[WordPress Güvenlik İstatistikleri] WordPress Sitelerinin Hacklenmesinin 4 Ana Nedeni ve Nasıl Önlenir?

İnternetteki tüm web sitelerinin %34'üne güç veren ve CMS pazarında %60,8 pazar payına sahip olan WordPress, şüphesiz dünyanın en popüler içerik yönetim sistemidir. Ancak bu muazzam popülaritenin de bir bedeli var.

Yıllar geçtikçe, WordPress güvenliği her zaman önemli bir konu olmuştur. Sucuri araştırmasına göre, 8000 virüslü web sitesinin %74'ü WordPress üzerine kurulmuştu. Wordfence ayrıca, WordPress sitelerinde her dakika 90.000'e kadar saldırı olduğunu tespit etti.

Peki WordPress neden bilgisayar korsanları tarafından yüksek oranda hedefleniyor?

WordPress sitelerinin saldırıya uğramasının birçok nedeni vardır. Bu yazıda, çeşitli kaynaklardan elenmiş gerçek WordPress hack istatistikleriyle birlikte 4 ana nedene odaklanacağız. Ayrıca, WordPress güvenliğinin nasıl sağlanacağı konusunda da bazı yararlı tavsiyeler sunuyoruz.

Hadi dalalım!

• Güvensiz Web Barındırma
• Zayıf Şifreler
• Eski WordPress Sitesi
• Eski veya Nulled Temalar ve Eklentiler
• WordPress Güvenliği Nasıl Sağlanır?

Güvensiz Web Barındırma

"WordPress sitelerinin %41'i, savunmasız barındırma platformları nedeniyle saldırıya uğruyor."

Herhangi bir web sitesine benzer şekilde, WordPress bir web barındırıcısında veya sunucusunda barındırılır. Çoğu WordPress site sahibi, web barındırma seçiminde ciddi düşüncelere sahip değil gibi görünüyor. Genellikle, daha uygun fiyatlı olduğu için web sitelerini paylaşılan bir barındırma planında barındırırlar. Bu ne yazık ki saldırganlar için kazançlı bir av gibi görünüyor.

Bu paylaşılan sunucudaki herhangi bir başarılı bilgisayar korsanlığı girişimi, bilgisayar korsanları bu saldırıya uğramış site aracılığıyla sitenize erişebileceğinden potansiyel olarak sitenizin güvenlik açığına yol açabilir.

Zayıf Şifreler

Bu, başarılı kaba kuvvet saldırılarının en sık görülen nedenlerinden biridir. WP Smackdown, WordPress sitelerinin %8'inin zayıf parolalar nedeniyle saldırıya uğradığını kanıtlıyor.

Şaşırtıcı bir şekilde, bu tarihe kadar bile insanlar sitelerini korumak için hala "123456" veya "parola" gibi tahmin edilmesi kolay ve yaygın şifreler kullanıyorlar. NordPass, 2020'de en çok kullanılan şifreleri özetledi ve ortaya koydukları şey sizi şaşkına çevirecek.

Araştırmaları, kullanıcıların şifreleri olarak hatırlaması kolay sayılar veya harf dizileri belirleme eğiliminde olduğuna işaret etti. Ayrıca, kolaylık nedeniyle aynı parolayı birden çok hesap için yeniden kullanma eğilimindedirler. En önemlisi, hatırlaması daha kolay şifreler, kırılmaya karşı daha savunmasız olmalarıdır.

Eski WordPress Sürümleri

Eski bir WordPress sürümü, bir sitenin saldırıya uğramasının en büyük nedenlerinden biridir. Sucuri tarafından yapılan bir araştırma, saldırıya uğramış web sitelerinin %36,7'sinin eski sürümleri çalıştırdığını gösteriyor.

Yeni sürümler daha iyi gelişmiş özellikler ekleyecek ve eskilerin güvenlik açıklarını giderecek. Ancak, bazı kullanıcılar kendi kendini güncelleme özelliğini bile devre dışı bırakır. WordPress'e göre, WordPress kullanıcılarının yalnızca %32.2'si sitelerini en son sürüm-5.6'ya güncelledi.

Kullanıcılar neden sitelerini güncel tutmayı reddediyor?

Başlıca mazeretler şunlardır:

• Yoğunlukları (veya tembellikleri) nedeniyle güncelleme bildirimlerini geciktirme veya unutma eğilimindedirler.
• Güncellemenin sitelerinin performansını etkileyeceğinden endişe ediyorlar.

Ama biliyorsun, bazen cehalet sana çok pahalıya mal olur. 2012'de Reuters blog platformuna yapılan saldırı çok tipik bir ders.

Reuters, WordPress kurulumunu güncel tutmayı unuttu ve bilgisayar korsanlarına sitelerine saldırma şansı verdi. Reuters'in web sitesine, Sibirya asi ordusu lideriyle iddia edilen bir röportaj da dahil olmak üzere çok sayıda yanlış gönderi doldurdular. O zaman, Reuters 3.4.1 yerine 3.1.1 sürümünü kullanıyordu.

Eski veya Nulled Temalar ve Eklentiler

Birçok web sitesi sahibi, tema ve eklenti güvenlik açıkları nedeniyle saldırılara maruz kaldı. WordPress, çekirdeğini güvenlik yamalarıyla anında güncellerken, bu iyileştirme eklentileri için geçerli değildir.

WP Scan'in bir istatistiğine göre, 2020'ye kadar 21.936 WordPress güvenlik açığı vardı. Bunlar arasında, bildirilen WordPress güvenlik açıklarının %52'si ve %11'i sırasıyla eklentiler ve temalarla ilgiliyken, geri kalanını WordPress çekirdeği oluşturuyor.

Üstelik Wordfence 2020 WordPress raporunda Wordfence, geçersiz eklentilerden ve temalardan gelen kötü amaçlı yazılımların WordPress güvenliği için bir tehdit oluşturduğunu vurguladı. Hem WP Scan hem de Wordfence, Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyonunun WordPress eklentileri ve temalarındaki en popüler güvenlik açığı türleri olduğu konusunda hemfikirdir.

Wpwhitesecurity tarafından listelenen en savunmasız 10 tema ve eklentiye bakın (en son 08 Ekim 2020'de güncellendi) ve şaşıracaksınız.

En savunmasız 10 eklenti:

Yukarıdaki grafikte Nextgen Gallery, Ninja Forms ve WooCommerce 20'den fazla güvenlik açığıyla ilk 3'te başı çekiyor. Bu listede “Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı” adlı bir güvenlik eklentisi bile görünüyor; bu, güvenlik eklentilerinin bilgisayar korsanları tarafından da hedef alınabileceği anlamına geliyor.

En savunmasız 10 tema:

Ekli grafik, temaların eklentilere kıyasla çok fazla güvenlik açığına neden olmadığını göstermektedir. En yüksek güvenlik açığı sayısı beştir ve Echelon ve Traveler temasına denk gelir. Bunun nedeni, temaların, eklentiler gibi işlevselliği genişletmeyi içermemesidir. Esas olarak WordPress sitelerinin görünümü ve hissi için sorumluluk alırlar.

WordPress Güvenliği Nasıl Sağlanır?

Yukarıdaki endişe verici WordPress güvenlik istatistiklerinden ve gerçeklerinden, WordPress güvenliğinizi sağlamanıza yardımcı olacak 5 uygun çözüm bulduk. Şu anda yapmanız gereken şudur:

• Web hostinglerinize yatırım yapın
• Benzersiz şifreler oluşturun
• Sitenizi güncel tutun
• WordPress güvenlik eklentilerini kullanın
• Nulled temalar ve eklentiler kullanmaktan kaçının

Web Barındırmalarınıza Yatırım Yapın

Ödediğini alırsın. Güvenilir web barındırmayı tercih etmek, sitenizin saldırıya uğrama olasılığını önemli ölçüde azaltacaktır. Yüksek kaliteli web barındırma yalnızca PHP ve MySQL'in en son sürümünü desteklemekle kalmayacak, aynı zamanda kötü amaçlı yazılım taramaları ve düzenli yedekleme de sağlayacaktır.

Özel bir sunucu, en güvenli barındırma seçeneği olarak şiddetle tavsiye edilir. Tabii ki, oldukça maliyetlidir, ancak siteniz yüksek trafik alıyorsa ve hassas veriler içeriyorsa bu çok yararlıdır.

Paylaşımlı hosting çözümlerinden uzak durun. Ancak, zaten paylaşılan bir barındırma planı kullanıyorsanız, VPS barındırmaya geçin.

Benzersiz Parolalar Oluşturun

Güvenli parolalar yalnızca WordPress yönetici hesapları için değil, aynı zamanda web barındırma, FTP hesapları ve MySQL veritabanları için de gereklidir.

Güçlü bir parola oluşturmak için öncelikle “1234567” veya “abcdef” gibi yaygın bitişik sayı veya harflerden ve “abc123” veya “111111111” gibi tekrar eden karakterler kullanmaktan kaçınmanız gerekir.

Bununla birlikte, farklı web siteleri için aynı şifreleri kullanmaktan kaçının. Her hesap için en az 8 karakterden oluşan uzun, karmaşık ve sağlam bir şifre bulmalısınız.

İdeal bir parola sözcükler, sayılar ve simgeler arasında karıştırılmalıdır, örneğin, !wdf34*de5. Her 90 günde bir şifrelerinizi düzenli olarak sıfırlamayı unutmayın.

Sitenizi Güncel Tutun

İkinci Reuters olmamak için yapmanız gereken WordPress sitenizi en son sürüme güncellemektir. Kontrol panelinizdeki güncelleme bildirimlerine dikkat edin.

Güncellemenin sitelerinizi bozacağından korkuyorsanız, bir güncelleme çalıştırmadan önce bir yedek oluşturmalı ve güncellemeyi hazırlama sitenizde test etmelisiniz.

WordPress Güvenlik Eklentilerini Kullanın

WordPress güvenlik eklentilerini yüklemek, sitenizi kötü amaçlı yazılımlar da dahil olmak üzere her türlü saldırıdan korumak için en basit ama en etkili çözümdür.

Güvenlik açıklarını taramanıza, güçlü parolaları zorlamanıza, kötü amaçlı ağları engellemenize, güvenlik duvarı uygulamanıza vb. olanak tanıyan bir güvenlik eklentisi seçme. Bu alanda Sucuri, Wordfence ve BlogVault gibi çok sayıda güvenilir WordPress güvenlik eklentisi bulunmaktadır.

Nulled Temaları ve Eklentileri Kullanmaktan Kaçının

Nulled eklentiler ve temalar, lisans kontrol özelliği olmayan premium eklentilerin saldırıya uğramış versiyonudur. Normalde, bu özellik devre dışı bırakılır veya bu eklentilerden ve temalardan kaldırılır, bu da potansiyel olarak kötü amaçlı kötü amaçlı yazılımlara yol açar.

Ücretsiz ve indirmenin kolay olduğunu düşünürsek, sıfırlanmış eklentilerin ve temaların cazip olduğunu inkar edemeyiz. Ancak, lütfen şu fikri göz önünde bulundurun: Bu korsan kopyaları kullanırsanız, geliştiricilerinden herhangi bir güncelleme almayacağından güvenlik düzeltmesi olmaz.

Bu nedenle, güvenilir web sitelerinden orijinal eklentiler veya temalar indirmenizi veya paranızı premium olanlara yatırmanızı öneririz. Bunları uzun vadede düşünün, hem sitenizin güvenliğini sağlayabilirsiniz hem de yeni özellikler veya güvenlik düzeltmelerinde daha fazla destek alabilirsiniz.

Çözüm

Bu makale, WordPress'in gerçek rakamlarla saldırıya uğramasının 4 ana nedeni konusunda size yol gösterdi. Sağlanan WordPress hack istatistikleri, WordPress güvenliğinizi sıkılaştırmanın ne kadar önemli olduğunu vurgulamayı amaçlar.

Ayrıca, WordPress'in olası saldırılardan nasıl korunacağına dair faydalı tavsiyeler de sunduk. "Tedbir tedaviden iyidir." Web hostinginizi seçmeye, WordPress çekirdeğinizi, eklentilerinizi ve temalarınızı güncellemeye ve güçlü şifreler oluşturmaya özellikle dikkat etmelisiniz.

Bu makalede paylaşmamızı umduğunuz ancak gözden kaçırdığımız herhangi bir WordPress hack istatistikleri var mı? Web sitesi kullanımıyla ilgili herhangi bir deneyiminiz oldu mu? Aşağıdaki yorum bölümünde bizimle paylaşmaktan çekinmeyin!