iThemes Security Pro Özelliği Spotlight – Sürüm Yönetimi

Öne Çıkan Özellik gönderilerinde, iThemes Security Pro'daki bir özelliği vurguluyor ve bu özelliği neden geliştirdiğimizi, özelliğin kimler için olduğunu ve özelliğin nasıl kullanılacağını biraz paylaşıyoruz.

Bugün, WordPress güncellemelerini veya temaları ve eklentileri yönetmeyi çok kolaylaştıran harika bir araç olan Sürüm Yönetimi'ni ele alacağız.

Sürüm Yönetimini Neden Geliştirdik?

Yazılımı güncel tutmak, herhangi bir güvenlik stratejisinin önemli bir parçasıdır. Güncellemeler yalnızca hata düzeltmeleri ve yeni özellikler için değildir. Güncellemeler ayrıca kritik güvenlik yamalarını da içerebilir. Bu yama olmadan telefonunuzu, bilgisayarınızı, sunucunuzu, yönlendiricinizi veya web sitenizi saldırılara karşı savunmasız bırakıyorsunuz.

Yama Salı

Salı Yaması, Microsoft'un her ayın ikinci Salı günü yayınladığı düzenli hata ve güvenlik düzeltmelerine atıfta bulunan resmi olmayan bir terimdir. Microsoft'un bu kadar güvenilir bir kadansta güvenlik düzeltmeleri yayınlaması harika. Salı Yaması aynı zamanda Microsoft'un yamaladığı güvenlik açıklarının kamuya açıklandığı gündür.

Yama Salı güncellemelerini otomatik olarak nasıl uygulayacağınızı öğrenmek için 2020'de WordPress Güvenliğine Yönelik En İyi Kılavuz'un Güncellemelerinizi Nasıl Otomatikleştireceğinizi ve Güncellemelerinizi Nasıl Otomatikleştireceğinizi inceleyin.

Çarşamba yararlanın

Salı Yamasını takip eden Çarşamba günü, birçok saldırganın eski ve yama uygulanmamış sistemlerde önceden bilinen bir güvenlik açığından yararlandığını görmek olağandır. Bu nedenle, Salı Yamasını izleyen Çarşamba, gayri resmi olarak Çarşamba günü Exploit olarak adlandırıldı.

Hackerlar Neden Yamalı Güvenlik Açıklarını Hedefliyor?

Bilgisayar korsanları, insanların güncelleme yapmadığını bildikleri için (web sitenizdeki eklentiler ve temalar dahil) yamalı güvenlik açıklarını hedefler. Güvenlik açıklarının yamalandığı gün kamuya açıklanması bir endüstri standardıdır. Bir güvenlik açığı kamuya açıklandıktan sonra, yazılımın güncel olmayan ve yama uygulanmamış sürümleri için güvenlik açığı "bilinen bir güvenlik açığı" haline gelir. Bilinen güvenlik açıklarına sahip yazılımlar, bilgisayar korsanları için kolay bir hedeftir.

Bilgisayar korsanları kolay hedefleri sever ve güvenlik açıkları bilinen yazılımlara sahip olmak, bir bilgisayar korsanına WordPress web sitenize, sunucunuza, bilgisayarınıza veya internete bağlı herhangi bir cihaza girmesi için adım adım talimatlar vermek gibidir.

Sorumlu Açıklama

Bilgisayar korsanlarına saldırmak için bir istismar sağlıyorsa, bir güvenlik açığının neden açıklanacağını merak ediyor olabilirsiniz. Bir güvenlik araştırmacısının güvenlik açığını bulup özel olarak yazılım geliştiricisine bildirmesi çok yaygındır.

Sorumlu açıklama ile, araştırmacının ilk raporu, yazılımın sahibi olan şirketin geliştiricilerine özel olarak yapılır, ancak bir yama kullanıma sunulduğunda tüm ayrıntıların yayınlanacağına dair bir anlaşma ile. Önemli güvenlik açıkları için, daha fazla kişiye yama yapması için zaman tanımak için güvenlik açığının açıklanmasında küçük bir gecikme olabilir.

Güvenlik araştırmacısı, yazılım geliştiricinin rapora yanıt vermesi veya bir yama sağlaması için bir son tarih verebilir. Bu süre karşılanmazsa araştırmacı, geliştiriciye bir yama yayınlaması için baskı yapmak için güvenlik açığını kamuya açıklayabilir.

Bir güvenlik açığını herkese açık olarak ifşa etmek ve görünüşte bir Sıfır Günü – yaması olmayan ve vahşi doğada istismar edilen bir tür güvenlik açığı – tanıtmak ters tepebilir. Ancak, bir araştırmacının geliştiriciye güvenlik açığını düzeltmesi için baskı yapması gereken tek kaldıraç budur.

Bir bilgisayar korsanı güvenlik açığını keşfederse, Exploit'i sessizce kullanabilir ve son kullanıcıya (bu sizsiniz) zarar verebilir, yazılım geliştirici ise güvenlik açığını düzeltmeden bırakmaktan memnun kalır.

Google'ın Sıfır Projesi, güvenlik açıklarını ifşa etme konusunda benzer yönergelere sahiptir. Güvenlik açığının yamalanıp düzeltilmediğine bakılmaksızın 90 gün sonra güvenlik açığının tüm ayrıntılarını yayınlarlar.

Eski Eklentiler ve Temalar, 1 Numaralı WP Güvenlik Açığıdır

Açıklanan her WordPress güvenlik açığını takip etmek zordur—bunları WordPress Güvenlik Açığı Özetlerimizde izliyor ve paylaşıyoruz—ve bu listeyi web sitenize yüklediğiniz eklentilerin ve temaların sürümleriyle karşılaştırıyoruz. Ancak bu, WordPress korsanlarının bilinen güvenlik açıklarına sahip eklentileri ve temaları hedeflemesini engellemez. Sitenizde bilinen güvenlik açıklarına sahip yazılımlara sahip olmak, bilgisayar korsanlarına web sitenizi ele geçirmek için ihtiyaç duydukları planları verir.

iThemes Security Pro Site Taraması, web sitenizde bilinen WordPress, eklenti ve tema güvenlik açıklarını kontrol eder ve mevcut olduğunda bir yama uygular.

2018'in sonunda bilgisayar korsanları, WP GDPR Uyumluluk eklentisindeki bir istismardan aktif olarak yararlanıyorlardı. Exploit, yetkisiz kullanıcıların (bir web sitesine giriş yapmamış kişiler) WP kullanıcı kayıt ayarlarını değiştirmesine ve varsayılan yeni kullanıcı rolünü bir aboneden bir yöneticiye değiştirmesine izin verdi. Neyse ki, WP GDPR Uyumluluk eklentisi geliştiricileri hızlı davrandı ve güvenlik açığı kamuya açıklandıktan bir gün sonra bu güvenlik açığı için bir yama yayınladı.

Ancak, Çarşamba günü Exploit'te olduğu gibi, bir yama yayınlanmış olmasına rağmen bilgisayar korsanları güvenlik açığını hedef aldı. WP GDPR Uyumluluğu güvenlik açığı ifşasını takip eden günlerde ve haftalarda, WordPress web sitelerinin güvenlik açığından yararlanan saldırganlar tarafından saldırıya uğradığına dair bir dizi rapor aldık.

Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur. BU ÇOK BÜYÜK!!!!! Bu, çoğu WP hackinin önlenebileceği anlamına gelir.

Web sitelerini temizlemek için tonlarca para harcayan tüm insanları, siteleri kapalıyken kaybettikleri geliri ve müşterilerinin güvenini kaybetmek için kaybedecekleri gelecekteki gelirleri düşünmek üzücü. Tüm bu ıstırabın basit bir güncellemeyle önlenebileceğini bilmek onu daha da üzüyor.

Sürüm Yönetimi ile, insanların güncellemeleri yönetmesini kolaylaştırmak ve bilinen güvenlik açıklarına sahip yazılım sürümlerini kullanmalarını önlemeye yardımcı olmak istedik.

Sürüm Yönetimi nedir?

iThemes Security Pro'daki Sürüm Yönetimi özelliği, WordPress'i, eklentileri ve temaları otomatik olarak güncellemenize olanak tanır.

Bunun ötesinde, Sürüm Yönetimi, eski yazılımları çalıştırırken web sitenizi sağlamlaştırma ve eski web sitelerini tarama seçeneklerine de sahiptir.

WP Otomatik Güncellemeler ve Sürüm Yönetimi Karşılaştırması

Ne düşündüğünüzü biliyorum: “WordPress'in otomatik güncelleme seçeneği yok mu?” Evet, WordPress 5.5'teki otomatik güncellemelerin eklenmesi sayesinde bu artık doğru, ancak iThemes Security Pro'daki otomatik güncelleme özellikleri çok daha sağlam. WP ve iThemes Security Pro otomatik güncellemelerini karşılaştırmak için bir dakikanızı ayıralım.

WordPress'in otomatik güncellemeler eklemesinin WordPress'in geleceği için harika olduğunu düşündüğümü söyleyerek başlayayım. Otomatik güncellemeleri benimseyen WordPress topluluğu, daha az web sitesinin saldırıya uğrayacağı anlamına gelir. Daha az web sitesinin saldırıya uğraması, daha az insanın WordPress'in güvensiz bir platform olduğu konusunda yanlış bir algıya sahip olmasına yol açacaktır.

Otomatik güncellemeler, eklenti ve tema geliştiricilerinin daha iyi sürümler yayınlamasına da yol açacaktır. Müşterilerimizin otomatik güncellemelere güvendiğini biliyorsak, ilk sürümde ortaya çıkan hataları düzeltmek için sürümlerimizin bir dizi takip sürümüne ihtiyaç duymadığından emin olacağız. Bu, WordPress'in diğer platformlara kıyasla daha fazla manuel bakım gerektirdiği algısını değiştirmeye yardımcı olacaktır.

iThemes Security Pro Sürüm Yönetimi'nin varsayılan WordPress otomatik güncellemelerine kıyasla daha fazla esneklik sağlamasının üç yolu burada.

• Kolaylaştırılmış eklenti ve tema yönetimi – tüm eklenti ve tema güncellemelerinizi sürüm yönetimi ayarlarından yönetin.
• Eklenti ve tema güncellemeleri için özel gecikme süreleri ekleyin – WordPress otomatik güncellemeleri yalnızca güncellemeleri hemen uygulama seçeneği sunar. Güncelleme zamanlayıcı, özel bir gecikme oluşturmanıza olanak tanır. Gecikme, büyük bir sürümden sonra sorunları düzeltmek için bazı takip sürümlerine ihtiyaç duyma eğiliminde olan eklentiler veya temalar için iyi bir seçenek olabilir.
• Yalnızca Bilinen Güvenlik Açıklarını Düzelten Güncellemeleri Uygulayın – yalnızca bilinen güvenlik açıklarını gideren güncellemeleri uygulayın. Bu seçenek, tüm güncellemelerinizi manuel olarak çalıştırmak ancak güvenlik yamalarını hemen almak istiyorsanız mükemmeldir.

WordPress Otomatik Güncellemeler

WordPress, eklenti ve tema otomatik güncellemeleri için Açık veya Kapalı olmak üzere iki seçenek sunar. WordPress Eklentileri sayfasında eklenti otomatik güncellemelerini etkinleştireceksiniz.

Tema otomatik güncelleme seçeneği, tema ayrıntıları sayfasında bir tür gizlidir.

Sürüm Yönetimi Otomatik Güncellemeler

Sürüm Yönetimi güncelleme zamanlayıcısı, otomatik güncellemeleri devre dışı bırakma, hemen güncelleme veya güncellemeleri istediğiniz kadar geciktirme seçeneklerine sahiptir. Ayrıca, Sürüm Yönetimi ayarlarında hem eklenti hem de tema güncelleme planlarını yapılandırabilirsiniz.

Pekala, hadi ayarlara girelim ve farklı Sürüm Yönetimi seçeneklerine daha yakından bakalım.

iThemes Security Pro'da Sürüm Yönetimi Nasıl Kullanılır

Sürüm Yönetimini kullanmaya başlamak için, güvenlik ayarlarının ana sayfasında modülü etkinleştirin.

Şimdi ayarlara daha yakından bakmak için Ayarları Yapılandır düğmesine tıklayın.

• WordPress Güncellemeleri – En son WordPress sürümünü otomatik olarak yükleyin.
• Eklenti Güncellemeleri – En son eklenti güncellemelerini otomatik olarak yükleyin. Bu ayarın etkinleştirilmesi, çakışmaları önlemek için WordPress otomatik güncelleme eklentileri özelliğini devre dışı bırakır.
• Tema Güncellemeleri – En son tema güncellemelerini otomatik olarak yükleyin. Bu ayarın etkinleştirilmesi, çakışmaları önlemek için WordPress otomatik güncelleme tema özelliğini devre dışı bırakır.
• Eski Yazılımları Çalıştırırken Siteyi Güçlendirin – Bir ay boyunca mevcut bir güncelleme yüklenmediğinde siteye otomatik olarak ekstra koruma ekleyin.
  • İki faktörlü etkinleştirilmemiş tüm kullanıcıları, tekrar oturum açmadan önce e-posta adreslerine gönderilen bir oturum açma kodu sağlamaya zorlayın.
  • WP Dosya Düzenleyicisini devre dışı bırakın (kişilerin eklenti veya tema kodunu düzenlemesini engeller).
  • XML-RPC geri pinglerini devre dışı bırakın ve XML-RPC isteği başına birden çok kimlik doğrulama girişimini engelleyin (her ikisi de XML-RPC'yi tamamen kapatmak zorunda kalmadan saldırılara karşı daha güçlü hale getirir).

• Eski WordPress Sitelerini Tara – Bir saldırganın sunucunun güvenliğini aşmasına izin verebilecek eski WordPress siteleri için barındırma hesabının günlük taramasını çalıştırın. Güvenlik açığı olan tek bir eski WordPress sitesi, saldırganların aynı barındırma hesabındaki diğer tüm sitelerin güvenliğini aşmasına izin verebilir.
• Güvenlik Açığını Düzeltirse Otomatik Güncelleme – Bu seçenek, web sitenizi bilinen WordPress, eklenti ve tema güvenlik açıkları için kontrol etmek ve mevcut olduğunda bir yama uygulamak için iThemes Security Pro Site Taraması ile birlikte çalışır.

Eklenti ve Tema Güncellemeleri

Şimdi eklenti ve tema güncellemelerini yapılandırmaya daha yakından bakalım. Başlamadan önce, eklenti ve tema güncelleme ayarlarının etkinleştirilmesinin, çakışmaları önlemek için WordPress otomatik güncelleme özelliğini devre dışı bırakacağını hızlıca hatırlatmak istedim.

Hem Eklenti hem de Tema Güncelleme Ayarlarının üç seçeneği vardır.

1. Boş/Yok – Ayarı boş bırakmak, WordPress'in eklenti ve tema güncellemelerini yönetmesine izin verir.
2. Özel – Özel seçeneği, güncellemeleri tam olarak beğeninize göre özelleştirmenizi sağlar. Bunu birazdan daha fazla ele alacağız.
3. Tümü – Tümü, bir güncelleme hazır olur olmaz tüm eklentilerinizi veya temalarınızı güncelleyecektir.

Şimdi Özel seçeneğine daha yakından bakalım.

Özel seçeneğini belirlemek, eklenti ve tema güncellemeleriniz için üç farklı seçenek sunar.

1. Etkinleştir – Yeni bir sürümden hemen sonra güncellemek istediğiniz eklentileri seçin.
2. Devre Dışı Bırak – Manuel olarak güncellemek istediğiniz eklentiler için bu seçeneği kullanın.
3. Gecikme – Gecikme seçeneği, bir sürümün güncellemesini geciktirmek istediğiniz gün sayısını ayarlamanıza olanak tanır. Bu, büyük bir sürümden sonra sorunları düzeltmek için bazı takip sürümlerine ihtiyaç duyma eğiliminde olan geliştiriciler için iyi bir seçenek olabilir.

Gördüğümüz gibi, Özel otomatik güncellemeler ayarı, WordPress'in otomatik güncellemeyi açma veya kapatma seçeneğinden çok daha fazla esneklik sunar.

Toplama

Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusudur. Bu, WordPress saldırılarının çoğunun yalnızca güncelleme yaparak önlenebileceği anlamına gelir.

iThemes Security Pro Sürüm Yönetimi özelliği, programınıza göre otomatik güncellemelerinizi yönetmenize olanak tanır. iThemes Security Pro, tüm yeni güncellemeleri yayınlanır yayınlanmaz mı yoksa yalnızca güncelleme bir güvenlik açığını gideriyorsa mı yüklemek isteyip istemediğinizi ele aldı.