WordPress Hacklendi: İzlenmesi Gereken 7 Uyarı İşareti

admin Haberler Leave a comment 5 Views


Bir WordPress site sahibi olarak karşılaşabileceğiniz en sinir bozucu ve stresli durumlardan biri, sitenizin saldırıya uğradığını öğrenmektir. Bir dakika, siteniz uğultu, trafik ve umarım gelir getiriyor. Ve sonra, bildiğiniz bir sonraki şey, WordPress sitenizde bir şeylerin çok yanlış olduğunu keşfedersiniz.

Ne yazık ki, WordPress sitenizin saldırıya uğrayabileceği gerçeğinin, asla olmamasını sağlamak için mümkün olduğunca verimli ve etkili bir şekilde ele alınması gerekiyor. Çünkü kendinizi saldırıya uğramış bir web sitesiyle karşı karşıya bulursanız, muhtemelen kendinize sitenizin özellikle neden kötü niyetli bir saldırının hedefi olduğunu ve siteyi mümkün olan en kısa sürede nasıl geri alacağınızı soracaksınız.

WordPress hileleri birçok form, şekil ve boyutta gelir. Bu, WordPress site sahipleri olarak, WordPress sitelerinin başarıyla saldırıya uğramasının tüm yaygın nedenlerini bilmenin önemli olduğu anlamına gelir. Bu kılavuzda, sitenizin güvenliğini sağlamak için atabileceğiniz basit adımlarla birlikte WordPress sitelerinin saldırıya uğramasının yaygın nedenlerini tartışacağız.

Bu kılavuzda

    Kendinizi “ WordPress sitem saldırıya uğradı mı? ”, bazı hızlı yanıtlar isteyeceğiniz anlamına gelir. Bu yazıda, yedi enfeksiyon belirtisi ve saldırıya uğradığınızı keşfederseniz ne yapmanız gerektiğini ele alıyoruz.

    Bir web sitesi ihlali belirtilerini ne kadar hızlı fark ederseniz, sitenizi o kadar hızlı temizleyebilirsiniz. Web sitenizi ne kadar hızlı temizlerseniz, saldırının web sitenize o kadar az zarar verebileceğini unutmayın. Not: Bu yazıda biraz bahsettiğimiz iki şey, sağlam bir WordPress yedeklemesinin ve WordPress güvenlik çözümünün önemidir. Mümkün olan en kısa sürede bir WordPress güvenlik eklentisi ve WordPress yedekleme eklentisi kurmanızı ve etkinleştirmenizi şiddetle tavsiye ederiz.

    WordPress Sitenizin Saldırıya Uğradığının 7 İşareti

    Tüm hack'lerin amacı aynı değildir, bu nedenle bir web sitesi güvenliğinin ihlal edildiğine dair işaretler, saldırganın amacına bağlı olacaktır. İşte sitenizin sağlığını izlerken dikkat etmeniz gereken 7 farklı belirti.

    WordPress Web Sitem Hacklendi mi?

    1. Ana Sayfanız Farklıdır

    Ana sayfanızdaki değişiklikler bariz bir işaret gibi görünüyor. Ancak, gerçekten kaç kez kapsamlı bir kontrol veya ana sayfanız var? Genellikle ana sayfa URL'me değil, doğrudan giriş URL'me gittiğimi biliyorum. Oradan giriş yapıyorum, sitemi güncelliyorum veya bir gönderiyi düzenliyorum. Geldiğim işi bitirdikten sonra genellikle web sitemin ana sayfasına bakmadan çıkıyorum.

    Bazı bilgisayar korsanlarının birincil amacı, bir web sitesini trollemek veya ün kazanmaktır. Bu nedenle, ana sayfanızı yalnızca komik buldukları bir şeyle değiştirirler veya arama kartıyla saldırıya uğramış bir şekilde bırakırlar.

    Ana sayfanızda bir değişiklik fark ederseniz, BackupBuddy gibi güvenilir bir WordPress yedekleme eklentisi ile yapılmış bir yedekleme dosyasını kullanarak web sitenizi hızlı ve kolay bir şekilde geri yükleyebilirsiniz.

    2. Web Sitenizin Performansı Düştü

    Bir enfeksiyon olduğunda siteniz halsiz hissedebilir. Brute force saldırıları yaşıyorsanız veya kripto para madenciliği için sunucu kaynaklarınızı kullanan kötü niyetli bir script varsa web sitenizde yavaşlamalar yaşayabilirsiniz. Benzer şekilde, bir DDoS (veya hizmet reddi saldırısı ), bir IP ağı aynı anda web sitenize çökmesine neden olmak için istekler gönderdiğinde gerçekleşir.

    Siteniz yavaş çalışıyorsa, beklenmedik sayıda istek için sunucu erişim günlüklerini kontrol edin. Web sitenizi bir DDoS saldırısına karşı korumaya yardımcı olmak için Sucuri tarafından sağlanana benzer bir web uygulaması güvenlik duvarı da kullanabilirsiniz.

    Performanstaki düşüşün mutlaka birisinin sitenizi hacklediği anlamına gelmediğini unutmayın. Bir WordPress sitesini nasıl hızlandıracağınıza dair bazı ipuçlarına ihtiyacınız olabilir. iThemes Güvenlik eklentisinin WordPress Kötü Amaçlı Yazılım Tarama özelliği, şüpheli komut dosyalarının belirlenmesine yardımcı olur.

    3. Web Siteniz Kötü Amaçlı veya Spam Popup Reklamları İçeriyor

    Ziyaretçileriniz onları kötü amaçlı bir web sitesine yönlendiren açılır pencereler görürse, bir bilgisayar korsanının web sitenizi tehlikeye atmış olma olasılığı yüksektir. Bu tür bir saldırının amacı, trafiği sitenizden saldırganın sitesine yönlendirerek, kullanıcıları Tıklama Başına Ödeme reklamcılığı için tıklama sahtekarlığıyla hedefleyebilmelerini sağlamaktır.

    Bu tür bir hacklemeyle ilgili en sinir bozucu şey, açılır pencereleri göremeyebilmenizdir. Bir açılır pencere hack'i, giriş yapmış kullanıcılara gösterilmeyecek şekilde tasarlanabilir ve bu da web sitesi sahiplerinin onları görme ihtimalini azaltır. Böylece site sahibi çıkış yapsa bile pop-up'lar asla görüntülenmez.

    Tarayıcınızda bir reklam engelleyici uzantısı kullanıyorsanız, açılır pencerelerin görünümü de sınırlanabilir. Örneğin, bir müşteri bir açılır pencere hack'i bildirdi ve ekran görüntülerini ve açılır pencerelerin bir videosunu paylaştı. Web sitelerinde saatlerce dolaştıktan sonra, rapor ettikleri hiçbir şeyi yeniden oluşturamadım. Web sitesinin değil, kişisel bilgisayarlarının saldırıya uğradığına ikna oldum. Sonunda, açılır pencereleri neden göremediğim aklıma geldi. Tarayıcıma bir reklam engelleyici uzantısı yüklemiştim. Reklam engelleyici uzantısını devre dışı bırakır bırakmaz her yerde açılır pencereler görebildim. Sizi aynı hataya düşmekten kurtarmak için bu utanç verici hikayeyi paylaşıyorum. iThemes Güvenlik eklentisi gibi bir WordPress güvenlik eklentisi, dosya değişiklikleri, oturum açmalar ve kullanıcılar tarafından yapılan değişiklikler için web sitenizin güvenlik günlüklerine göz atmanızı sağlar.

    4. Web Sitesi Trafiğinde Bir Düşüş Fark Ettiniz

    Google Analytics hesabınıza giriş yaparsanız ve web sitesi trafiğinde keskin bir düşüş fark ederseniz, WordPress siteniz saldırıya uğramış olabilir. Site trafiğindeki bir düşüş bir araştırmayı hak ediyor. Sitenizde, ziyaretçileri sitenizden uzaklaştıran kötü amaçlı bir komut dosyası olabilir veya Google, web sitenizi kötü amaçlı bir site olarak kara listeye alarak zaten yapmış olabilir.

    Aramak istediğiniz ilk şey, web sitenizin giden trafiğidir. Web sitenizi Google Analytics ile izleyerek, sitenizi sitenizden çıkan trafiği takip edecek şekilde yapılandırmanız gerekecektir. WordPress sitenizdeki giden trafiği izlemenin en kolay yolu, bir WordPress Google Analytics eklentisi kullanmaktır. İyi bir Google Analytics eklentisi, belirli bir etkinliği tek bir tıklamayla izlemenize olanak tanır. Web sitenizin Google tarafından zaten kara listeye alındığını tespit ederseniz, Google kara liste uyarısının nasıl kaldırılacağına ilişkin bu adımları izleyin.

    5. Beklenmeyen Dosya Değişiklikleri

    Web sitenizdeki dosyalar değiştirilmiş, eklenmiş veya kaldırılmışsa, sitenizin güvenliğinin ihlal edildiğinin bir işareti olabilir. Bu nedenle, web sitesi dosya değişiklikleri konusunda sizi uyarmak için bir bildirim sistemine sahip olmak çok önemlidir. Değiştirilen dosyayı yeni bir yedekteki bir sürümle karşılaştırarak beklenmeyen değişiklikleri araştırabilirsiniz. iThemes Security Pro Dosya Değişikliği Tarama özelliği, sitenizde yapılan tüm değişiklikleri size bildirir.

    iThemes Security gibi bir WordPress güvenlik eklentisi kullanmak, dosya değişikliklerini izlemenize yardımcı olabilir. Bu ayarın oluşturabileceği bildirim sayısı nedeniyle, Dosya Değişikliği Algılama ayarlarında dosya ve dizinleri hariç tutabilirsiniz. Düzenli olarak güncelleneceğini bildiğiniz dizinleri hariç tutmanız sorun değil. Yedekleme ve önbellek dosyaları buna mükemmel bir örnektir ve bunları hariç tutmak, alacağınız bildirimlerin sayısını azaltacaktır.

    6. Beklenmeyen Yeni Kullanıcılar

    Web sitenizde beklenmedik yeni yönetici kullanıcı kayıtları varsa, bu, WordPress sitenizin saldırıya uğradığının bir başka işaretidir. Saldırgan, güvenliği ihlal edilmiş bir kullanıcının istismarı yoluyla yeni bir yönetici kullanıcı oluşturabilir. Yeni yönetici ayrıcalıklarıyla, bilgisayar korsanı sitenize büyük zararlar vermeye hazır.

    Kasım 2018'de, müşteri web sitelerinde yeni yönetici kullanıcıların oluşturulduğuna dair birkaç rapor aldık. Bilgisayar korsanları, eklentiyi çalıştıran WordPress sitelerinde yeni yönetici kullanıcılar oluşturmak için WP GDPR Uyumluluk eklentisinde (güvenlik açığı 1.4.3 sürümünde düzeltildi) bir güvenlik açığı kullandı. Eklenti istismarı, yetkisiz kullanıcıların, bir aboneden bir yöneticiye varsayılan yeni kullanıcı rolünü değiştirmek için kullanıcı kaydını değiştirmesine izin verdi. Ne yazık ki, bu tek güvenlik açığı değildi ve saldırganın oluşturduğu yeni kullanıcıları kaldıramaz ve eklentiye yama yapamazsınız.

    WP GDPR Uyumluluğu ve WooCommerce yüklediyseniz, sitenize kötü amaçlı kod enjekte edilmiş olabilir. Saldırganlar, veritabanına bir arka kapı yükleyicisi eklemek için WooCommerce eklentisi arka plan yükleyicisini kullanabildi.Sitenizde bir arka kapı kuruluysa, bir hack onarım uzmanıyla iletişime geçmelisiniz. Başka bir seçenek de, önceki bir yedeklemeyi kullanarak ihlalden önce web sitenizin bir kopyasına geri dönmek için bir yedekleme dosyası kullanmaktır.

    7. Yönetici Kullanıcılar Kaldırıldı

    Parolanızı sıfırladıktan sonra bile WordPress sitenize giriş yapamıyorsanız, bu ciddi bir enfeksiyon belirtisi olabilir.

    Gentoo Github deposu saldırıya uğradığında, saldırganın yaptığı ilk şey tüm yönetici kullanıcıları silmek oldu. Peki bu bilgisayar korsanı Github hesaplarına nasıl girdi? Farklı bir sitede bir Gentoo yönetici kullanıcısının parolası keşfedildi. Kullanıcı adı ve şifrenin kazıma veya veritabanı dökümü yoluyla keşfedildiğini tahmin ediyorum. Yöneticinin Gentoo Github hesabının şifresi, ele geçirilen hesapta kullanılandan farklı olsa da, çok benzerdi. Yani bu benim bir hesapta parola olarak iAmAwesome2017'yi ve başka bir sitede iAmAwesome2019'u kullanmam gibi olurdu. Böylece hackerlar az bir çabayla şifreyi bulmayı başardılar.Gördüğümüz gibi her hesap için benzersiz bir şifre kullanmalısınız. Parolalarınızda basit bir değişiklik yeterli değildir. LastPass'i kullanarak her site için güçlü, benzersiz parolalar oluşturabilir ve güvenli bir şekilde saklayabilirsiniz.

    Güvenilmeyen cihazlardan oturum açma işlemleri için yönetici yeteneklerini kısıtlamak için iThemes Security Pro'daki Güvenilir Cihazlar özelliğini de etkinleştirebilirsiniz. Saldırgan sitenizde mevcut bir yönetici kullanıcı olarak başarılı bir şekilde oturum açarsa – ya bir kaba kuvvet saldırısı ile ya da kullanıcının kimlik bilgileri bir veritabanı dökümünün parçasıysa – tam yönetici yeteneklerine sahip olmayacaktır.

    Parolanın güvenliği ihlal edilmiş olsa bile, yönetici iki faktörlü kimlik doğrulama kullanıyorsa bu ihlal önlenebilirdi. İki Faktörlü kimlik doğrulama, oturum açmak için kullanıcı adınız ve şifre kimlik bilgileriniz ile birlikte ekstra bir kod gerektirir. iThemes Security Pro, erişim ek kodunuzu almak için bir mobil uygulama veya e-posta kullanarak WordPress iki faktörlü etkinleştirmenizi sağlar.

    İnfografikleri alın

    Hackerlar Neden WordPress Sitelerini Hedefliyor?

    İlk olarak, bilgisayar korsanlarının yalnızca WordPress CMS (içerik yönetim sistemi) platformunda oluşturulmuş sitelerin peşinden gelmediğini anlamak önemlidir. Aslında, WordPress ile oluşturulmuş olsun veya olmasın, İnternet'teki her sitenin kendi güvenlik açıklarına sahip olduğunu ve bilgisayar korsanlığı ve diğer kötü niyetli saldırılara açık olduğunu söylemek güvenlidir.

    Bununla birlikte, WordPress web siteleri basit bir nedenden dolayı en yaygın bilgisayar korsanlığı hedefidir: WordPress, açık ara dünyanın en çok kullanılan web sitesi oluşturma aracıdır. Aslında, WordPress şu anda bilinen tüm web sitelerinin %40'ına güç sağlıyor.

    Bu, şu anda İnternet'i dolduran yüz milyonlarca WordPress destekli web sitesi olduğu anlamına gelir. WordPress platformunun muazzam popülaritesi, kötü niyetli bilgisayar korsanlarına, uygun güvenlik protokollerinden yoksun web sitelerini bulmaları ve ardından kendi kazançları için onları kullanmaları için basit bir yol sağlar.

    Bilgisayar korsanları, web sitelerine girmeye karar verdiklerinde çeşitli farklı güdülere sahip olma eğilimindedir. Bazı bilgisayar korsanları “ticareti” yeni öğreniyor ve en az güvenli ve en savunmasız olan web sitelerini hedef alıyor. Diğer bilgisayar korsanları, sitenize WordPress kötü amaçlı yazılım dağıtmak veya sitenizi diğer şüpheli olmayan web sitelerine saldırmak için kullanmak gibi son derece kötü niyetli amaçlarla çabalarına yaklaşır.

    Yine de diğer bilgisayar korsanları, çabalarını tüm İnternet üzerinden istenmeyen bilgileri spam yapmak için kullanıyor. Çoğumuz, bir sitenin kullanıcı e-posta listesinden başarılı bir saldırının ardından blog yorum bölümlerinde veya e-posta kutularımızda bu tür spam mesajları gördük.

    Bilgisayar korsanları, hassas ve özel bilgileri ele geçirerek, daha sonra bunları bir gelir karşılığında satabilir veya hatta veri fidyesini elinde tutabilir, bu da esasen insanların bilgilerini güvenli ellere geri almak için ödeme yapmasını sağlar.

    Peki, bilgisayar korsanlarının birincil motivasyonu nedir? Kendilerine nakit akışı yaratmak. İnternet, hayatın her kesimine geçimlik bir ücret üretme fırsatı sunan kazançlı bir yerdir. Ancak bu, herkesin bunu yasal, ahlaki bir şekilde yaptığı anlamına gelmez. Çok sayıda bilgisayar korsanı, en küçük web sitesinden bile yüksek karlar elde ediyor.

    İhtiyaç duydukları tüm motivasyon paradır, ancak bazıları bir web sitesini başarıyla ihlal ettiklerinde elde ettikleri güç hissinin tadını çıkarır, ancak büyük çoğunluğu yalnızca nakit için bu iştedir.

    WordPress Güvenlik Açığı nedir?

    WordPress güvenlik açığı, bir tema, eklenti veya WordPress çekirdeğindeki bir bilgisayar korsanı tarafından kullanılabilecek bir zayıflık veya kusurdur. Başka bir deyişle, WordPress güvenlik açıkları, bir bilgisayar korsanının kötü niyetli faaliyetleri engellemek için kullanabileceği bir giriş noktası oluşturur.

    Web sitesi korsanlığının neredeyse tamamen otomatik olduğunu unutmayın. Bu nedenle, bilgisayar korsanları neredeyse hiç vakit kaybetmeden çok sayıda web sitesine kolayca girebilir. Bilgisayar korsanları, bilinen güvenlik açıklarını arayan interneti tarayan özel araçlar kullanır.

    Bilgisayar korsanları kolay hedefleri sever ve bilinen güvenlik açıklarına sahip bir yazılım çalıştıran bir web sitesine sahip olmak, bir bilgisayar korsanına WordPress web sitenize, sunucunuza, bilgisayarınıza veya internete bağlı herhangi bir cihaza girmesi için adım adım talimatlar vermek gibidir.

    Haftalık WordPress Güvenlik Açığı Raporumuz, herkese açık olarak açıklanan tüm WordPress çekirdeğini, WordPress eklentisini ve WordPress tema güvenlik açıklarını kapsar. Bu özetlerde, güvenlik açığı bulunan eklentinin veya temanın adını, etkilenen sürümleri ve güvenlik açığı türünü paylaşıyoruz.

    WordPress Web Sitelerini Hacklemek İçin Kullanılan Genel Yöntemler

    Bilgisayar korsanları, web sitelerine erişmek için savunmasız giriş noktalarını kullanır. Bu giriş noktaları, zayıf barındırma sunucularını, arka kapıları ve hatta kaba kuvvet saldırıları yoluyla WordPress giriş sayfasını içerir.

    • Arka Kapılar – Bilgisayar korsanları ayrıca WordPress sitenize bir arka kapı girişi oluşturabilir. Bu, standart WordPress giriş sayfasından geçmelerine gerek kalmadan bir giriş noktası oluşturdukları anlamına gelir. Bir WordPress sitesine yetkisiz erişim elde etmek için arka kapı girişi oluşturmanın çeşitli yolları vardır.
    • Kaba kuvvet saldırıları – Bu saldırı biçimi, bir siteye erişim sağlamanın en basit yönteminden yararlanır: Başarılı olana kadar kullanıcı adlarını ve şifreleri tekrar tekrar tahmin etmeye çalışarak. WordPress siteleri, sistem sınırsız oturum açma girişimine izin verdiğinden, varsayılan olarak özellikle kaba kuvvet saldırılarına karşı hassastır.
    • Siteler arası komut dosyası çalıştırma – Siteler arası komut dosyası çalıştırma (XSS), herhangi bir WordPress sitesindeki siteler arası güvenlik açıklarından yararlanarak yürütülen bir tür kötü amaçlı yazılım saldırısıdır. Aslında, XSS güvenlik açıklarına sahip çok sayıda WordPress eklentisi olduğundan, WordPress sitelerinin saldırıya uğramasının en yaygın yolu budur.
    • Uzaktan kod yürütme – Uzaktan kod yürütme (RCE) terimi, birkaç farklı bilgisayar korsanlığı tekniğini ve siber saldırıyı ifade eder, ancak hepsinin ortak bir noktası vardır. Bazen kod enjeksiyonu olarak da adlandırılan RCE, bilgisayar korsanlarının içerik yönetim sistemi olarak WordPress çalıştıran siteler de dahil olmak üzere her türlü web sitesini tehlikeye atması için giderek yaygınlaşan bir yoldur.
    • SQL enjeksiyonları – SQL enjeksiyonu (SQLi), bir bilgisayar korsanının kendi sorgusunu çalıştırmak için savunmasız bir SQL sorgusundan yararlanmasına izin veren bir saldırıdır. SQL enjeksiyonları, bir saldırgan bir sunucuda kendi SQL'ini çalıştırabildiğinde meydana gelir.

    WordPress Siteleri Neden Hacklenir?

    WordPress web sitelerinin saldırıya uğramasının birkaç yaygın nedeni vardır. Her birini paketleyelim.

    Düşük Kaliteli Barındırma

    Tüm web barındırıcıları eşit yaratılmamıştır ve yalnızca fiyat üzerinden bir tane seçmek, güvenlik sorunlarıyla birlikte uzun vadede size çok daha pahalıya mal olabilir. Çoğu paylaşılan barındırma ortamı güvenlidir, ancak bazıları kullanıcı hesaplarını düzgün şekilde ayırmaz.

    Barındırıcınız, en son güvenlik düzeltme eklerini uygulama ve sunucu ve dosya güvenliğiyle ilgili diğer önemli barındırma güvenliği en iyi uygulamalarını izleme konusunda dikkatli olmalıdır.

    Tıpkı dünyadaki diğer tüm web sitelerinde olduğu gibi, WordPress platformunda çalışan sitelerin tümü web sunucularında barındırılmaktadır. Karşılaşabileceğiniz, platformlarını kötü niyetli saldırılara karşı düzgün veya tam olarak korumayan bazı barındırma şirketleri vardır.

    Siteniz güvenli olmayan bir barındırma şirketi tarafından barındırılıyorsa, siteniz yalnızca saldırı potansiyeline açık olmakla kalmaz, aynı zamanda sunucularında barındırılan diğer tüm siteler de açıktır.

    Kaliteli bir WordPress barındırma sağlayıcısı seçmek, web sitenizin güvenli olduğundan ve kontrolünüz dışındaki bilgisayar korsanlığı girişimlerine açık olmadığından emin olmanıza yardımcı olacaktır. Aslında, düzgün bir şekilde güvenliği sağlanmış bir sunucu, en yaygın WordPress hackleme girişimlerini sizin için görünür hale gelmeden önce engelleyebilecektir.

    Barındırma sağlayıcınızdan alabileceğiniz kadar fazla koruma sağlamak için, güvenilir bir Yönetilen WordPress barındırma planı sunan bir sağlayıcı kullanmayı düşünebilirsiniz.

    Web siteniz için sağlam bir güvenlik kaydına sahip saygın bir ana bilgisayar seçin. Güvenebileceğiniz WordPress barındırma bulmak, azaltmaya çalışmanız gereken WordPress güvenlik açıklarının ilkidir.


    Zayıf Şifreler

    Zayıf parolalar bir bilgisayar korsanının hayalidir. Bu nedenle güvenli parolalar, WordPress sitenizi bilgisayar korsanlığı başarısından uzak tutmanın en büyük anahtarlarından biridir.

    Aşağıdaki hesapların her biri için çok benzersiz ve güçlü parolalar kullanmanız çok önemlidir. Bunlardan herhangi biri, kötü niyetli bir bilgisayar korsanının sitenize erişmesine ve itibarınıza ve markanıza zarar vermesine izin verebilir:

    • Tüm WordPress yönetici hesapları
    • Web sitesi barındırma kontrol paneliniz veya cPanel hesabınız
    • Tüm FTP hesapları
    • Web sitenizi güçlendirmek için kullanılan WordPress veritabanı
    • Barındırma hesabınız veya WordPress yöneticiniz için kullanılan tüm e-posta hesapları

    Bu anahtar hesapların her biri parola korumalıdır ve benzersiz ve kırılmaz bir parolanın uygulanması gerekir.

    Kolayca tahmin edilebilecek zayıf şifreler kullandığınızda, kötü niyetli bilgisayar korsanlarının, İnternet bağlantısı olan hemen hemen herkesin erişebileceği çok basit bilgisayar korsanlığı araçlarını kullanarak şifrelerinizi tamamen açık bir şekilde kırmalarını oldukça kolaylaştırır.

    Bu büyük sorun, bu hesap girişlerinin her biri için tamamen benzersiz olan güçlü parolalar kullanılarak kolayca önlenebilir.

    Halihazırda bir parolanız yoksa, hepsini bir not defterine yazmanıza gerek kalmadan tüm parolalarınızı güncel tutmanıza yardımcı olabilecek güvenilir bir parola yöneticisi kurmayı düşünün. Tabii ki, güçlü ve benzersiz şifreler bulmakta zorlanıyorsanız, size yardımcı olabilecek çeşitli ücretsiz çevrimiçi araçlar bulmak için yerleşik bir güçlü şifre üreticisi veya Google'ın “kırılmaz şifre üreticisi” terimini de kullanabilirsiniz.

    Sitenizin yönetici sayfasına en kolay erişimi sağladığından, WordPress girişinizin en sık saldırıya uğrayan WordPress güvenlik açığı olduğunu unutmayın. Kaba kuvvet saldırıları, WordPress girişinizden yararlanmanın en yaygın yöntemidir.

    Kaba kuvvet saldırısı, WordPress sitenizin arka ucuna erişmek için kullanıcı adı ve şifre kombinasyonlarını doğru bir şekilde tahmin etme girişimidir. Kaba kuvvet saldırıları etkili olabilir çünkü WordPress birinin yapabileceği giriş denemelerinin sayısını sınırlamaz.

    Giriş denemelerinin sayısını sınırlamak için iThemes Security Pro gibi bir WordPress güvenlik eklentisi kullanarak WordPress girişinizin güvenliğini güçlendirebilirsiniz. Giriş denemelerini sınırlamak, WordPress kaba kuvvet korumasının yalnızca ilk adımıdır.

    WordPress şifre güvenliğinize dikkat etmek, WordPress girişinizi güvence altına almak için de önemlidir ve bu nedenle rastgele güçlü şifreler oluşturmak ve bunları güvenli bir şekilde saklamak için bir şifre yöneticisi kullanmalısınız. Sitenizdeki her WordPress kullanıcısını güçlü bir parola kullanmaya zorlamak, kaba kuvvet saldırısının etkinliğini büyük ölçüde azaltacaktır.

    WordPress Çekirdeğini, Temalarını ve Eklentilerini Güncellemiyor

    WordPress siteniz, eklentilerin, temaların veya WordPress'in eski sürümlerini çalıştırdığında, sitenizde bilinen açıklardan yararlanma riskiyle karşı karşıya kalırsınız. WordPress Hacked'in en hızlı yolu, eski eklentiler, temalar veya çekirdektir. Güncellemeler yalnızca yeni özellikler veya hata düzeltmeleri için değildir; ayrıca bilinen açıklar için güvenlik yamaları da içerebilirler. Bu, WordPress güvenlik açıklarının önlenmesi en kolayı olsa da, çoğu başarılı bilgisayar korsanlığı, eski yazılımlarda bulunan açıkları kullanır.

    WordPress geliştirme dünyasında birçok site sahibi arasında garip bir korku var. Bazı nedenlerden dolayı, birçok WordPress kullanıcısı sitelerini WordPress'in en güncel sürümüne güncellemekten korkuyor. Korku, öyle görünüyor ki, WordPress çekirdeğine bir güncelleme çalıştırırken sitelerini bozma ve tüm çalışmalarını kaybetme riskiyle karşı karşıya kalıyorlar. Bir sorun varsa güncellemeden önce bir yedekleme çalıştırın, ancak WordPress saldırıya uğramanın en hızlı yolunun eski eklentiler, temalar veya WordPress çekirdeği olduğunu unutmayın.

    Gerçek şu ki, her yeni WordPress sürümü, hataları düzeltmek ve sizi güvenlik açıklarından ve saldırı potansiyelinden daha fazla korumak için tasarlanmıştır. Aslında, WordPress yazılımınızı tam olarak güncel tutmadıysanız, güncellemelerden kaçınarak sitenizi sorunlara karşı olduğundan çok daha savunmasız bırakıyorsunuz.

    Bir güncelleme çalıştırmanın sitenize zarar vereceğinden veya tamamen bozacağından korkuyorsanız, olası en kötü durum meydana geldiğinde sitenizi anında geri yükleyebilecek bir WordPress yedekleme eklentisi çalıştırmanız önemlidir.

    BackupBuddy, WordPress sitenizin her zaman tam olarak yedeklenmesini sağlamak için en iyi ve en kolay çözümlerden biridir. Bir şeyler ters giderse veya siteniz herhangi bir nedenle bozulursa, hızlı bir şekilde önceki sürümü geri getirebilir ve baştan başlayabilirsiniz.

    iThemes Security Pro WordPress sürüm yönetimi özelliğini kullanarak sitenizdeki güncellemeleri otomatikleştirebilirsiniz. Güncellemelerinizi otomatikleştirmek, sitenizi WordPress güvenlik açıklarına karşı koruyan kritik güvenlik yamalarını almanızı sağlar ve bonus olarak, WordPress sitenizi korumak için harcadığınız süreyi azaltır.

    WordPress çekirdek yazılımınızı sürekli olarak güncel sürüme güncel tutma konusunda tartıştığımız gibi, aynı şey sitenizde çalıştırdığınız temalar ve eklentiler için de geçerlidir.

    Aslında, temaları ve eklentileri tamamen güncel tutmak, WordPress'i güncellemek kadar önemlidir. Mevcut WordPress güvenlik düzeltmelerinden eski olan bir tema veya eklenti kullanıyorsanız, sitenizin tamamı kötü niyetli bilgisayar korsanlığı girişimlerine karşı daha savunmasızdır.

    Temalarda ve eklentilerde günlük olarak güvenlik hataları ve kusurları keşfedilir. Tipik olarak, kullandığınız temaların ve eklentilerin yazarları bu düzeltmeleri hızlı bir şekilde yayınlar ve kullanımınıza sunar. Ancak, bir değişikliğin kullanıma sunulduğu konusunda uyarı aldığınızda yazılımı güncellememeyi seçerseniz, geliştiricilerin sizin için yapabileceği pek bir şey yoktur.

    Tüm WordPress eklentilerinizi ve temalarınızı her zaman güncel tutmanız önemlidir. Ve yine, bir güncellemenin dahili bir çatışmaya neden olabileceğinden ve sitenizi bozabileceğinden endişeleniyorsanız, BackupBuddy sizi tam olarak kapsıyor.

    İki Faktörlü Kimlik Doğrulamayı Kullanmamak

    Güçlü parolalar kullanmanın yanı sıra, WordPress iki faktörlü kimlik doğrulaması eklemek, sitenizin girişlerini güvence altına almanın en iyi yöntemlerinden biridir. İki faktörlü kimlik doğrulama, kullanıcıların WordPress'te oturum açmak için kullanıcı adlarına ve şifrelerine ek olarak bir kimlik doğrulama belirteci kullanmasını gerektirir.

    Doğru bir kullanıcı adı ve parola, doğrudan bir kullanıcının e-postasından phishing olsa bile, kullanıcı kimlik doğrulama jetonunu almak için mobil uygulamayı kullanıyorsa, kötü niyetli oturum açma girişimi yine de önlenebilir. İki faktörlü kimlik doğrulama, WordPress sitenize inanılmaz derecede güçlü bir güvenlik katmanı ekler ve iThemes Security gibi bir eklenti kullanılarak kolayca eklenebilir.

    Aslında, Google'ın son araştırması, iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini doğruluyor. Bu ihtimalleri seviyorum. iThemes Security Pro, WordPress web sitelerine iki faktörlü kimlik doğrulama eklemeyi kolaylaştırır.

    Güvenilmeyen Kaynaklardan Yazılım Yükleme

    Hızlı bir Google araması, web genelinde premium veya ücretli WordPress temalarını ve eklentilerini tamamen ücretsiz olarak dağıtmaya çalışan düzinelerce web sitesini ortaya çıkaracaktır. Tabii ki, biraz para kazanmak için bu ücretsiz "boş" temaları ve eklentileri sitenize indirip yüklemek için cazip olmak kolaydır.

    Ancak bu son derece güvenilmez kaynaklardan eklentiler ve temalar indirmek sitenizin sağlığı için son derece tehlikelidir. Yalnızca site güvenliğinizi tehlikeye atmakla kalmazlar, aynı zamanda bilgisayar korsanları tarafından son derece hassas bilgileri çalmak için kolayca kullanılabilirler.

    Temaları ve eklentileri yalnızca onları oluşturan geliştiriciler veya resmi WordPress deposu gibi en güvenilir kaynaklardan indirmeyi unutmayın.

    Premium bir ürünün maliyetini karşılayamıyorsanız veya sadece bir tane satın almak istemiyorsanız, aralarından seçim yapabileceğiniz binlerce ücretsiz ve güvenilir tema ve eklenti var. Ücretsiz sürümler, ücretli sürümler kadar etkili olmasa da, yapmak istediğinizi gerçekleştirmenize ve sitenizi saldırılara karşı korumanıza yardımcı olabilir.

    Bakmak için biraz zaman ayırırsanız, bazı popüler (ve güvenli) ücretli temalarda ve eklentilerde indirim kodları bile bulabilirsiniz.

    Yalnızca güvenilir kaynaklardan gelen WordPress eklentilerini ve temalarını yükleyin. Yalnızca WordPress.org'dan, tanınmış ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımları yüklemelisiniz. Kötü amaçlı kod içerebilecekleri için ticari eklentilerin "boş" sürümlerinden kaçınmak isteyeceksiniz. Kötü amaçlı yazılım yükleyen sizseniz, WordPress sitenizi nasıl kilitlediğinizin bir önemi yoktur.

    WordPress eklentisi veya teması geliştiricinin web sitesinde dağıtılmıyorsa, eklentiyi indirmeden önce gerekli özeni göstermek isteyeceksiniz. Ürünlerini ücretsiz veya indirimli fiyatla sunan web sitesine herhangi bir şekilde bağlı olup olmadıklarını öğrenmek için geliştiricilere ulaşın.

    Ayrıca, terk edilmiş WordPress eklentilerini kullanmaktan kaçının. WordPress sitenize yüklenen herhangi bir eklenti altı ay veya daha uzun bir süre içinde bir güncelleme almadıysa, terk edilmediğinden emin olmak isteyebilirsiniz. Bir eklentinin son güncellemeleri olmaması, mutlaka terk edildiği anlamına gelmez, sadece özelliğin tamamlandığı ve yalnızca WordPress ve PHP'nin en son sürümleriyle uyumluluğu sağlamak için güncellemeler alacağı anlamına gelebilir.

    Bonus: SSL Olmayan Bir Web Sitesi Çalıştırmak

    Birisi WordPress sitenizi ziyaret ettiğinde, cihazı ile sunucunuz arasında bir iletişim hattı başlar. İletişim doğrudan bir hat değildir ve ziyaretçi ile sunucunuz arasında iletilen bilgiler, nihai hedefine ulaştırılmadan önce birkaç duraklama yapar.

    Şifrelemenin nasıl çalıştığını daha iyi anlamak için çevrimiçi alışverişlerinizin nasıl teslim edildiğini düşünün. Teslimat durumunu daha önce takip ettiyseniz, siparişinizin evinize varmadan önce birkaç kez durduğunu görmüşsünüzdür. Satıcı satın aldığınız ürünü düzgün bir şekilde paketlemediyse, insanların satın aldığınız ürünü görmesi kolay olacaktır.

    Bir ziyaretçi WordPress sitenize giriş yaptığında ve ödeme bilgilerini girdiğinde, bu bilgiler varsayılan olarak şifrelenmez. Bu nedenle, ambalajsız satın alma işleminizde olduğu gibi, ziyaretçinin bilgisayarı ile sunucunuz arasındaki her durakta oturum açma kimlik bilgilerinin ve kredi kartı ayrıntılarının keşfedilmesi için bir fırsat vardır.

    Neyse ki, şifrelenmemiş iletişim, hafifletilmesi en kolay WordPress güvenlik açıklarından biridir. Size bir SSL sertifikası eklemek, yalnızca hedeflenen alıcıların paylaşılan hassas bilgileri görebilmesini sağlamak için sitenizdeki iletişimi şifrelemenin ve paketlemenin harika bir yoludur. Barındırıcınız, WordPress sitenize bir SSL sertifikası eklemek için bir hizmet sağlayabilir veya SSL sertifikasını kendiniz ekleyebilirsiniz.

    Kendin yap yoluna gitmeye karar verirseniz, certbot kullanmanızı tavsiye ederim. Certbot, sitenize bir Let's Encrypt sertifikası eklemeyi ve SSL sertifikanızı otomatik olarak yenileyecek şekilde ayarlamayı çok kolaylaştırır. Web sitenize nasıl SSL sertifikası ekleyeceğinizi öğrenmek için WordPress HTTPS eğitimimize de göz atabilirsiniz.

    Hacklendim – Şimdi Ne?

    Baktığımız senaryo, bir temanın şablon dosyalarından birine (veya daha fazlasına) kötü amaçlı kod enjekte edilmesidir. Bu tür kodlar daha sonra diğer tema dosyalarını veya aslında sunucudaki herhangi bir dosyayı etkileyebilir (ve bulaştırabilir). Paylaşılan bir barındırma hesabında bu, sitenizin aynı sunucuda barındırılan başka bir siteden etkilenebileceği anlamına gelebilir. Şimdi bu korkutucu bir düşünce.

    • Sitede farklı aralıklarla kötü amaçlı kod enjekte etmeye devam eden bir komut dosyası kalmadığından emin olmak için WordPress kurulumunuzdaki tüm dosyaları gözden geçirin.
    • Tüm FTP, cPanel, tüm WordPress şifrelerini ve WordPress tuzlarınızı ve anahtarlarınızı değiştirin. Saldırı, saldırganın yönetici oturum açma kimlik bilgilerinizi ele geçirmesi nedeniyle gerçekleştiyse ve bunları değiştirmediyseniz, daha sonraki bir tarihte dosyaları otomatik olarak yeniden değiştirmelerini engelleyecek hiçbir şey yoktur.
    • Sunucunuza bağlanan tüm sistemlerin kapsamlı bir taramasını yapın (FTP veya diğer yöntemlerle). Etrafta dolaşan ve oturum açma ayrıntılarını koklayabilen virüsler var. Yani tüm şifrelerinizi değiştirseniz bile, sadece bir sistem böyle bir virüse maruz kalsa, o sisteme bağlı tüm sunucular/siteler saldırıya uğramaya devam edecektir.
    • Saldırıdan önce yapmış olduğunuz bir WordPress yedeğiniz varsa, bu yedekten geri yüklemeyi deneyebilir, saldırının yerinde olup olmadığını görmek için dosyaları kontrol edebilir ve oradan gidebilirsiniz.
    • Sitelerinizin her birini iyice temizleyin. Yalnızca virüslü bir dosya değişikliğini kaldırmayın veya bir tarayıcı eklentisi çalıştırmayın. Sitenizdeki her dizini gözden geçirin ve şüpheli dosyaları arayın. Bu süreçte yardımcı olması için barındırma şirketinizle konuşmak ve/veya Sucuri gibi bir danışman tutmak isteyebilirsiniz. Sitede güvenliği ihlal edilmiş bir dosya veya gizlice yerleştirilmiş bir komut dosyası bile kalırsa, bu, saldırgan tarafından sitenizin güvenliğinin güvenliğini yeniden baştan sona otomatik olarak aşmak için kullanılabilir.
    İPUCU: Tek başınıza gitmeyin. Yedekleme desteğinize, barındırma desteğinize ve diğer destek seçeneklerine ulaşın. WordPress topluluğu da yardımcı olabilir. Ancak her şey başarısız olduğunda, saldırıyla mücadele etmenize yardımcı olacak saygın bir WordPress web sitesi destek şirketi bulun.

    WordPress'in hacklenmiş blueslarından kaçınmanın en iyi yolu farklı bir melodi söylemektir.

    Web Sitenizi Hacked WordPress'ten Koruyun ve Güvene Alın

    Web sitenizin güvenliğinin ihlal edilmesinin ne kadar tehlikeli olabileceğini bilmek, WordPress güvenlik stratejinizi uygulamaya başlamak için ihtiyacınız olan katalizör olabilir.

    1. Her Şeyi Güncelleyin – Güncellemeler yalnızca harika yeni özellikler ve hata düzeltmeleri için değildir. Eklenti ve güncellemeleri, bilinen güvenlik açıkları için kritik güvenlik yamaları içerebilir. Sitenizi güvende ve güncel tutun.
    2. İki Faktörlü Kimlik Doğrulamayı Kullanın – Bu blog gönderisinde, Yeni araştırma: Temel hesap hijyeni, ele geçirmeyi önlemede ne kadar etkilidir, Google, iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini belirtti. Bu ihtimalleri seviyorum. iThemes Security Pro, WordPress web sitelerine iki faktörlü kimlik doğrulama eklemeyi kolaylaştırır.
    3. Ele Geçirilmiş Parolaları Reddet – Bir veri ihlali, genellikle, bir sitenin güvenliği ihlal edildikten sonra açığa çıkan kullanıcı adlarının, parolaların ve genellikle diğer kişisel verilerin bir listesidir. Web sitenizin kullanıcılarının, güvenliği ihlal edildiği bilinen şifreleri kullanmasına izin vermeyi reddetmek, sitenizin güvenliğini önemli ölçüde artırabilir. iThemes Security Pro'yu kullanarak güvenliği ihlal edilmiş parolaları kolayca reddedebilirsiniz.
    4. Güvenilir Kaynaklardan Yazılım Yükleyin – Yalnızca WordPress.org'dan, iyi bilinen ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımı yüklemelisiniz. Kötü amaçlı kod içerebilecekleri için ticari eklentilerin "boş" sürümlerinden kaçınmak isteyeceksiniz. Kötü amaçlı yazılım yükleyen sizseniz, WordPress sitenizi nasıl kilitlediğinizin bir önemi yoktur.
    5. WordPress Güvenlik Günlüğü Ekleme – WordPress güvenlik günlükleri, WordPress web sitenizdeki etkinlikler hakkında ayrıntılı veriler ve bilgiler sağlar. Günlüklerinizde ne arayacağınızı biliyorsanız, sitenizdeki kötü niyetli davranışları hızla tespit edebilir ve durdurabilirsiniz. Web sitenize WordPress güvenlik günlüklerini nasıl ekleyeceğinizi öğrenin.
    6. Eklentileri ve temaları indirirken çok dikkatli olun – Bilinmeyen sitelerden gelen eklentiler ve temalar, bilgisayar korsanlarının işini kolaylaştıran kodlarla tehlikeye girebilir. Bazı eklenti/tema virüsleri, sitedeki diğer tüm eklenti ve temalara otomatik olarak bulaşmak üzere tasarlanmıştır. Bu, soruna neden olanı temizleseniz bile diğerlerine virüs bulaştığı anlamına gelir.
    7. Bir yedekleme planınız olsun (ve güvenilir hale getirin) – WordPress sitenizi erkenden yedekleyin ve sık sık yedekleyin. Sitenizin sağlıklı bir tam yedeğine sahip olmak anahtardır. Birkaç yedekleme dosyasının bir arşivini tutun. Felaket olursa, sitenizi geri yüklemek için (sunucu temizlendikten sonra) bir yedeğe ihtiyacınız olacaktır. Yedekleme dosyalarıyla ilgili hızlı ipucu: Ara sıra yedek dosyalarınızın bazı test geri yüklemelerini çalıştırın. Geri yükleyemeyeceğiniz bir yedeğe sahip olmak, muhtemelen olabilecek en kötü şeydir (saldırıya uğradıktan sonra). BackupBuddy, katılımsız çalışacak ve yedekleme dosyalarının uzak bir konuma kaydedilebileceği zamanlanmış yedeklemeler ayarlamanıza olanak tanıyan bir WordPress yedekleme eklentisidir. Bu, her zaman sağlıklı bir yedekleme dosyanız olacağı konusunda size gönül rahatlığı sunmalıdır.

    WordPress Hacklenmesinin Arkasındaki En Önemli Nedenler

    WordPress güvenlik açıkları korkutucu olsa da, iyi haber şu ki, çoğu WordPress güvenlik açığı, kötü adamlar bunları kullanma şansı bulamadan önce keşfedilir ve yamalanır. WordPress çekirdeğini ve eklentinizi ve temalarınızı güncel tutarak web sitenizi güvenlik açıklarına karşı korumaya yardımcı olabilirsiniz, en son güvenlik yamalarını aldığınızdan emin olmanın en iyi yolu budur.

    Bir WordPress eklentisinde bulabileceğiniz en sağlam site güvenliği için, iThemes Security Pro gibi güçlü WordPress güvenlik eklentisini kullanmayı deneyin.

    WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 30'dan fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

    iThemes Security Pro'yu şimdi edinin

    Michael Moore

    Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.

    Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

    Tags

    Check Also

    Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

    Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

    Bir Cevap Yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

    Powered by WordPress | Designed by TieLabs
    © Copyright 2026, All Rights Reserved