WordPress web sitenizin bilgisayar korsanlarına karşı savunmasız olmasının 6 nedeni
Yayınlanan: 2019-04-26WordPress'in sağladığı mükemmel özellikler ve özelleştirme seçenekleriyle, web sitelerinin neredeyse %33'ünün WordPress CMS kullanması şaşırtıcı değil. Bununla birlikte, potansiyel güvenlik sorunları, site sahiplerini ısırmaya geri dönebilecek bir şeydir.
Aslında, yakın zamanda yapılan bir çalışmada analiz edilen 8.000 saldırıya uğramış web sitesinin %74'ü WordPress kullanıyordu.
Bir WordPress web sitesi kullanıyorsanız, riski en aza indirmek için güvenliğinizin doğru şekilde kurulduğundan emin olmanız önemlidir.
Peki alınacak en iyi hareket tarzı nedir?
Aşağıdaki güvenlik sorunları en hayati olanlardan bazılarıdır ve WordPress sitenizi bilgisayar korsanlarına karşı savunmasız bırakabilir. Bu sorunları belirlemeniz ve düzeltmeniz önemlidir; hemen.
1. Güvenli Olmayan Barındırma Hizmeti
Bir web sitesi yapmaya giden en önemli kaynaklardan biri web barındırmadır.
Sitenizin performansından güvenliğine kadar, barındırma hizmetiniz hepsini etkileyebilir. Bu nedenle, yeterli güvenlik sunan bir barındırma sağlayıcısı seçmeniz çok önemlidir.
Barındırma seçeneklerinizi değerlendirirken ve analiz ederken, aşağıdaki ipuçları size yardımcı olacaktır.
- Sağladığı tüm güvenlik özelliklerini gözden geçirin.
- Barındırma söz konusu olduğunda, pahalı olmanın her zaman daha iyi anlamına gelmediğini anlayın.
- Bazı sağlayıcıların giriş seviyesi planları, diğer barındırma sağlayıcılarının üst düzey planları kadar maliyetlidir. Bu her zaman karşılaştırılabilecekleri anlamına gelmez.
- En popüler iki barındırma hizmeti türü arasındaki farkı öğrenin.
Paylaşılan Evsahipliği:
Paylaşılan bir barındırma hizmeti, WordPress kötü amaçlı yazılımını algılayabilen temel güvenlik taramaları sunar.
Ayrıca sitenize gelen ziyaretçileri takip etmenizi sağlar. Bu, zararlı ziyaretçileri belirlemenize ve IP adreslerini engellemenize yardımcı olabilir.
Paylaşılan bir barındırma hizmetinin en önemli özelliği, birden fazla web sitesini barındırma yeteneğidir ve bu da onu diğer barındırma türlerinden çok daha ucuz hale getirir.
Yönetilen Barındırma:
Bu, rutin bir kötü amaçlı yazılım taramasıyla birlikte güvenlik için bir güvenlik duvarı sağlayan barındırma hizmetidir.
Bazı sağlayıcılar, onları güvende tutmak için WordPress dosya ve klasörlerine erişimi kısıtlayan 'Yönetilen barındırma hizmetleri' sunar.
Örneğin, WP-Engine tüm PHP dosyalarındaki değişiklikleri engellerken Pantheon, tema ve eklenti verileri içeren klasörler dışında klasörlere yazmaya izin vermez.
- Müşteri desteğini test edin:
Müşteri desteği, barındırma sağlayıcılarını karşılaştırırken göz önünde bulundurmanız gereken başka bir faktördür.
Önemsiz bir konu veya tam bir arıza olsun; barındırma hizmetiyle ilgiliyse, sağlayıcı tam müşteri desteği sunmalıdır.
Bir sağlayıcının destek sisteminin ne kadar nitelikli olduğunu öğrenmek için iletişim bilgilerini alın ve onlarla iletişime geçin. Onlara tüm sorularınızı sorun ve endişelerinizi giderirken ne kadar sabırlı ve işbirlikçi olduklarını görün.
Bu deneyime dayanarak, bir güvenlik ihlali durumunda nasıl tepki verecekleri hakkında bir fikir edinebilirsiniz. Bu, onlardan satın almak isteyip istemediğinize karar vermenize yardımcı olacaktır.
Zaten yanlış sağlayıcıdan bir barındırma planı satın aldıysanız endişelenmeyin. Planınızın süresinin dolmasını beklemek zorunda değilsiniz. BlogVault ve Migrate Guru gibi hizmetler, herhangi bir sorun yaşamadan farklı barındırma sağlayıcılarına geçiş yapmanıza yardımcı olabilir.
2. Sistem güncellemeleri
Diğer tüm CMS'ler gibi, WordPress de düzenli güncelleme gerektirir. Bunu göz ardı etmek, WordPress sitenizi potansiyel bir güvenlik riski haline getirebilir.
Aslında, saldırıya uğramış WordPress web sitelerinin %80'i eski temalar ve/veya eklentiler kullanıyordu. Göz açıcı, değil mi?
Farklı temalar ve eklentiler üzerinde çalışan binlerce geliştiriciye sahip açık kaynaklı bir CMS olmak, WordPress kontrol panelinizin kullandığınız eklentilere ve temalara dayalı olarak birçok güncelleme alabileceği anlamına gelir.
Tüm temel temaların ve eklentilerin en son sürüme güncellendiğinden emin olmanız gerekir.
Bir Eklentiyi Güncelleme Adımları:
- WordPress panonuzu açın ve Eklentiler > Yüklü Eklentiler'e gidin
- Pano sizi yüklediğiniz eklentileri gösteren sayfaya götürecektir.
Bekleyen ve güncellenen eklentileri belirleyin ve 'şimdi güncelle'yi tıklayın.
Benzer şekilde, Görünüm > Temalar'a giderek sitenizdeki temaları da aynı şekilde güncelleyebilirsiniz.
Bu aynı zamanda temaya/eklentiye/sisteme eklenen en son özelliklerin kilidini de açacaktır. Bu, web sitenizin güvenliğini ve istikrarını aynı anda korumanıza yardımcı olur.
3. Korsan Temalar veya Eklentiler
Bir WordPress web sitesi kurmak cebinizde bir delik açmayacak olsa da, onu estetik açıdan hoş ve zengin özelliklere sahip kılmak, iyi bir WordPress teması/eklentisi size 10 ila 200 dolar arasında bir maliyete mal olabilir.
Bu 'sözde' davetsiz maliyetlerden kurtulmak için, web yöneticileri genellikle daha ucuz yolu kullanır ve ücretsiz veya ihmal edilebilir fiyatlarla mevcut olan geçersiz/korsan eklentileri/temaları kullanır.
Bunun sonuçları nelerdir?
Boş bir tema kullanan bir web sitesinin farkında olmadan bilgisayar korsanlarına şu URL üzerinden arka kapı erişimi verdiği bazı durumlar olmuştur: http://www.example.xyz?backdoor=go
URL, web sitesine bir arka kapıyı tetiklediğinden, bilgisayar korsanları siteye erişebildi ve aşağıdaki kimlik bilgileriyle yeni bir WordPress yönetici hesabı oluşturdu:
Kullanıcı adı: backdooradmin
Şifre: Pa55W0rd
Bu genellikle, gerçek tema sahibi tarafından function.php dosyasına eklenen ek bir kısa kodun sonucudur .
Sitenizi bu tür risklerden kurtarmak için. Temaları ve eklentileri her zaman resmi WordPress deposundan veya Theme Forest veya Themeisle gibi diğer güvenilir kaynaklardan edinin.
4. Sahte Giriş Ayrıntıları
Varsayılan giriş sayfası:
Aynı eski kullanıcı adlarını ve tahmin edilmesi kolay şifreleri kullanmak, web sitenizin arka ucuna girmeye çalışan bilgisayar korsanları için hayatı çok daha kolay hale getirir.
Nasıl düzeltilir?
- Kullanıcı adı ve Şifre sorunu:
Başka bir hesapta kullanmadığınız bir kullanıcı adı ve şifre oluşturmaya çalışın.
Lütfen benzersiz bir kullanıcı adının olması çok önemli olduğunu unutmayın. Kullanıcı adının tahmin edilmesi kolaysa, bir bilgisayar korsanının bulması gereken tek şey şifrenizdir.
Kullanıcı adınızı asla web sitenizde göstermediğinizden emin olun. Bunu yapmak, bilgisayar korsanlarına WordPress kontrol panelinizde ziyafet çekmeleri için kişisel bir davetiye vermek gibi olacaktır. Bunun yerine, kullanıcı adından farklı bir takma ad veya unvan kullanın. Varsayılan giriş sayfası URL sorunu: www.yoursite.com/wp-admin
Bu, sitenizi bilgisayar korsanlarına karşı savunmasız bırakan bir WordPress giriş sayfası URL'sinin en zahmetsiz ve en yaygın seçimidir.
Çoğu bilgisayar korsanı manuel olarak saldırmaz. Botları, giriş sayfalarına erişmek ve hedef sitelerin giriş bilgilerini kırmak için programlarlar.
Varsayılan giriş sayfası URL'sini kullanmak, web sitenize girmeye çalışan botların ve bilgisayar korsanlarının işini azaltacaktır.
En iyi çıkış yolu, varsayılan giriş URL'sini değiştirmektir.
Örneğin, - www.yoursite.com/wp-admin'i www.yoursite.com/welcometomysite olarak değiştirmek
Bunu yapmak için şu basit adımları izleyin.
– İlk olarak, UpdraftPlus kullanarak WordPress sitenizin tam bir yedeğini alın.– Ardından 'Easy Hide Login' eklentisini kurun ve etkinleştirin (ücretsizdir).
– Eklentinin ayarlarına gidin ve tercih ettiğiniz giriş bilgisini ("welcometomysite" gibi) gönderin.
– Bu, WordPress giriş adresinizi siteniz.com/wp-admin konumundan siteniz.com/welcometomysite olarak değiştirecek ve insanların sitenizi hacklemesini çok daha zor hale getirecektir.
5. Yazılabilir PHP Dosyaları
Web üzerindeki veya dışındaki herhangi bir bilgisayar programı gibi, bir WordPress web sitesi de dosya ve klasörlerden oluşur.
Bu klasörlerden biri 'Yüklemeler' klasörüdür. Bu klasör, siteniz için tüm temaları ve eklenti verilerini depolar.
Potansiyel bilgisayar korsanları, web sitenize erişmek için bu klasöre bir PHP kodu yüklemenin bir yolunu bulabilir.
Bilgisayar korsanları bu yöntemle eriştiğinde, posta listenizdeki e-posta adresleri gibi diğer önemli kaynaklarla birlikte gelecekte yayınlamayı planladığınız içeriği çalabilirler. Ayrıca sitenizden geri bağlantılar satabilir veya içeriğinizi bilginiz olmadan web sitelerine bağlantılar oluşturmak için kullanabilirler. Ya da en kötüsü, tüm web sitesini yok edebilir ve kaldırabilirler.
Bu tür hacklemenin en kötü yanı, barındırma sağlayıcınız veya bir arama motoru web sitenizi yasaklayana kadar bunların hiçbirini bilmemenizdir.
Kendinizi bundan kurtarmak için aşağıdaki adımlarla PHP yürütmesini devre dışı bırakabilirsiniz.
- cPanel'de web sitenizin kök dizinindeki 'Yüklemeler' klasöründe bir .htaccess dosyası oluşturun.
- Not Defteri (Windows'ta) veya TextEdit (Mac'te) ile yeni bir dosya oluşturun.
- Aşağıdaki kodu bu dosyaya yapıştırın ve .htaccess olarak kaydedin (.htaccess.txt olarak değil).
# WordPress'e BAŞLAYIN
Yeniden YazmaMotoru Açık
Yeniden Yazma Tabanı /
RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
Yeniden Yazma Kuralı . /index.php [L]
# WordPress'i SONLANDIR
- Bu dosyayı 'Yüklemeler' klasörüne yükleyin.
- Artık, özellikle 'Yüklemeler' klasörünüz için yeni bir .htaccess dosyanız var. Düzenlemek için sağ tıklayın ve aşağıdaki kodu yapıştırın.
İzin Ver, Reddet
hepsinden reddet
Yukarıdaki adımları uyguladıktan sonra web siteniz 'PHP' içeren yabancı dosyaların yürütülmesini engelleyecektir. Bu değişiklik sitenizin güvenlik duvarına bir tuğla daha ekleyecektir.
Ayrıca, bu yöntemi kullanmanın biraz riskli olduğunu unutmayın. Önemsiz bir hata bile sitenize zarar verebilir. Bu nedenle, cPanel'i kullanmaktan emin değilseniz, olan birine danışın.
6. SSL sertifikası eksikliği
http://yoursite.com ve https://yoursite.com aynı web sayfasını yüklerken, anlaşmayı bozabilecek küçük bir fark vardır .
SSL sertifikası.
Yukarıdaki örnekteki ilk URL bir SSL sertifikası kullanmıyor, ikinci örnek ise öyle.
Bu, ziyaretçinin cihazı ile web sunucularınız arasındaki iletişimi riske atarak bir web sitesinin güvenliğini büyük ölçüde etkileyebilir.
Bir SSL sertifikası, bilgileri şifreler, böylece hedeflenen alıcılar dışında hiç kimse tarafından erişilemez. Web sitenizi bu tür sızıntılara karşı korumak için mümkün olduğunca erken bir SSL sertifikası yüklemeniz önerilir.
Bir SSL sertifikası yüklemek genellikle basittir ve yapılması kolaydır. Genellikle barındırma sağlayıcınızdan bir SSL sertifikası satın alabilirsiniz, ancak bir SSL hizmeti satmıyorlarsa, başka bir sağlayıcıdan satın almayı düşünmelisiniz.
Barındırma sağlayıcınızdan bir SSL sertifikası almak, sizi kurulum zahmetinden de kurtaracaktır. Her şeyi ayarlayacaklar ve 'http' sayfalarınızı 'https'ye yönlendirmeniz yeterli.
Özetle
WordPress sitenizi güvenlik tehditlerine karşı güvenceye almamak, işletmenize çeşitli şekillerde zarar verebilir. Tüm web yöneticilerinin web sitesi güvenliğine dikkat etmesi ve yerinde yeterli bir yedekleme eklentisi ve sistemine sahip olması şaşırtıcı değildir. En iyi çabalarınıza rağmen, en kötüsü olursa ve siteniz kötü niyetli bir saldırıya uğrarsa; UpdraftPlus, güvenli ve güvenli bir yedekleme ve geri yükleme seçeneği sağlayabilir. Bu, bir saldırı durumunda bile web sitenizin her zaman tüm önemli güvenlik ağına sahip olmasını sağlamaya yardımcı olacaktır.
Bu yazıda, WordPress web sitenizin güvenliğini bilgisayar korsanları nedeniyle potansiyel olarak riske atabilecek yaklaşık 6 boşluk okudunuz. Umarım bu makale sitenizi korumanıza ve güvenliğini bir sonraki düzeye taşımanıza yardımcı olmuştur.
Vaibhav Kakkar tarafından
WordPress web sitenizin bilgisayar korsanlarına karşı savunmasız olmasının 6 nedeni ilk olarak UpdraftPlus'ta ortaya çıktı. UpdraftPlus – WordPress için yedekleme, geri yükleme ve taşıma eklentisi.