WordPress Güvenlik Temelleri: Nasıl Hacklenmezsiniz?

WordPress, yayıncılığı demokratikleştirme çabalarında büyük adımlar attı ve web'de içerik yayınlama yeteneğini tüm dünyada çok sayıda insan için erişilebilir hale getirdi. Bugün, web üzerindeki web sitelerinin yaklaşık %28'ine güç veriyor ve onu pazar payı açısından açık ara dünyanın en yaygın kullanılan platformu yapıyor. Ancak bir numara olma durumuyla onu kullanmak isteyenlerin de dikkatini çekiyor.

Bu yazıda, kötü adamların sonsuz fırtınasını atlatmak için sitenizi daha güvenli hale getirmek için neler yapabileceğinize bakacağız.

WordPress Zaten Güvenli Değil mi?

Nasıl evinizi %100 güvence altına almak mümkün değilse, hiçbir site %100 güvenli değildir. Her kilidin, aynı şekilde uyan bir şeye sahip olan herkesin açabileceği bir anahtarı vardır. Bu, WordPress'in güvenli olmadığı anlamına gelmez. Kelimenin tam anlamıyla üzerinde, içinde ve çevresinde sürekli çalışan binlerce geliştiricinin bulunduğu açık kaynaklı bir proje olarak, bu kadar çok insanın ortak çabası onu çok güçlü kılıyor çünkü bir güvenlik açığını bulmak ve bildirmek için yalnızca bir kişi yeterli. WordPress ayrıca, WordPress çekirdeğinin mümkün olduğunca güvenli olduğundan emin olmaktan sorumlu özel bir güvenlik ekibine sahiptir.

WordPress Güvenlik Ekibi, önde gelen geliştiriciler ve güvenlik araştırmacıları dahil olmak üzere yaklaşık 50 uzmandan oluşur – yaklaşık yarısı Automattic'in (web'deki en eski ve en büyük WordPress barındırma platformu olan WordPress.com'un yapımcıları) çalışanlarıdır ve bir kısmı web'de çalışır. güvenlik alanı. Ekip, tanınmış ve güvenilir güvenlik araştırmacıları ve barındırma şirketlerine danışır.
https://wordpress.org/about/security/

WordPress çekirdeği, web sitenizi oluşturan karmaşık sistemin yalnızca bir bileşenidir. WordPress sitelerinin çoğu, çıplak bir WordPress kurulumundan çok daha fazlasıdır. Hem ücretsiz hem de premium olan çoğu eklenti ve tema, yalnızca güvenlik açıklarını denetlemek bir yana, neredeyse aynı düzeyde ilgi görmez. Jetpack ve WooCommerce gibi en büyük ve iyi desteklenen eklentilerden bazılarının başına gelebilirse, güvenlik açığı olan bir site oluşturma olasılığı neredeyse kaçınılmazdır.

Rakiplerinizle Tanışın

Kendimizi koruyacaksak, kendimizi başarıya en iyi şekilde yönlendirmek için neyle karşı karşıya olduğumuzu bilmek önemlidir. Bu saldırılar nereden geliyor? İyi haber şu ki, saldırıların büyük çoğunluğu tamamen otomatiktir ve çok karmaşık değildir. Dizine eklemek için sitenizi tarayan bir arama motoru gibi, çoğu saldırı, sitenizi tarayan ve daha sonra otomatik bir şekilde yararlanılan bilinen güvenlik açıklarını arayan basit botlar olarak başlar.

Diğer bir yaygın saldırı kaynağı, zaten güvenliği ihlal edilmiş diğer sitelerdendir. Zombi kıyametini düşünün. Bu, aynı sunucudaki diğer sitelere ulaşmaya çalışan aynı sunucudaki başka bir site biçiminde olabilir veya hatta birlikte kullanılabilecek yüzlerce hatta binlerce güvenliği ihlal edilmiş makineden oluşan bir "botnet" biçiminde olabilir. çok güçlü bir şekilde kullanılmasıdır.

Düşündüğünüzün aksine, en az görülen saldırgan gerçek bir insandır. Bir insan, aksi takdirde bir makine tarafından mümkün olmayan vektörlerden (telefonu açıp sizi aramak gibi) çok daha akıllı bir saldırı gerçekleştirebileceğinden, korunması en zor olanıdır. Sitelerin bilgisayar korsanlarına oranı nedeniyle, bir insan siber saldırısının hedefi olma şansı oldukça düşüktür. Daha yüksek profilli siteler, kedi şeklindeki örgü şablonlarıyla ilgili bir blogdan daha fazla insanları ilgilendirdiği için genellikle daha yüksek risk altındadır.

Bu makaledeki ipuçlarını takip ederek, tüm kaynaklardan gelen saldırılara karşı daha güçlü olmaya hazır olacaksınız.

Her Şeyi Güncel Tutun

Belki de en bariz ve yapılması kolay (ve ihmal) WordPress çekirdeğini ve kurulu tüm eklentileri ve temaları en son kararlı sürümlere güncel tutmak olacaktır. İyi bilinen bir platform olarak, WordPress çekirdeği, eklentileri ve temaları için bilinen güvenlik açıklarının büyük, herkese açık veritabanları vardır. Siteniz herhangi bir yazılımın eski sürümlerini kullanıyorsa, esasen bir saldırganın gelip onu bulmaması üzerine kumar oynuyorsunuz.

Yazılımınızı güncel tutmanın yanı sıra, kurulu olan sürüm numaralarını gizleyerek sitenizi kolayca daha da sağlamlaştırabilirsiniz.

Bir saldırganın, güvenliğini aşmak için siteniz hakkında bulabileceği en önemli iki veri parçası şunlardır: hangi yazılımı kullandığı (bu durumda WordPress ve hangi uzantıların yüklü olduğu) ve bunların hangi sürümleri. Bu bilgi parçaları göz önüne alındığında, saldırganlar sitenizden ödün vermede son derece verimli olabilir. Tek yapmaları gereken, oyun kitaplarında neler olduğunu araştırmak ve keskin nişancı benzeri bir doğrulukla sisteminizi tehlikeye atmak için mevcut olan en iyi istismarı bulmak.

WordPress kullandığınızı gizlemek kolay değil, ancak kullandığınız sürümü yayınlamamak kolay.

WordPress sürümünü <head> etiketinden kaldırın (eklenti gerekmez)

 add_filter( 'the_generator', '__return_empty_string' );

WordPress ayrıca, önbellek bozma için ver parametresindeki sıraya alınmış stiller ve komut dosyaları için varsayılan sürüm olarak sürümleri kullanır.

Bunları, tarayıcı önbelleğe alma için optimize ederken sürümü gizleyen içerik karmalarıyla değiştirmek için Version Assets (OSS'nin utanmazca kendini tanıtması) gibi bir eklenti kullanabilirsiniz.

Güçlü Oturum Açma Bilgileri Kullanın

Her şeyi doğru yapabilirsiniz, ancak oturum açma bilgileriniz admin ve password ise, aslında arabanızı camlar açık ve anahtarlar koltuktayken park ediyorsunuz.

Tüm kullanıcılar için güçlü bir parola isteyerek başlayın. Düşündüğün kadar zor değil.

Kendi şifrenizi bulmanın basit bir alternatifi, sizin için uzun ve çirkin bir şey oluşturmak için LastPass veya 1Password gibi bir şifre yöneticisi kullanmaktır. Bu, sizi çok fazla şifreyi hatırlama zahmetinden kurtarır. Web geliştiricileri için, kimlik bilgilerini korumamız gereken çok sayıda site ve hizmet nedeniyle şifre yöneticiniz ihtiyaç açısından oksijen ve kahveye yakındır.

Hiçbir eklentinin sizin için yapamayacağı önemli bir politika, başka bir sitede kullandığınız şifreyi tekrar kullanmamaktır. Bunun nedeni, diğer sitenin güvenliğinin ihlal edilmesi (muhtemelen üzerinde çok az kontrolünüz olan veya hiç kontrolünüz olmayan bir şey) ve parolanızın bilinmesi (parola düz metin olarak saklanmamalıdır, ancak gerçekleşmiş olduğu için böyle olmaması gerekir) veya kırılırsa, o zaman saldırgan, diğer sitelere veya hizmetlere giriş yapmak için kullanıcı adını/e-posta adresini ve şifreyi kullanmayı deneyebilir.

Ne yaparsanız yapın, bu listedeki şifrelerin hiçbirini kullanmayın.

İlgili eklentiler:

• Güçlü Parolaları Zorla – WordPress parola gücü ölçeri kullanarak minimum düzeyde parola gücü gerektirin.
• Parolaların Süresi Doldu – Seçili rollerdeki kullanıcıların parolalarını her X günde bir değiştirmelerini zorunlu kılın.

Ortak yönetici kullanıcı adlarını kullanmayın

Bu, admin veya administrator gibi bariz yaygın kullanıcı adlarını kullanarak sizi gereksiz yere riske sokan başka bir kolay yoldur.

Siteniz bu kullanıcı adlarından birini kullanıyorsa, yeni bir yönetici oluşturun ve eskisini silin (eski kullanıcıdan gelen tüm gönderileri/içeriği sildiğinizde her zaman başka bir kullanıcıyla ilişkilendirebilirsiniz).

Giriş Denemelerini Sınırla

Muhtemelen siz ve sitenizin kullanıcıları, ilgili oturum açma kimlik bilgilerinizi oldukça iyi biliyorsunuzdur. Varsayılan olarak, WordPress, birinin dakikada yüzlerce kez veya daha fazla oturum açmaya çalışmasını engellemek için hiçbir şey yapmaz (sitenizin muhtemelen çökeceği gerçeğinin yanı sıra). Bu, hiç ihtiyaç duyacağınız bir şeye benziyor mu? Öyle düşünmedim. Buna izin vermeyelim, çünkü jetlerini birkaç dakika soğumaya bırakmamız gerekmeden önce birinin kaç kez giriş yapmayı deneyebileceği konusunda makul sınırlar var.

Limit Giriş Denemeleri eklentisi, onlarla ev sahipliği yaparken kutudan çıkardığınız birçok yönetilen WordPress ana bilgisayarı arasında bir temel haline geldi. Bir kullanıcı belirli bir süre içinde X başarısız oturum açma girişiminde bulunduğunda, doğru bir parola ile bile sonraki 10 dakika boyunca (veya neye ayarlanmışsa) oturum açması engellenir. Kullanıcının daha sonra oturum açma yasağının süresinin dolmasını beklemesi veya sitede kendileri için geçici yasağı kaldırabilecek bir yöneticiyle iletişime geçmesi gerekir.

2 Faktörlü Kimlik Doğrulamayı Kullan

2 Faktörlü kimlik doğrulama, ek bir oturum açma güvenliği katmanıdır. Şifreniz ilk katmandır. Doğru şifre sağlandıktan sonra, giriş yapabilmek için ikinci bir sorgulamayı geçmelisiniz. Bu genellikle, telefonunuz veya ek bir girişte sağladığınız başka bir cihaz tarafından sağlanan 6-9 basamaklı bir sayı biçimindedir. Sitenizde 2 faktörlü kimlik doğrulama için yapılandırdığınız bir cihaza sahip olmanız, giriş yapmaya çalışanın şifrenizi ele geçiren bir saldırgan değil, siz olduğunuzu doğrular.

En sevdiğim 2FA uygulaması, adını arkasındaki şirketten alan 2FAS adlı oldukça yeni bir uygulama. Başlamak gerçekten hızlıdır ve diğerlerinin çoğunda olmayan birkaç gerçekten güzel özelliğe sahiptir: güvenilir cihazlar ve cihazınızı kaybetmeniz veya başka bir şekilde onsuz girmeniz gerekmesi durumunda yedek kodlar . Telefonunuz için kendi uygulamaları var, ancak Google Authenticator veya Authy'yi de kullanabilirsiniz (bilgisayarınızda da kullanabileceğiniz için favorim).

WordPress'i Kendi Dizinine Yerleştirin

Tüm ana bilgisayarlar size bunu yapma özgürlüğü vermez, ancak yapabilirseniz, WordPress'i kendi dizinine koymak, kapınızı çalan önemli miktarda kötü niyetli trafikten kaçınmanın çok etkili bir yoludur.

Bunu yapmak için başka nedenler de vardır, ancak güvenlik açısından, bazı botlar sitenizin standart bir kurulum kullandığını varsayar. /wp-login.php ve /wp-admin/ istekleri, artık /wp/wp-login.php ve /wp/wp-admin/ adresinde bulundukları için 404'ler olarak başarısız olur. Yüklü güvenlik açığı bulunan bir eklentiniz olsa bile, bir bot gelip varsayılan bir standart yükleme yolu ile onu kullanmaya çalışırsa, hedefi ıskalayacaktır.

WordPress'i kendi dizinine koymak, sitenizi dizin geçiş saldırılarına karşı da sertleştirir; bu, temelde, bir eklentideki bir güvenlik açığından yararlanan bir saldırı anlamına gelir: wp-config.php dosyanızın içeriğini, ona göre beklenen bir yol kullanarak okuyun. eklenti dosyası.

Örneğin

 GET /wp-content/plugins/abcxyz-slider/slide-loader.php?image=../../../../wp-config.php

Düzenli Yedeklemeler Yapın ve Uzakta Tutun

Sunucunuz bugün buharlaşırsa, siteniz yarın tekrar çalışır hale gelir mi? Yedeklemeler, sizin için değerli olan bir siteyi çalıştırmanın ayrılmaz bir parçasıdır. Siteniz bir şekilde saldırıya uğradıysa ve hasar onarılamaz durumdaysa, sitenizin güvenliği ihlal edilmeden önceki bir noktaya geri yükleyebilmeniz gerekir.

Siteniz saldırıya uğramadan önceki bir noktaya geri yükleyebilmek için, birkaç gün öncesine kadar otomatik yedeklemelere ihtiyacınız olacak. 30 günlük yedekleme geçmişi, başlamak ve durumunuza göre gerektiği şekilde ayarlamak için iyi bir sayıdır.

Yedeklerinizi asla sunucunuzda saklamayın

Bu iki nedenden dolayı önemli:

1. Sitenizin güvenliği ihlal edilirse, saldırgan yedeklerinizi silebilir veya bunlara bulaşabilir
2. Yedekleriniz erişilebilir hale geldiyse (bazı eklentiler doğrudan yükleme dizininde yedekleme dosyaları oluşturur), bir bilgisayar korsanı yedeklemenizi indirebilir ve canlı siteye erişmek için bunu kullanabilir

Yedekten geri yükleme gerçekleştirmeyi test edin

İşler ters gittiğinde olmasını isteyeceğiniz son şey, güvenilir yedeklerinize ulaşmak ve onların çalışmaması, hatta daha da kötüsü, sürekli olarak yaratılmadıklarını öğrenmektir. Geri yükledikten sonra, yedeklemenin parçası olan tüm veritabanı dökümlerinin veya diğer hassas dosyaların silindiğinden veya herkesin erişimine açık olmadığından emin olun.

İyi Bir Ana Bilgisayar Kullanın

Siteniz için sağlam bir ana bilgisayara sahip olmak, sitenizi güvende tutmak için gerçekten uzun bir yol kat edebilir. Özellikle WordPress konusunda uzmanlaşmış bir ev sahibi özellikle şunları sunmalıdır:

• Barındırdıkları diğer tüm sitelerden izole edilmiş, siteniz için özel bir örnek
• Dosya sisteminizin ve veritabanınızın günlük site dışı yedekleri
• Günlük kötü amaçlı yazılım taraması ve WordPress dosyalarının temizlenmesi

Ekrana Çıktı Alma Hatalarını Devre Dışı Bırak

Ekranınızda (genellikle üst kısma yakın) gösterilen PHP hatalarını veya uyarılarını gördüyseniz, siteniz hangi eklentileri yüklediğiniz veya dosya sistemindeki yollar gibi bir saldırgan tarafından size karşı kullanılabilecek bilgileri sızdırıyor demektir. Bunun etkinleştirilip etkinleştirilmediği, büyük ölçüde PHP'nin sunucunuzda nasıl yapılandırıldığına bağlıdır, ancak WordPress'in hata ayıklama sabitleri tarafından da kontrol edilebilir. Hataların ekrana çıkmasını önlemek için wp-config.php dosyanıza aşağıdakileri eklemek isteyebilirsiniz. Sitenizdeki hataları gözlemlemenin veya denetlemenin en iyi yolu, hata ayıklama günlüğünü etkinleştirmektir, böylece hatalar bunun yerine bir dosyaya yazılır.

 define( 'WP_DEBUG_DISPLAY', false ); define( 'WP_DEBUG_LOG', true );

Aynı nedenden dolayı wp-content/debug.log dosyasına HTTP üzerinden erişimi de engellemelisiniz.

Eklentiler ve Temalar

WordPress web sitesi sahiplerini en çok etkileyen güvenlik açıkları, platformun genişletilebilir bölümlerinden, özellikle eklentilerden ve temalardan kaynaklanmaktadır. Bunlar, siber suçlular tarafından WordPress sitelerini hacklemek ve başka şekillerde kötüye kullanmak için istismar edilen 1 numaralı saldırı vektörüdür.
Codex – WordPress'i Sağlamlaştırma

Uzantılarınızı denetlemek, sitenizi güvende tutmanın zirvesinde olmak için çok önemlidir. Uzantılarınızı, hem yazar hem de nereden indirdiğiniz konusunda saygın kaynaklar tarafından sağlananlarla sınırlamaya çalışın. Ücretsiz eklentiler ve temalar için varsa wordpress.org'dan aldığınızdan emin olun. Premium uzantılar için bunları yalnızca doğrudan satıcıdan indirin. "Sokak satıcısının" sitenize kolayca tam erişim kazanmasına izin vermek için arka kapıları içerecek şekilde değiştirilebileceğinden, ücretsiz veya "boş" premium uzantılardan kaçının. Ailenin sana her zaman yabancılardan asla şeker almamanı söylediğini hatırlıyor musun? BU ŞEKER.

Eklenti bağımlılıklarının normal şekilde yüklenmesini gerektirmek yerine, eklentileri temanın kendisinde toplayan temalara dikkat edin. Bunun nedeni, bir temada paketlenmiş eklentilerin normal otomatik güncelleme işlemi yoluyla güncellenmesinin mümkün olmamasıdır, bu nedenle bağımlılıkları için de güncellemeler yayınlamak için temaya güvenir.

Kullanmadığınız eklentileri veya temaları kurulu tutmayın. Etkin olmayan bir eklenti bile bir güvenlik açığı olabilir, çünkü hala kod tabanınızın bir parçasıdır ve web'den herkese açık olarak erişilebilir durumdadır.

Düzenli olarak güncellenen uzantıları tercih edin ve yine uzantılarınızı düzenli olarak güncelleyin.

En Az Ayrıcalık İlkesini Uygulayın

En az ayrıcalık ilkesi, temel olarak, sistemin her bir parçasının yalnızca işini yapmak için ihtiyaç duyduğu kaynaklara erişim ve izinlere sahip olması gerektiğini ve daha fazlasını yapmaması gerektiğini söyleyen bilgi güvenliği dünyasından bir terimdir. Gerekenden daha fazla güç veya erişim vermeyin. WordPress açısından, yapabileceğiniz en kolay şey, sitenizde olması gerekmeyen hiç kimseyi yönetici yapmamaktır.

Güvenlik Eklentileri ve Hizmetleri

WordPress için mevcut tüm güvenlik eklentilerini incelemek başlı başına bir seri olabilir, ancak WordPress'teki güvenlikle ilgili hangi makale bunlardan en azından bahsetmeden tamamlanmış olur?

Bu yazının yazıldığı sırada, wordpress.org eklenti deposundaki en iyi 3 güvenlik eklentisi (en aktif kurulumdan en aza doğru sıralanmıştır):
1. Wordfence Güvenliği
2. iThemes Güvenliği (eski adıyla Better WP Security)
3. Sucuri Security – Denetim, Kötü Amaçlı Yazılım Tarayıcı ve Güvenlik Sağlamlaştırma

Bu eklentiler, yukarıda özetlenen sorunları ve uygulamaları ve daha fazlasını ele almak için birçok özellik sunar. Bu gönderi herhangi bir üçüncü taraf tarafından desteklenmemektedir, ancak hangi eklentiyi düşünüyorsanız, hangi eklentinin sizin için doğru olabileceği konusunda daha bilinçli bir karar vermenize yardımcı olacaktır.

Bahsetmeye değer diğer birkaç ürün, ManageWP ve kendi kendine barındırılan InfiniteWP'dir. Bunlar, WordPress yüklemelerinizi uzaktan yönetmenize izin veren ve ücretsiz katmanlarda bile güvenlik açığı taraması ve yedekleme gibi bazı harika güvenlik işlevleri sunan üçüncü taraf hizmetlerdir. ManageWP, ücretsiz kullanımda size daha fazlasını sunar, ancak InfiniteWP, kendinizin barındırdığı bir şeydir ve premium özellikler için eklentiler kullanır.

Kapanış

Web sitenizin güvenliğini sağlamak, sincapları kuş besleyicinizden uzak tutmaya çalışmak gibidir; her zaman sincaplar olacak, sadece besleyicinizi diğerlerinden daha zor hale getirmeniz gerekiyor. Bu makale boyunca, sitenizin saldırıya uğrama riskiyle karşı karşıya kalabileceği birçok farklı yolu ve sitenizi bunlara karşı nasıl sağlamlaştırabileceğinizi öğrendik.

Elbette güvenlik, tek bir gönderide kapsamlı bir şekilde ele alınamayacak bir konudur, ancak umarım daha önce bilmediğiniz bir veya iki şey öğrenmişsinizdir. Temel bilgileri öğrendikten sonra, WordPress için penetrasyon testi yapmak isteyebilirsiniz.

Sitenizi güvende tutmak için ne yapıyorsunuz? WordPress güvenliği hakkında herkesin bilmesi gerektiğini düşündüğünüz ipuçlarınız var mı? Aşağıdaki yorumlarda sesi kapatın.