WordPress, eklentide bulunan tehlikeli bir SQL enjeksiyon hatasını engellemek için bir güvenlik düzeltmesi yapmaya karar verdi. Güvenlik açığı, bilgisayar korsanlarının, WordPress oturum açma sayfası için ironik bir şekilde güvenlik geliştirmeleri sağlayan eski Loginizer sürümlerini kullanarak WordPress sitelerini ele geçirmesini sağlayabilirdi.
WordPress güncellemesi
Yaklaşık iki hafta sonra, WordPress, WordPress çekirdeği için WordPress 5.5.2 güvenlik ve bakım sürümünü çıkardı. Bu güncelleme on güvenlik düzeltmesi içerir ve WordPress tüm kullanıcıların sitelerini hemen güncellemelerini önerir.
2016 itibarıyla WordPress, internetteki 1,2 milyar web sitesinin yaklaşık% 34'ünü destekledi. Bir içerik yönetim sistemi (CMS) olan WordPress, öncelikle kullanım kolaylığı nedeniyle temel ve ileri düzey beceri seviyelerine sahip web geliştiricileri tarafından tercih edilmektedir. Bu kadar çok yükleme ile siber suçlular için sabit bir hedef haline geldi ve dünyanın dört bir yanındaki site sahipleri, sürekli bir dizi kaba kuvvetin ve diğer saldırı türlerinin kurbanı oldu. WordPress'in bu düzenli güvenlik güncellemeleri, bu sitelerin güvenli ve erişilebilir durumda tutulması için kritik öneme sahiptir.
WordPress ekosistemi
WordPress sadece hain bilgisayar korsanlarını değil, aynı zamanda girişimcileri de cezbetmektedir. Astra, iThemes, Sucuri ve Bullet gibi şirketler, işlerini WordPress web sitesi sahipleri için güvenlik sorunlarını çözme üzerine kurdu.
Bu popüler CMS'nin kullanım kolaylığının yanı sıra basit bir özelleştirme de geliyor. Ne tür bir site oluşturmak isterseniz isteyin, hazır özelleştirme sağlayan bir eklenti vardır. Son olarak, WordPress.org 58.000'den fazla çözüm listeledi, ancak bu eklentiler ve temalar genellikle saldırıların giriş noktasıdır.
WordPress, eklentiler ve temalar genellikle şunlara karşı savunmasızdır:
— Brute Force Saldırıları: giriş kazanana kadar farklı kullanıcı adları ve şifre kombinasyonları girme.
- Siteler Arası Komut Dosyası - bilgisayar korsanları, kurbanları kötü amaçlı JavaScript kodları içeren bir siteye ikna eder.
— Dosya kapsamları: WordPress PHP kodundaki güvenlik açıklarından yararlanma.
— Kötü amaçlı yazılım - örneğin yetkisiz yönlendirmeleri kolaylaştırmak veya barındırma hesabınıza yüksek düzeyde erişime izin vermek için siteye yerleştirilen kod.
— SQL Enjeksiyonları: saldırganlar, güvenli olmayan veritabanlarını arar ve onlara MySQL enjeksiyonlarını kullanarak erişir, bu da onlara tüm veriler üzerinde kontrol sağlar ve yönetici hesapları oluşturmalarını veya kötü amaçlı yazılım içeren diğer sitelere bağlantılar gibi veritabanına içerik eklemelerini sağlar.
WordPress web siteniz neden risk altında?
Çoğu WordPress web sitesi (tüm web siteleri) savunmasızdır çünkü web sitesi geliştiricileri ve sahipleri, güvenlik söz konusu olduğunda en iyi uygulamaları kullanmazlar. Zayıf parolalar birincil güvenlik açığı noktalarıdır ve hızla giderilir, ancak zayıf, tahmin edilmesi kolay parolalar nedeniyle her gün binlerce site ihlal edilmektedir.
Basit şifreler
Kaba kuvvet saldırılarını engellemek için 12 veya daha fazla karakter kullanarak, sembolleri, harfleri ve sayıları karıştırarak ve parolanın WordPress siteniz için benzersiz olmasını sağlayarak karmaşık parolalar oluşturun. LastPass ve 1Password gibi parola kasası uygulamaları bunu kolaylaştırır.
Kimlik doğrulaması yok
Çok faktörlü kimlik doğrulama, diğer en iyi uygulamalara eklendiğinde bilgisayar korsanlarının web sitenize erişmesini engellemeye yardımcı olacak ek bir güvenlik katmanı sağlar. Yetkili erişim girişimlerini doğrulamak için mobil cihazınız için Google Authenticator gibi çeşitli uygulamalar vardır.
Kullanılmayan eklentiler ve temalar
WordPress web siteleri için diğer giriş noktaları, eski eklentiler ve temalardır. Siteler daha az eklentiyle daha hızlı çalışsa da, birçok web sitesi sahibi eklentileri yükler, dener ve ardından sağladıkları özelliği kullanmamayı tercih eder. Terk edilen eklentiler geride bırakılır ve güncellemeler göz ardı edilir. Zamanla, web siteleri düzinelerce kullanılmayan eklenti ve tema biriktirebilir.
Yeni eklentiler ve temalar yüklerken dikkatli olun. Her zaman ThemeForest, CodeCanyon ve WordPress.org gibi güvenilir web sitelerinden indirin. Birkaç tek işlevli eklenti yerine birden çok işlevi olanları seçerek daha az eklenti kullanın.
Hosting hesabınıza giriş yaparak veya FTP yazılımı kullanarak temaları silin. Ayrıca, artık kullanmadığınız eklentiler tarafından oluşturulan artık tablolar için veritabanını kontrol edin.
Güvenlik eklentisi yok
Her sitenin bir güvenlik eklentisi olmalıdır ve pek çok iyi eklentisi vardır. Bilgisayar korsanlarının sitenize erişmeye çalışması durumunda, bunlar sizin ilk savunma hattınızdır. Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security ve Wordfence'i daha az bilinen diğer seçeneklerle birlikte ilk on listede sık sık bulacaksınız.
Barındırma güvenliği yok
Birçok barındırma şirketi, bir eklenti hizmeti dahil edilmiş veya mevcut güvenlik özelliklerine sahiptir. Yazılımı (ve WordPress güvenlik eklentinizi) düzenli taramalar için yapılandırın - günlük çok sık değil - ve sizi herhangi bir anormallik konusunda uyarmak için.
Bir yedekleme planı
Her web sitesi sahibinin en iyi güvenlik uygulamalarını izlemesi gerekse de, bir sitenin saldırıya uğraması ihtimali hala mevcuttur. Yedekleme planları, ters gidebilecek her şey olduğunda güvenli olanlardır. Sitede ne sıklıkta değişiklik yaptığınıza bağlı olarak düzenli yedeklemeleri etkinleştirin. Günlük bir görevse, günlük yedeklemeler oluşturun. Bunları iş yeri dışında saklayın ve hemen bir saldırı keşfetmezseniz ve temiz bir yedek bulmak için birkaç gün geri gitmeniz gerekirse diye bir haftalık değerinde saklayın.
WordPress'in arkasındaki geliştiriciler, web sitelerini güvende tutmak için yorulmadan çalışırlar, ancak sahipler yazılımlarının güncel ve şifrelerin güvenli olmasını sağlamak için sorumluluk almalıdır. Aynı şekilde WordPress site geliştirmeyi kolaylaştırdığı gibi güvenliği de kolaylaştırmıştır. Güncellemeleri yükleyin, karmaşık parolalar kullanın, kimlik doğrulama ekleyin ve sitenizin çalışır durumda ve para kazanmaya devam etmesini sağlamak için yedeklemeleri planlamayı göz önünde bulundurun.
Comments