ev borcu WordPress sitesi
WordPress'teki 5 Varsayılan Güvenlik Tehdidi (Artı Düzeltmeler)
WordPress, çok popüler, tamamen açık kaynaklı bir yazılım parçasıdır. Bu güvenlikle ilgili en iyi şey, onunla çalışan, hataları ve güvenlik risklerini şirket içi bir CMS çözümüyle olduğundan daha hızlı keşfedebilen devasa bir topluluk olmasıdır. (Zayıflıkları öğrenmenin bir yolu, zayıflığı gerçekten kullanmak olduğunda ve çok büyük bir kullanıcı tabanına sahip olmak, keşfetmeyi çok daha olası kılıyorsa, zayıflıkları bulmak zordur.)
Dezavantajı, kötü niyetli bilgisayar korsanlarının web sitenizin nasıl oluşturulduğunu tam olarak bilmeleridir. Zaten sitenizin 'planına' sahipler. Ve kullandığınız çekirdekte, temalarda veya eklentilerde herhangi bir zayıflık varsa, bu, sitenizin arka ucuna hiçbir zaman erişmeden bilebilecekleri bir şeydir.
Bu yazıda, tamamen varsayılan herhangi bir WordPress kurulumunda bulunan 5 güvenlik tehdidini nasıl düzelteceğinizi göstereceğim. (Zaten bazı önlemler aldıysanız, bir veya iki önlemi zaten düzelttiğinizi görebilirsiniz, ancak saldırıya uğrama riskinizi en aza indirmek için beşini de düzeltmeniz önemlidir.)
Siteniz WordPress ve Sürüm Kullandığınızı Gösteriyor
WordPress'in varsayılan sürümü, sitenizin WordPress kullanılarak oluşturulduğunu, hatta nereye bakacağını bilen kişilere sürümüne kadar uzanan kod satırlarına sahip olacaktır. Temaya bağlı olarak, web sitenizin her sayfasında görsel olarak bile gösterilebilir.
Bunun bir güvenlik riski oluşturmasının nedeni, insanların sitenizi WordPress üzerine kurulu olması dışında başka bir nedenden dolayı hedefleyebilmesidir. Birisi WordPress çekirdeğinde, bir temada veya eklentide bir güvenlik açığı bulursa, bunu kullanmak için sitenize giden bir yol bulabilir. Sitenizin WordPress ile oluşturulduğunu başarılı bir şekilde gizlemiş olsaydınız, botlar veya tarayıcılar kullanarak WordPress sitelerini arayan kişiler, sitenizin uygun bir hedef olmadığını düşünmeleri için kandırılırdı.
Nasıl düzeltilir:
Bunu düzeltmek için WP Eklentimi Gizle'yi kullanabilirsiniz. Bu yararlı küçük eklenti ile sunucunuzdaki gereksiz trafiği önleyebilir ve aynı zamanda özellikle WordPress sitelerini hedefleyen saldırılardan korunabilirsiniz.
Giriş Sayfanızın/Yönetici Alanınızın Nerede Olduğunu Herkes Biliyor
Hâlâ WordPress kullandığınızı gösteriyorsanız (örneğin, Hide My WP gibi bir eklenti kullanarak aktif olarak gizlemiyorsanız), kötü niyetli kişiler sitenize nerede bir kaba kuvvet saldırısı girişiminde bulunacaklarını zaten bilirler.
Nasıl düzeltilir:
Bu tehdidi düzeltmek ve saldırıya uğrama olasılığını büyük ölçüde azaltmak ve sunucu stresini azaltmak için kötü niyetli kişilerin ve botların giriş sayfamıza ulaşmasını durdurmamız gerekiyor.
Bunu yapmanın iki ana yolu vardır. Bir eklenti (veya birkaç satır kod) kullanarak giriş sayfanızın fiziksel konumunu başka bir şeyle değiştirebilir veya IP adresleriyle giriş sayfanıza ve yönetici alanınıza erişimi sınırlayabilirsiniz. Bunu, bu özel şeye adanmış bir eklentiyle veya Sucuri, Wordfence, iThemes Security Pro veya All In One WP Security & Firewall gibi bir güvenlik eklentisiyle yapabilirsiniz.
WordPress Herkesin Kullandığı Varsayılan Bir Tablo Öneki Vardır
Tablo öneki, veritabanınızdaki tablo adlarından önce gelen şeydir. Standart WordPress öneki ile kullanıcılar yerine wp_users olacaktır. Varsayılan tablo önekini kullanırsanız, olası sql enjeksiyon zayıflıklarından yararlanarak insanların sitenize erişmesini kolaylaştırır. Çünkü sitenize erişmek için veri tabanınıza tam olarak nereye bilgi enjekte edeceklerini bilirler.
Aslında sql enjeksiyonu nedeniyle web sitelerimden birini hackledim, bu yüzden bu, karşı önlem almanız gereken çok gerçek bir tehdit.
Nasıl düzeltilir:
Neyse ki bu tehdidi kaldırmak çok kolay. WordPress'i varsayılan wp_ önekini kullanarak zaten yüklediyseniz, bunu Sucuri gibi bir eklenti kullanarak kolayca değiştirebilirsiniz. İlk olarak, bir şeylerin yanlış gitme olasılığı çok düşük olduğundan, bu seçeneği kullanmadan önce veritabanınızı yedeklemeniz gerekir. Bunu bir düğmeye tıklayarak yapabilirsiniz. Ardından yeni bir önek seçebilir veya Sucuri'nin yeni öneki sizin için rastgele oluşturmasına izin verebilirsiniz.
Not: WordPress'i ilk kez kuruyorsanız, bunu kurulum arayüzünden değiştirebilirsiniz.
WordPress Tema ve Eklenti Dosyaları Kontrol Paneli Üzerinden Düzenlenebilir
Bununla ilgili sorun şu ki, bir bilgisayar korsanı web sitenize erişirse çok fazla zarar verebilir. Web sitenizi diğer insanlara kötü amaçlı yazılım bulaştırabilirler (bu, sitenizin Google'ın kara listesine alınması ve arama motorlarından indekslenmesiyle sonuçlanabilir), web sitenizi tahrif edebilir veya arka kapıları kolayca açabilir.
Nasıl düzeltilir:
Bu kod satırını wp-config.php dosyanıza ekleyebilirsiniz:
define( 'DISALLOW_FILE_EDIT', true );
Veya bunu sizin için yapması için bir güvenlik eklentisi kullanın (temelde bu kod satırını sizin için ekleyecektir). Tek sorun, insanların bu özelliği açıp kapatmalarına izin veren eklentiler olmasıdır, bu nedenle çok adanmış bir bilgisayar korsanı bir eklenti yükleyebilir, eklentiyi açabilir ve ardından FTP erişimi olmadan düzenleme koduna erişebilir.
Son derece kapsamlı olmak ve buna karşı koruma sağlamak istiyorsanız, bu kod satırını wp-config.php'ye ekleyerek tüm eklenti ve tema güncellemelerini/kurulumunu devre dışı bırakabilirsiniz:
define( 'DISALLOW_FILE_MODS', true );
Ancak açıkçası bu, bir eklentiyi veya temayı her güncellemek veya yüklemek istediğinizde değerini false olarak değiştirmeniz gerektiği anlamına gelir (temaları ve eklentileri güncel tutmak en iyi yollardan biri olduğundan, bu seçeneği gerçekten önermiyoruz). sitenizin daha az savunmasız olmasını sağlamak için).
WordPress, Bilinen Kötü Amaçlı Botların Bile Saldırı Girişimlerine İzin Verebilecek Çok Açık Güvenlik Duvarı Ayarlarına Sahiptir
WordPress'in varsayılan güvenlik duvarı ayarları aslında liberal taraftadır. Bu, bazı istenmeyen botların ve diğer istenmeyen ziyaretçilerin yeşil ışık yaktığı anlamına gelir.
Nasıl düzeltilir:
Temel 5G kara liste güvenlik duvarı kurallarını yükleyerek, bunu manuel olarak .htaccess dosyanıza kopyalayarak (burada bulabilirsiniz) veya bu eklentiyi yükleyerek ya da kurallarınızı daha iyi optimize etmek için bir güvenlik eklentisi kullanarak bunu daha iyi hale getirebilirsiniz. .htaccess.
Sınırsız WordPress Giriş Denemesi
Varsayılan ayar gerçekten sınırsız giriş denemesi olsa da, sitenize WordPress yüklediğinizde giriş denemelerini sınırlamayı seçmiş olabilirsiniz. Ancak, yapmadıysanız, inanılmaz derecede kolay bir düzeltme.
Nasıl düzeltilir:
Sadece Limit Login Attempts eklentisini kurun. Veya WPEngine barındırma kullanıyorsanız, bu sizin için zaten yerleşik olan bir özelliktir – eklenti gerekmez! Giriş alanınızı, yalnızca kendi IP adreslerinizin panoya erişmesine izin vererek zaten koruyorsanız, bunu yapmanız gerekmez. Ancak giriş sayfanızın adresini gizlediyseniz, olası kaba kuvvet saldırılarına karşı güzel bir çifte korumadır.
Çözüm
Siber suç hızla büyüyor ve internet, 'gerçek dünyadan' daha fazla suçluya ev sahipliği yapma yolunda. Bazı ülkelerde bu zaten oldu. Bunların çoğu kredi kartı ve banka dolandırıcılığı olsa da, giderek artan sayıda bilgisayar korsanı var ve web sitesi sahipleri olarak kendimizi ve sitelerimizi elimizden geldiğince korumalıyız.
WordPress'in varsayılan kurulumunun bazı zayıflıkları olsa da, WordPress'in güzelliği gerçekten, bu yazıda bahsedilen güvenlik tehditleri de dahil olmak üzere sitenizle ilgili hemen hemen tüm sorunlarınızı çözebileceğiniz kolaylığındadır. Benzersiz bir kullanıcı adı ve güçlü bir parolaya sahip olmanın ötesinde, bir güvenlik eklentisi yükleyerek, bazı ayarları düzenleyerek ve belki bir veya iki satır kod ekleyerek, sitenizin saldırıya uğraması veya kötü amaçlı yazılım bulaşması riskini önemli ölçüde azaltabilirsiniz.
WordPress sitenizin güvenliğini artırmak için herhangi bir önlem aldınız mı? Ne tür? Bazı ipuçlarını ve püf noktalarını duymayı çok isteriz! Lütfen yorumlarda bize bildirin.