WordPress Eklenti Güvenlik Açıkları ve Bunların Nasıl Giderileceği Hakkında

admin Haberler Leave a comment 6 Views


Sitenizi harika hale getirmek için çok çalışıyorsunuz. Ve harcadığınız onca işte, yapmak isteyeceğiniz son şey sitenizi kötü niyetli bir bilgisayar korsanına kaptırmak. Bilgisayar korsanları ve WordPress söz konusu olduğunda, eklenti güvenlik açıkları, kötü adamların içeri girmesinin en kolay yollarından biridir.

Popülerliği nedeniyle WordPress, bilgisayar korsanları için bir mıknatıstır. Sucuri'nin 2016 1. Çeyrek Web Sitesi Hacked Trend Raporuna göre, uğraştıkları saldırıya uğramış web sitelerinin %78'i WordPress kullanıyordu. WordFence tarafından yapılan bir ankete göre, bilinen giriş noktalarına sahip WordPress hack'lerinin %55,9'u eklenti güvenlik açıklarının bir sonucuydu. Bu, eklentileri, saldırıya uğramış WordPress sitelerine bilinen en büyük katkıda bulunan yapar.

Bu yazıda, sitenizin eklenti açıklarına karşı savunmasız kalmasını önlemek için atabileceğiniz bazı proaktif adımlara yakından bakacağım.

Hackerlar Neden WordPress Sitenize Erişmek İstiyor?

Hiç saldırıya uğramadıysanız, bilgisayar korsanlarının WordPress sitenizle bu kadar ilgilenmesini sağlayan şeyin ne olduğunu merak edebilirsiniz. Benim için, ziyaretçilerimi yarım yamalak ilaç sitelerine yönlendirebilmeleri içindi. Ama içeri girmek istemelerinin tek nedeni bu değil.

Ama diğer nedenlere geçmeden önce, kendinizi biraz daha iyi hissetmenizi sağlayacak bir şeyle başlayalım. Muhtemelen kişisel değildir. Çoğu bilgisayar korsanı, bilinen güvenlik açıklarını araştırıyor. Bunlar tipik olarak tutku değil, fırsat suçlarıdır.

Savunmasız bir hedef bulduklarında, birkaç şekilde saldırırlar:

  • Sitelerinin SEO'sunu yapay olarak artırmak için bağlantılar enjekte etmek.
  • Ziyaretçilerinizi farklı sitelere yönlendirmek. Kötü yönlendirmeler sizi etkilemez – bu nedenle istatistiklerinizin kaybolduğunu görene kadar asla bilemezsiniz.
  • Ziyaretçilerinizin bilgisayarlarına kötü amaçlı yazılım yüklemek.
  • Spam e-postalar, DDoS saldırıları veya diğer kötü amaçlar için sunucu kaynaklarınızı çalmak.

Yine de kurban olmak zorunda değilsin. Eklentileri bir güvenlik açığı vektörü olarak desteklemek ve diğer temel WordPress güvenlik ipuçlarını uygulamak sizi bu saldırıların çoğundan koruyabilir. Ve sitenizi sorunsuz bir şekilde uğultuya devam ettirebilirsiniz.

Eklentilerle Güvenlik Sorunlarını Azaltma

Bir şeyin çatlaklardan kaçması her zaman mümkün olsa da, bu eklenti güvenliği en iyi uygulamalarını takip etmek, WordPress sitenizi güvende tutmak için uzun bir yol kat edecektir.

Kaliteli Güvenlik Eklentisi Kullanın

Güvenlik eklentileri hakkında çok şey yazdık, bu yüzden bu nokta üzerinde fazla durmayacağım. Ancak, güvenlik açığı bulunan bir eklenti çatlaklardan geçmeyi başarırsa, saygın bir güvenlik eklentisi kullanmak sitenizi koruyabilir.

Tek savunma hattınız olarak kullanmayın. Ama son savunma hattı olarak. Bu mutlak bir zorunluluktur.

Bir Eklentinin Bilinen Güvenlik Açıkları Olup Olmadığını Kontrol Edin

Akismet gibi popüler bir şey yüklüyorsanız, bu adımı güvenle atlayabilirsiniz. Ancak, yalnızca birkaç bin etkin yüklemeye sahip bir eklenti yüklüyorsanız, sunucunuzda çılgınca çalışmasına izin vermeden önce bilinen güvenlik açıklarını kontrol etmelisiniz.

Bilinen güvenlik açıklarını aramak için WPScan Güvenlik Açığı Veritabanı adlı bir web sitesini kullanabilirsiniz. WPScan tarafından yönetilir ve WordPress güvenliği hakkında bir iki şey bilen Sucuri tarafından desteklenir.

Eklentileri alfabetik olarak filtreleyebilir veya eklentiyi ada göre arayabilirsiniz:

Site size hem istismarı hem de keşfedildiği tarihi verecektir. Ayrıca, savunmasız sürüm için sürüm numarasını da verecektir. Eklenti o zamandan beri yamaları yayınladıysa, artık güvenlik açığı hakkında endişelenmenize gerek olmayabilir.

Eklentilerinizi Güncel Tuttuğunuzdan Emin Olun…

WordPress, eklentileri güncellemeyi son derece basit hale getirdi. Buna rağmen, çok fazla insan özünü, eklentilerini ve temalarını güncelliğini yitiriyor. Sucuri'nin analizine göre, baktıkları saldırıya uğramış WordPress sitelerinin %56'sı güncel olmayan yazılımlar çalıştırıyordu.

Ayrıca analizlerinde, inceledikleri tüm güvenliği ihlal edilmiş WordPress sitelerinin büyük bir %25'ini yalnızca üç güncel olmayan eklentinin oluşturduğunu buldular. Merak ediyorsanız, analizleri sırasında bu eklentiler Gravity Forms, RevSlider ve TimThumb idi .

Sucuri Hacked Web Sitesi Raporuna Göre Resim

Güncel olmayan eklentiler nedeniyle WordPress sitesi saldırıya uğrayan o kişi olmayın. Kelimenin tam anlamıyla, tek yapmanız gereken kırmızı güncelleme bildirimini aramak ve bir düğmeye tıklamak!

…Ve Geliştiricilerin de Yapmasını Sağlayın

Yine de tango için iki kişi gerekir! Bir eklentinin geliştiricileri onu güncel tutmuyorsa, siz de onu güncel tutamazsınız. Bu nedenle, sitenizde hangi eklentileri kullanacağınıza karar verirken, geliştiricilerden düzenli güncellemeler alan eklentileri bulmaya çalışın.

Örneğin, WordPress.org dizininde bir eklentinin en son ne zaman güncellendiğini hızlıca anlayabilirsiniz:

Ancak bakmanız gereken tek şey bu değil. Değişiklik günlüğü sekmesine giderseniz, tam güncelleme geçmişini görüntüleyebilirsiniz (kesin tarihlerle olmasa da). Geliştiriciler, hataları düzeltmek için sürekli olarak güncellemeler yayınlıyorlarsa, olası açıkları düzeltmek için etrafta olmaları çok daha iyi bir şans:

Yeni Güvenlik Açıklarından Haberdar Olun

Eminim meşgul bir insansındır, bu yüzden tabağına çok fazla şey katmaya çalışmıyorum. Ancak her birkaç haftada bir, en son eklenti güvenlik açığı bulgularını yakalamak için biraz zaman harcamak, kötüye kullanılabilir bir eklenti çalıştırmadığınızdan emin olmanıza yardımcı olabilir.

Bu zaman alıcı bir şey bile değil – daha önce bahsettiğim web sitesi WPScan Güvenlik Açığı Veritabanı, yakın zamanda keşfedilen tüm güvenlik açıklarını da listeliyor:

Sadece ayda bir veya iki kez uğrayın ve hızlıca bir göz atın.

WP Tavern ayrıca popüler WordPress eklentilerindeki yeni güvenlik açıkları hakkında da paylaşımlar yapıyor ve bu da onu güncel kalmak için başka bir iyi kaynak yapıyor.

Dizinlerde Listelenmeyen Üçüncü Taraf Eklentilere Karşı Dikkatli Olun

WordPress.org eklenti dizininde veya Code Canyon gibi başka bir ana dizinde listelenmek, hiçbir şekilde bir eklentinin güvenli olduğunu garanti etmez. Ancak, eklentinin bazı temel kontrolleri geçtiği en azından bir işarettir.

Örneğin, insanlar WordPress.org'a gönderilen her eklentiyi inceler. 2014 yılında Pippin Williamson'a göre büyük çoğunluk başlangıçta reddedildi.

Ve bir güvenlik açığının gözden kaçması her zaman mümkün olsa da, bu inceleme süreci size güvenli bir eklenti bulma konusunda çok daha iyi bir şans verir.

Bununla birlikte, saygın üçüncü taraf eklentileri var. Bir eklenti, iyi bilinen bir geliştiriciden geliyorsa ( Elegant Themes gibi!), sizi onu kullanmaktan alıkoymak niyetinde değilim. Popüler dizinlerde listelenmeyen bilinmeyen geliştiricilerin eklentilerine karşı ekstra dikkatli olun.

Güvenlik Açığı Olan Bir Eklenti Kullanıyorsanız Yapmanız Gerekenler

Bilinen bir güvenlik açığına sahip bir eklenti kullandığınızda talihsiz bir durum ortaya çıkarsa, yapmanız gerekenler:

İlk olarak , güncellemeleri kontrol edin. Geliştiriciler, iyi desteklenen bir eklentiyse, hızlı bir şekilde bir düzeltme yapacaktır. Güvenlik açığı bulunan eklentiyi, düzeltme ortaya çıkar çıkmaz güncelleyin. Bir dakika sonra değil.

İkincisi , güncelleme yoksa ve geliştirici soruna yanıt vermiyorsa eklentiyi devre dışı bırakın . Güvendiğiniz bir eklentiyi devre dışı bırakmanın kolay olmadığını biliyorum, ancak alternatif sitenizi istismarlara açmak olduğunda, gerçekten başka seçeneğiniz yok.

Bazen daha düşük izinlere sahip bir WordPress hesabı kullanabilirsiniz (örneğin Yazar veya Editör). Örneğin, güvenlik açığı, yakın tarihli bir W3 Total Cache güvenlik açığı gibi bir yönetici oturumu gerektiriyorsa, daha düşük ayrıcalıklara sahip bir hesap kullanmak sorunu atlayabilir. Ancak bu yaklaşım tüm güvenlik açıklarını düzeltmeyecektir – bu nedenle alıcı dikkatli olun.

Toplama

Her web sitesi yöneticisinin en kötü kabusu hacklenmektir. Ancak, düzenli yedeklemeler ve iyi genel güvenlik uygulamalarıyla birlikte bu proaktif eklenti güvenlik önlemlerinin yardımıyla sitenizi sağlamlaştırabilir ve istismar edilme şansınızı azaltabilirsiniz.

Sadece şunu unutmayın:

  • Güncel kalın
  • Bilinen güvenlik açıklarını kontrol edin
  • Gölgeli eklentiler yüklemeyin

Sömürülebilir bir eklenti nedeniyle site hiç saldırıya uğradı mı? Durumu düzeltmek için hangi adımları attınız?

PROSTOR / Shutterstock.com'dan makale küçük resmi

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved