Sucuri: Acilen kurmanız gereken bir güvenlik eklentisi mi?

Yayınlanan: 2022-12-07

Geniş açık ağız. Zavallı küçük bir hayvanı parçalamaya hazır keskin dişler. 30 fit uzunluğa yakın olması gereken bitmeyen bir vücut.

Google'a “sucuri” yazın ve kendinizi oldukça korkunç yılanların resimleriyle karşı karşıya bulacaksınız. Ama aslında neden? Arama motoruna yazdığınız kelime anaconda'nın Portekizce çevirisi olduğu için.

Bir yılan birini hipnotize etmeye çalışıyor.
Hipnotize olmamaya dikkat edin…

İlk başta WordPress için bir güvenlik eklentisi olan Sucuri hakkında daha fazla bilgi aradığımı anlamalısınız.

Neyse ki, bu konuda gerçekten kötü bir şey yok. Ve etkinleştirdikten sonra sizi yemeyecek. Phew, derin bir nefes alabilirsin!

Bunun yerine, bu eklenti diğer yırtıcıları ortadan kaldırmanıza yardımcı olmak için tasarlanmıştır: kötü bilgisayar korsanları ve diğer dosyalar ve sitenize bulaşabilecek kötü amaçlı yazılımlar.

Bu makalenin sonunda, Sucuri'nin nasıl çalıştığını (yılan değil eklenti) ve daha da önemlisi onu adım adım nasıl kuracağınızı öğreneceksiniz. Güvenli bir yürüyüşe hazır mısınız? Sssss, rehberi takip et.

genel bakış

  1. Sucuri nedir?
    1. WordPress sitenizin güvenliğini sağlamak neden önemlidir?
      1. Sucuri'yi nasıl kurarım
        1. Sucuri Security nasıl kurulur ve kullanılır?
          1. Sucuri Security'nin maliyeti nedir?
            1. Sucuri güvenlik eklentisi hakkındaki son görüşümüz

              En iyi WordPress projelerinizin en iyi sunucuya ihtiyacı var!

              WPMarmite, Bluehost'u önerir: harika performans, harika destek. Harika bir başlangıç ​​için ihtiyacınız olan her şey.

              Bluehost'u deneyin
              CTA Bluehost WPMarmite

              Sucuri nedir?

              WordPress için Sucuri Güvenlik eklentisi.

              Sucuri Security, web sitenizi korumanıza yardımcı olacak bir dizi araç sunan bir WordPress güvenlik eklentisidir: WordPress çekirdek dosyalarının denetimi (PHP, CSS, JavaScript), kötü amaçlı yazılım ve program analizi, güvenlik uygulaması, e-posta uyarıları, bilgisayar korsanlığı sonrası güvenlik eylemleri, vb.

              2012'de Daniel Cid tarafından kurulan Sucuri, 2017'de Amerikan hosting devi GoDaddy tarafından satın alındı ​​ve o zamandan beri onu sürdürmekte ve geliştirmektedir.

              2014 yılına kadar premium bir eklenti sunduktan sonra eklenti artık tamamen ücretsiz.

              800.000'den fazla aktif kurulumla Sucuri, Wordfence ( 4M+ aktif kurulum), iThemes Security ( 1M+ aktif kurulum) ve All-in-One Security ( 1M+ aktif kurulum) gibi rakiplerin yanında resmi dizindeki en popüler WordPress güvenlik eklentilerinden biridir. .

              Premium hizmetlerle desteklenen ücretsiz bir eklenti olan Sucuri

              WordPress CMS'ye özel bir güvenlik eklentisine sahip olsa da Sucuri şirketi, üzerinde çalıştığı CMS'den ( İçerik Yönetim Sistemi ) bağımsız olarak web sitenizi korumak için bulut tabanlı çeşitli premium hizmetler sunar: WordPress, Joomla, Magento, Drupal, Shopify vb.

              Bu hizmetler arasında:

              • Web sunucunuzu çeşitli saldırılara karşı koruyan bir web uygulaması güvenlik duvarı (WAF) : DDOS saldırıları (hizmet reddi), kaba kuvvet saldırıları, kötü amaçlı yazılım, kimlik avı, fidye yazılımı vb. sayfa yükleme hızınız.
                WAF tek başına veya Sucuri eklentisine ek olarak kullanılabilir.
              • Sucuri güvenlik platformu (Sucuri Web Sitesi Güvenliği). Güvenlik duvarı ve CDN'ye ek olarak Sucuri, sitenizin güvenliğini izlemek için çeşitli hizmetler sunar ve bir saldırı durumunda WordPress'inizi temizlemeniz için size özel bir ekip sağlayabilir.

              Bu hizmetler ayrı olsa ve birbirinden bağımsız olarak kullanılabilse de Sucuri , eklentisinin “mevcut güvenlik araçlarınızı tamamladığını” resmi rehberde belirtiyor . Sucuri Web Sitesi Güvenliği veya Güvenlik Duvarı ürünlerinin yerini alacak şekilde tasarlanmamıştır.”

              Yani WordPress sitenizi olabildiğince iyi korumak istiyorsanız eklentiyi kullanmak tek başına yeterli değildir.

              WordPress sitenizin güvenliğini sağlamak neden önemlidir?

              Sucuri'nin sunduğu özellikleri ve diğer ayarları incelemeden önce, bir WordPress kurulumunda güvenliğin önemi üzerinde biraz duralım.

              Hiçbir WordPress sitesinin yanılmaz olmadığını bilerek, kendinizi korumak için özel bir eklenti kullanmak minimumdur. Gezegende en yaygın kullanılan CMS (İçerik Yönetim Sistemi) olan WordPress, doğal olarak günlük olarak çok sayıda saldırının hedefidir.

              Saniyede 2.800 saldırının dünya çapındaki WordPress kurulumlarını hedef aldığı söyleniyor!

              Bir adam şok oldu.

              Ancak panik yapmayın. WordPress güvenli bir CMS'dir. Güvenlik uzmanı Patchstack, WordPress ekosistem güvenlik raporunda, güvenlik açıklarının %96'sının üçüncü taraf kodlardan (eklentiler ve üçüncü taraf temalar) kaynaklandığını, bu oranın WordPress Core'da %4 olduğunu açıklıyor.

              Bu nedenle sitenizi korumak önemlidir. Bir saldırının sonuçları felaket olabilir ve şunlarla sonuçlanabilir:

              • Az ya da çok hassas çok sayıda verinin kaybı ve çalınması , özellikle müşterilerinize ait olanlar.
              • Zaman kaybı , çünkü saldırıya uğramış siteyi temizlemeniz ve her şeyi güncellemeniz gerekecek.
              • Planlanmamış mali harcamalar , özellikle bir güvenlik uzmanı çağırırsanız.
              • Marka imajınızın bozulması ve mevcut kullanıcılarınızdan ve/veya gelecekteki müşterilerinizden olası bir güven kaybı.

              Demek istediğimi anladınız: sitenizin güvenlik yönünü ihmal etmeyin. Sucuri'nin detaylı sunumuna geçelim.

              Sucuri'yi nasıl kurarım

              1. Adım: WordPress'te Sucuri eklentisini etkinleştirin

              Başlamak için eklentiyi yönetim arayüzünüzden Eklentiler > Yeni Ekle menüsü aracılığıyla yükleyin. "Şimdi Yükle"ye tıklayın:

              Sucuri, WordPress kontrol panelinizden kurulabilir.

              Eklentiyi etkinleştirmeyi unutmayın. Ardından, WordPress arka ofisinizin sol kenar çubuğunda “Sucuri Security” adlı yeni bir menü bulacaksınız:

              Sucuri Security eklenti menüsü.

              2. Adım: Bir API anahtarı oluşturun

              Eklenti tarafından sunulan bazı ek araçları etkinleştirmek için Sucuri, bir API anahtarı oluşturmanızı önerir.

              API, Uygulama Programlama Arayüzü anlamına gelir. Bu makalede çok net bir şekilde açıklandığı gibi, “API'ler, iki yazılım bileşeninin bir dizi tanım ve protokol kullanarak birbirleriyle iletişim kurmasını sağlayan mekanizmalardır.”

              Bunu yapmak için Gösterge Tablonuzun üst kısmındaki "API Anahtarı Oluştur" düğmesini tıklayın:

              Sucuri ile bir API anahtarının oluşturulması.

              Ekranınızda parlak bir şekilde açılan pencerede, hesabınızla ilişkili e-posta adresini seçin ve ardından (kabul ediyorsanız) hizmet şartlarını kabul edin. Hazır olduğunuzda "Gönder"i tıklayın.

              API anahtarıyla ilişkili yönetici hesabını seçebilirsiniz.

              İşte buyur! Sucuri çalışmaya hazır. Bir API anahtarı oluşturduktan sonra size söylediği gibi, bu, güvenlik ihtiyaçlarınız için hızlı bir düzeltme değildir ; Sucuri Web Sitesi Güvenliği veya Güvenlik Duvarı'nın yerine geçmez, ancak riski azaltmak amacıyla güvenlik konusunda daha bilinçli olmanıza ve daha iyi bir duruş sergilemenize olanak tanır.”

              Şimdi menü menü dalışı ile eklentinin nasıl kurulacağını öğrenelim.

              WPMarmite abonelerine katılın

              Son WPMarmite gönderilerini (ve ayrıca özel kaynakları) alın.

              ŞİMDİ ABONE OL
              WPMarmite İngilizce haber bülteni

              Sucuri Security nasıl kurulur ve kullanılır?

              Sucuri panosuna genel bakış

              Sucuri Security tarafından sunulan ilk ana menü Dashboard'dur. Burası eklenti tarafından sitenizde gerçekleştirilen denetimin sonuçlarını bulacağınız yerdir.

              Somut olarak, Sucuri, WordPress kurulumunuzu temel WordPress dosyalarında (CMS'yi her indirdiğinizde bulduğunuz) herhangi bir değişiklik için inceler .

              Sucuri kök, wp-admin ve wp-include dizinlerindeki dosyaları otomatik olarak tarar ve ardından bunları sitenizde yüklü WordPress'in ana sürümüyle (benim durumumda 6.1.1) dağıtılan dosyalarla karşılaştırır.

              Sucuri, tutarsızlıklar içeren bir dosya tespit eder etmez, onu kontrol panelinizde görüntüler.

              Bir sorun varsa, aynı renkte pek güven verici olmayan bir mesajla birlikte kırmızı bir "X" belirir: " Temel WordPress Dosyaları Değiştirildi ."

              Sucuri, WordPress çekirdek dosyalarınızın düzenlenip düzenlenmediğini size bildirebilir.

              Dosya(lar) hacklenmiş olabilir. Benim durumumda, Sucuri bir .txt dosyasında ve bir error.log dosyasında sözde iki anormallik bildiriyor.

              İkincisi, sitenizde meydana gelen hata günlüklerini listeler (özellikle PHP hataları). O zaman sorunları çözmek için birkaç seçeneğim var:

              • Örneğin, kendi eklediğim bir dosyaysa, dosyayı yanlış pozitif olarak işaretleyin . Sucuri, gelecekteki taramalar sırasında bunu yok sayacaktır.
              • Kötü amaçlı olduğunu düşünüyorsanız dosyayı silin .
              • Dosyanın orijinal sürümünü geri yükleyin .
              Sucuri tarafından bulunan sorunları çözmek için birkaç seçenek vardır.

              Bu tarama uygundur, ancak bir ana sorun vardır: Yeni başlayanlar için, sözde anormal dosyanın sitenizde gerçek bir güvenlik sorununa neden olup olmadığını bilmek hala oldukça zordur.

              Sonuç olarak, ne yapacağımızı gerçekten bilmiyoruz . Dosya olduğu gibi bırakılsın mı? Orijinal sürümü geri yüklensin mi? Önemli verileri silme riskini almak anlamına gelse bile silinsin mi? Anlamak kolay değil.

              Denetim günlüklerine ek olarak, WordPress çekirdeğinin analizine ayrılmış ekin altında, meydana gelen değişiklikleri gösteren birkaç sekme bulacaksınız:

              • Iframe'ler (HTML etiketleri)
              • Bağlantılar
              • Kodlar

              Son olarak Sucuri, kurulumumun güvenliğini güçlendirmek için, örneğin kullanılmayan eklentileri kaldırmamı veya yönetimdeki dosya düzenleyiciyi devre dışı bırakmamı önererek çeşitli önerilerde bulunur:

              Sucuri ayrıca güvenlik önerileri de verir.

              Uygulama güvenlik duvarı: Güvenlik Duvarı (WAF)

              Sucuri'nin ikinci alt menüsü Sucuri güvenlik duvarı içindir. Bundan yararlanmak için Sucuri'nin sunduğu premium planlardan birini seçmelisiniz .

              Bu adımı atmak istiyorsanız, sağlanan kutuya API anahtarınızı eklemeniz yeterlidir.

              Bu güvenlik duvarı etkinken Sucuri, sitenizin saldırılara karşı korunmasını sağlar ve kötü amaçlı yazılım bulaşmalarını ve yeniden bulaşmaları önler.

              Ek olarak, güvenlik duvarı “ SQL enjeksiyon girişimlerini, kaba kuvvet saldırılarını, XSS (siteden siteye komut dosyası oluşturma), RFI (uzak bir dosyayı sunucunuza yerleştirme), arka kapıları (sitenize uzaktan erişim) ve diğer birçok tehdidi engeller. sitenize."

              Ayarlar sekmeleri aracılığıyla şunları da yapabilirsiniz:

              • Belirli IP adreslerini manuel olarak girerek engelleyin , böylece sitenize erişemezler.
              • WordPress sitenizin performansını artıracak önbelleğe almayı etkinleştirin .
              Sucuri güvenlik duvarı ayarları.

              Girişlerle ilgili menü : Son girişler

              Sucuri eklentisinin üçüncü menüsüne geçelim: “Son Girişler”. Dört sekme mevcuttur:

              • " Tüm Kullanıcılar" , WordPress yöneticinize başarıyla giriş yapan tüm kullanıcıları gösterir.
              • " Yöneticiler" , sitenizde "yönetici" hesabı olan tüm kişileri gösterir.
              • " Giriş Yapan Kullanıcılar" , şu anda oturum açmış olan tüm kullanıcıları detaylandırır
              • " Başarısız oturum açmalar" , oturum açma sayfanızda başarısız oturum açma denemelerinizi gösterir. Bu, örneğin kaba kuvvet saldırılarının kurbanı olup olmadığınızı çok hızlı görmenize yardımcı olacaktır.
              Sucuri'deki "Başarısız girişler" sekmesi.
              Phew, henüz kimse siteme saldırmadı!

              Sucuri Ayarları menüsü

              Ve son olarak, son menü ve en bol olanı. Burada Sucuri'nin sekme sekme ayrıntılı olarak inceleyeceğimiz birkaç önemli özelliğini bulacaksınız.

              Genel Ayarlar sekmesi

              Genel Ayarlar sekmesinin birkaç girişi vardır. Değiştirebileceğiniz aşağıdaki öğelerden bazılarını içerirler:

              • Tüm güvenlik günlüklerinizi içeren bir dizin (“Veri depolama”)
              • Günlük ihracatçısı
              • Etkinleştirebileceğiniz bir ters proxy
              • Sucuri ayarlarınızı başka bir WordPress sitesine içe ve dışa aktarmak için bir modül
              Sucuri'deki Tomruk İhracatçısı.

              tarayıcı sekmesi

              "Tarayıcı" sekmesi, Sucuri tarafından sunulan SiteCheck adlı ücretsiz bir araç içerir. Bu araç, sitenizi aşağıdakiler için tarar:

              • Kötü amaçlı yazılım
              • WordPress web sitenizdeki hatalar
              • Eski yazılım
              • Güvenlik anormallikleri

              Sucuri size özellikle şunları gösterir:

              • Taraması sırasında zamanlanan görevler (“zamanlanmış görevler”). Varsayılan olarak, tarama günde bir kez gerçekleştirilir.
              • Sunucunuzdaki dosyaları sitenizin orijinal dosyalarıyla (kök dizinler, temalar, eklentiler ve WP çekirdek dosyaları) karşılaştıran "WordPress Integrity Diff" yardımcı programı .
              • Yanlış pozitifler tespit edildi .
              • Özellikle çok büyüklerse, tarama sırasında belirli dosya ve klasörleri hariç tutma seçeneği .
              Sucuri, belirli dosyaları taramaların dışında bırakmanıza olanak tanır.

              Sertleştirme sekmesi

              "Sertleştirme" sekmesi, olası saldırıları önlemek için uygulayabileceğiniz on güvenlik önlemini listeler. WordPress kurulumunuzun güvenliğini güçlendirecekler.

              Örneğin, tek tıklamayla şunları yapabilirsiniz:

              • wp-content ve wp-includes dizinlerindeki belirli PHP dosyalarının yürütülmesini engelle
              • Bir bilgisayar korsanının dosyalarınızı değiştirmesini önlemek için yönetim arayüzünüzdeki dosya düzenleyiciyi devre dışı bırakın.
              • WordPress sürümünüzün görüntüsünü kaldırın
              • WordPress sürümünüzün güncel olup olmadığını kontrol edin
              Sucuri, sitenizin güvenliğini artırmak için öneriler içeren bir sekme sunar.

              Sayfanın alt kısmında, çalışması engellenen belirli PHP dosyalarını manuel olarak hariç tutmak da mümkündür.

              Önlem olarak, bu önlemlerden birini uygulamak için sitenizi (dosyalar + veri tabanı) yedekleyin. UpdraftPlus gibi bir yedekleme eklentisi kullanabilirsiniz. Ve mümkünse üretimde değil, test ortamında ilerleyin .

              Hack Sonrası sekmesi

              Adından da anlaşılacağı gibi, "Hack Sonrası" sekmesi, siteniz saldırıya uğradıktan hemen sonra uygulanacak çeşitli önlemler sunar. Bu yüzden umarım onu ​​asla kullanmak zorunda kalmazsın! ^^

              İşte yapabilecekleriniz:

              • Yeni güvenlik anahtarları oluşturun . wp-config.php dosyasında bulunurlar ve özellikle sitenizin yönetimine bağlanan bir kullanıcının çerezleri olmak üzere bazı bilgilerin daha iyi şifrelenmesini sağlarlar. Bir bilgisayar korsanı bu tanımlama bilgilerine sahipse, güvenlik anahtarlarınızı değiştirmediğiniz sürece, parolanızı sıfırlasanız bile sitenize bağlanabilecektir!
              • Kullanıcı şifrelerini güncelleme
              • Sitenizin eklentilerini yeniden yükleyin
              • Temalarınızı ve eklentilerinizi güncelleyin
              Sucuri, gizli anahtarlarınızı güncellemenizi sağlar.

              Sucuri Uyarıları sekmesi

              Uyarılar sekmesinde, Sucuri'nin size e-posta ile göndereceği güvenlik uyarılarıyla ilgili ayarları yapılandırabilirsiniz.

              Eklenti, varsayılan olarak sitenin ana yöneticisine (kurulum sırasında oluşturulan) güvenlik bildirimleri gönderir. Ancak, bu bildirimleri almak için başka e-posta adresleri belirtebilirsiniz.

              Ayrıca, alacağınız uyarı türlerini yönetebilir ve güvenilir IP adreslerini uyarı oluşturmamaları için yetkilendirebilirsiniz.

              Örneğin, şunları belirtebilirsiniz:

              • Saat başına alınacak maksimum uyarı sayısı (beş saatten sınırsıza)
              • Bir e-posta uyarısı gönderilmeden önce saat başına başarısız bağlantı girişimi sayısı (kaba kuvvet saldırıları)
              • Bir güvenlik uyarısını tetikleyecek olaylar (örn. eklenti ayarlarındaki değişiklikler, yeni bir giriş oluşturma, bir temanın veya eklentinin devre dışı bırakılması vb.)
              Sucuri e-posta ile güvenlik uyarıları gönderir.

              Tamamen kapsamlı olmak için Sucuri iki ayar sekmesi daha sunar: "API Hizmeti İletişimi" ve "Web Sitesi Bilgileri". Bu iki sekme belirli ayarları yönetmez: API'niz ve WordPress siteniz hakkında bilgi verir.

              Bu geniş genel bakıştan sonra, bu makalenin son bölümüne geçmeyi öneriyorum. Öncelikle Sucuri'nin fiyatından bahsedelim ve ardından bu güvenlik eklentisi hakkındaki fikrimi aktarayım.

              Sucuri Security'nin maliyeti nedir?

              Sucuri ücretsiz bir eklenti olarak sunuluyor ki bu doğru… ama sınırları var.

              Gerçekten de, Sucuri tarafından sunulan uygulama güvenlik duvarını kullanmak istiyorsanız ödeme yapmanız gerekir. Güvenlik söz konusu olduğunda, bir güvenlik duvarı kullanılması şiddetle tavsiye edilir.

              Bir CDN'ye erişimi de içeren bu seçenek, bir sitede kullanım için ayda 9,99 ABD dolarından sunulmaktadır.

              Sucuri güvenlik duvarının fiyatları.

              Öte yandan Sucuri, Web Sitesi Güvenlik Platformu adı verilen çok daha kapsamlı bir güvenlik paketi sunuyor. Fiyatlar, tek site kullanımı için yıllık 199,99 ABD dolarından başlamaktadır.

              Bu fiyatlandırma planı, elbette Sucuri'nin güvenlik duvarını, CDN'yi ve ayrıca şirket içi uzmanlar tarafından kötü amaçlı yazılım ve korsan dosya temizlemeyi içerir:

              Sucuri'nin Web Sitesi Güvenlik Platformunun Fiyatları.

              #WordPress #Sucuri güvenlik eklentisini ve sahip olunması gereken özelliklerini nasıl kuracağınızı ve yapılandıracağınızı öğrenin.

              Tweetlemek için tıklayın

              Sucuri güvenlik eklentisi hakkındaki son görüşümüz

              Sonuç olarak, Sucuri hakkında ne düşünmelisiniz? Bu soruyu cevaplamak için, bir eklenti seçerken iki önemli husustan bahsedeceğim: kullanım kolaylığı ve verimliliği.

              Her şeyden önce, kullanım hakkında. Karmaşık olması gerekmez çünkü Sucuri, farklı sekmelerde iyi dağıtılmış net seçenekler sunmayı seçmiştir.
              Menüler fazla dolu değil ve bir işlemi gerçekleştirmek çok kolay (çoğu zaman bir tık yeterli oluyor).

              Öte yandan, güvenlik alanı teknik terimlerle doludur - Sucuri'nin bununla hiçbir ilgisi yoktur - ve yeni başlayan kullanıcı, kendisine ne tavsiye edildiğini veya ne yapması gerektiğini her zaman anlayamayacaktır. Bu, işaret edilmesi gereken ilk sınırlamadır.

              Eklentinin verimliliğine geçelim. Sucuri, her şeyden önce, WordPress'inizdeki güvenlik sorunları konusunda sizi uyarmak için tasarlanmış bir izleme aracıdır . Sayfalarınızı anormallikler için tarar, sorun olması durumunda size uyarılar gönderir, vb.

              Ancak eklenti, güvenlik sorunlarını çözmenize gerçekten izin vermiyor (bazı küçük hususlar dışında), bilgisayar korsanlığı dışında (ancak o zamana kadar çok geç olacak).

              Ana güvenlik kalkanlarından biri güvenlik duvarı kullanılmasıdır. Sucuri bir tane sunuyor, ancak yalnızca ücretli teklifinde.

              Sucuri eklentisini indirin:

              İndirmek

              Sonuç olarak, WordPress sitenizi verimli bir şekilde korumak istiyorsanız ücretsiz eklentiyi önermem .

              Fikrimi paylaşıyor musunuz ve Sucuri kullanıyor musunuz? Yorum yazarak bana fikir verin.