WordPress Web Sitenizi Fidye Yazılımlarına Karşı Koruma

WordPress, dünyadaki en popüler CMS'dir. Bu genellikle iyi bir şey olsa da, WordPress'i geniş bir erişim alanı arayan kötü amaçlı yazılımlar için bir hedef haline getirebilir.

Ne yazık ki, siber saldırılar yıllar içinde daha büyük ve daha ölçeklenebilir hale geldiğinden, uzun vadede genellikle çevrimiçi işletmelerin saldırıya uğrayacağı 'eğer' değil, 'ne zaman' meselesidir. Ve son zamanlardaki fidye yazılımı saldırılarının yüksek oranda duyurulan başarıları, bu eğilimin devam edeceği anlamına geliyor.

Bununla birlikte, web sitenizi yaygın saldırılara karşı daha az savunmasız hale getirmek için atabileceğiniz birçok adım vardır.

Riski Anlamak

Fidye yazılımı, bir saldırganın erişim elde etmek için bir istismar kullandıktan sonra sunucunuza veya bilgisayarınıza yüklediği yazılımdır. Yazılım yüklendikten sonra, ya hemen ya da bir süre hareketsiz kaldıktan sonra genellikle otomatik olarak yürütülür.

Birkaç yıl öncesine kadar, fidye yazılımı saldırıları genellikle Windows iş istasyonlarını hedef alıyordu. Ancak, 2017'de analistler, WordPress web sitelerine yönelik saldırı vakalarında bir artış kaydetmeye başladı.

Yazılım çalıştırıldıktan sonra, fidye yazılımı tüm dosyalarınızı kilitlemek için güçlü şifreleme kullanır ve erişiminizi engeller. Bunun yerine, dosyaların kilidini açmak için fidye ödemesi talep eden - genellikle izlenemez bitcoin cinsinden - bir arayüz kalıyor.

Fidyeyi Ödemek

Son yıllarda dünya çapında bir dizi yüksek profilli işletme ve hatta şehirler etkilendi. Haziran ayında Florida'daki Lake City, bilgisayar sistemlerinin kontrolünü ele geçiren bilgisayar korsanlarına 500.000 dolar fidye ödedi.

Ancak fidyeyi ödemek, bilgisayar korsanlarının verilerinizin şifresini çözeceğinin garantisini vermez. Ve yapsalar bile, dosyalarınızı daha sonraki bir tarihte tekrar şifrelemek için yazılımın parçalarını geride bırakabilirler.

Bazı durumlarda yazılım, şifrelenmiş dosyaların kilidini açması gereken bir arabirim içeren bir .php dosyası oluşturur. Ancak bu dosya çalışmıyor ve erişim sağlasanız bile bozuk kodun tamamını onarmak için yetenekli bir WordPress Geliştiricisine ihtiyacınız olacak.

Her Şeyi Güncel Tut

WordPress'i ve tüm temaları ve eklentileri en son sürümlere güncel tutmak, web sitenizi fidye yazılımlarına karşı korumanın en basit yoludur. Bu güncellemeler, diğer şeylerin yanı sıra geliştiricilerin en son güvenlik yamalarını içerir.

Bilgisayar korsanları sürekli olarak yararlanmak için güvenlik açıkları arar. Bunlar belirlendikten sonra, geliştiriciler sorunları gidermek için yamalar yayınlar. WordPress'in eski sürümleri, en son güvenlik tehditlerine direnmek için geliştirilmeyecekleri için büyük bir güvenlik açığı sunar.

Ayrıca sunucunuzun PHP ve MySQL sürümlerinin güncel olup olmadığını düzenli olarak kontrol etmelisiniz. İyi bir WordPress ajansı sizin için her şeyi güncel tutmakla ilgilenir, böylece endişelenmenize gerek kalmaz.

Kaba Kuvvet Saldırılarına Karşı Koruyun

Adından da anlaşılacağı gibi, kaba kuvvet saldırısı, bir botun doğru yapana kadar dakikada yüzlerce kullanıcı adı ve şifre kombinasyonu kullanarak web sitenize erişmeye çalıştığı karmaşık olmayan bir saldırıdır.

Bu saldırıların künt doğası, sitenize birden çok kez yanlış giriş bilgileriyle erişmeye çalışan IP adreslerini yasaklayarak onları önlemeyi nispeten kolaylaştırır. Ancak bu basit koruma katmanı olmadan, botlar başarılı olana kadar sürekli olarak erişim elde etmeye çalışabilir.

Limit Login Attempt Reloaded, hem giriş sayfası hem de çerezler aracılığıyla giriş denemelerinin sayısını sınırlamanıza izin veren bir eklentidir.

Güçlü Erişim Güvenliği Ayarlayın

Kulağa ne kadar açık gelse de, parolanız gibi kısa, tahmin edilebilir kelimeler – veya daha da kötüsü 'parola' kullanmak WordPress sitenizi inanılmaz derecede savunmasız hale getirecektir.

Ancak çok uzun süredir veya çok sayıda farklı uygulama için kullanılan güçlü parolalar bile savunmasız hale gelebilir. Her oturum açma için güçlü, benzersiz parolalar oluşturmak ve güvenli bir şekilde saklamak için 1Password gibi bir parola oluşturucu kullanmanızı öneririz.

Alternatif olarak, Google Authenticator'ı kullanarak WordPress girişinize 2 faktörlü kimlik doğrulama ekleyebilirsiniz. Bu ek güvenlik katmanı, kullanıcı bazında etkinleştirilebilir ve daha az ayrıcalıklı kullanıcı rollerinin bir parola ile oturum açmaya devam etmesine olanak tanır.

SSL Sertifikalarını Yükle

SSL sertifikaları, bilgisayarınız ve tarayıcınız arasında geçen tüm verilerin şifrelenmesini sağlayarak bilgisayar korsanlarının bağlantıyı kesmesini çok daha zor hale getirir.

WP Engine gibi yönetilen WordPress barındırma sağlayıcıları, tüm barındırma planlarına otomatik SSL sertifikası yüklemesi ve yenilemesi içerir.

WordPress Veritabanı Önekini Değiştirin

WordPress, varsayılan bir veritabanı öneki kullanır ve bu öneki kullanmak, web sitenizi SQL enjeksiyon saldırılarına karşı savunmasız hale getirir. Bu, varsayılan wp- önekini başka bir kelimeyle değiştirerek önlenebilir.

WordPress'i varsayılan önekle zaten yüklediyseniz endişelenmeyin. Hâlâ değiştirmenize izin verebilecek bir dizi eklenti var - bir şeyler ters giderse, önce her şeyi yedeklediğinizden emin olun.

Dosya Düzenlemeyi Kapat

Bilgisayar korsanları, yönetici WordPress panonuza erişmeyi başardıysa, WordPress kurulumunuzun parçası olan tüm dosyaları düzenleyebilirler.

Bu nedenle, güçlü erişim güvenliğini ayarlamak ilk savunma hattıdır. Ancak, dosya düzenlemeyi kapatan bilgisayar korsanları, panonuza erişim sağlasalar bile hiçbir dosyanızda değişiklik yapamazlar.

Bu, theme-editor.php dosyasını tamamen kısıtlayarak ve Tema Düzenleme seçeneğini CMS'den kaldırarak yapılır.

Ek Önlemler

Ek güvenlik önlemleri, her zaman WordPress Kodeksinde ana hatlarıyla belirtilen en iyi uygulama geliştirme yönergelerini izlemeyi içerir. İdeal olarak, genel kaliteyi iyileştirmeye yardımcı olacağından ve gözden kaçan hataları veya güvenlik açıklarını ortadan kaldırabileceğinden, kodunuzun bir meslektaş incelemesini de gerçekleştirmelisiniz.

Ayrıca web sitenizdeki tüm formların SQL enjeksiyonlarına ve siteler arası komut dosyası oluşturmaya karşı korunduğunu kontrol etmeli ve XMLRPC'yi devre dışı bırakmalısınız.

Erişim güvenliğini artırmanın basit bir yolu, bilgisayar korsanlarının kullanıcı adlarınızı bilmesini önlemektir, çünkü bu, erişim elde etmek için yalnızca parolalarınızı bulmaları gerektiği anlamına gelir. Bunu, 'admin' adlı kullanıcıyı silerek ve diğer tüm kullanıcı adlarını gizlemek için WP-JSON varsayılan uç noktalarını kısıtlayarak yapabilirsiniz.

Ayrıca, güvenlik açıklarını sürekli olarak tarayan Sucuri gibi bir uygulama çalıştırarak sunucunuza ek bir güvenlik katmanı da sağlayabilirsiniz.

Web Sitenizi Düzenli Olarak Yedekleyin

Bu kadar çok şirketin bilgisayar korsanlarına fidye ödemesinin ana nedenlerinden biri, yerinde iyi yedekleri olmamasıdır, bu da fidyenin maliyetinin tüm verilerini kaybetmekten daha ucuz olacağı anlamına gelir.

Ve yedeklerle, ne kadar çok şeye sahipseniz o kadar iyi. Fidye yazılımı saldırıları, yedeklerinizi yerel bir sürücüde depolanıyorsa şifreleyebilir. Verilerinizi sunucuda yedekleyebilirsiniz, ancak ayrı bir konumda depolanan site dışı yedeklemeler daha da güvenlidir.

Yönetilen WordPress ana bilgisayarları, genellikle barındırma planlarının bir parçası olarak sunucu tarafı yedeklemeleri sunar.

Çözüm

Tüm saldırıları kesin olarak durduramayabilirsiniz - özellikle şirketiniz hedefleniyorsa - web sitenizin bilgisayar korsanları için kolay seçimler olarak öne çıkmamasını sağlamak için atabileceğiniz birkaç adım vardır.

Fidye yazılımlarının ölçeği ve karmaşıklığı her zaman büyüyor, ancak bilgisayar korsanları - çoğu suçlu gibi - aynı zamanda fırsatçıdır ve web sitenizin çoğundan daha az savunmasız olmasını sağlamak, verilerinizi güvende tutmanın hala en iyi yoludur.

WordPress web sitenizin güvenliğini ve nasıl geliştirilebileceğini tartışmak isterseniz, lütfen bizimle iletişime geçin.