Yeni WordPress Web Sitesi Güvenliğiniz Hakkında Korkutucu Ancak İnkar Edilemez 4 Gerçek

Bu basit bir sayı oyunu. Milyonlarca insan bir sistemi kullanıyorsa, o sistemden yararlanmayı öğrenen çok daha fazla insan vardır. WordPress şu anda tüm İnternet'in ~%28'ini ve dünyanın en çok kullanılan CMS'sini çalıştırıyor. Bu, WordPress sitelerini iyi niyetli olmayan insanlar için popüler bir ceviz yapar.

WordPress geliştiricisi ve Codeable uzmanı Liam Bailey'e göre:

Bazıları iyi, bazıları kötü amaçlı açıklar bulmaya çalışan bilgisayar korsanlarının sayısı çok fazla. Ve WordPress'in popülaritesi nedeniyle, bu istismarlar hızla keşfedilmekte, istismar edilmekte ve/veya duyurulmaktadır.

Yeni "pişmiş" WordPress web sitenizi yeni açtığınıza göre artık konuşma zamanı. Gerçeği halledebilir misin? İşte burada: bilgisayar korsanlarını web sitenizden uzak tutmak için sahip olduğunuz tek şey giriş bilgileriniz ve şifreniz.

Çok korkutucu, biliyorum. Aslında, bilmeniz gereken yeni bir WordPress web sitesi güvenliği hakkında 4 tartışılmaz gerçek var. Şimdilik çok fazla endişelenme. İyileştirilecek çok yer var.

Başlamaya hazır? Harika!

El değmemiş WordPress dosyaları saldırıya eğilimlidir

Yeni bir WordPress kurulumu, size çalışan bir site ve çalışan bir veritabanı sağlar. Ana sorun, vanilya WordPress dosyalarının ve veritabanı girişlerinin bir bilgisayar korsanının veya başka bir veri hırsızının isteyebileceği tüm bilgileri içermesidir.

Liam'ın belirttiği gibi:

`wp-login.php` dosyasının çoğu sitenin giriş formu olduğunu herkes bilir. Bu yüzden kaba kuvvet saldırganları için acil bir giriş noktasıdır. Onlar (botlar) giriş formunuzu aramak zorunda değiller.

Bu, botların istedikleri sürece bir WordPress giriş sayfasına art arda saldırabileceği anlamına gelir. Veya sadece web sitenize erişene kadar.

Web sitesi veritabanınız için aynı hikaye: varsayılan wp_ öneki , yeni bir WordPress kurulumunun beraberinde geldiği şeydir. Özellikle, veritabanınızda depolanan tüm öğeler bu tek önekle başlayacaktır. Bu fazla bilinen faktör, saldırganların ve bilgisayar korsanlarının veritabanınıza kötü şeyler yapmasına yardımcı olabilir. En önemlisi, bilgisayar korsanlarının tüm WordPress web sitenize tam erişime sahip ayrı bir yönetici kullanıcı oluşturabileceği, SQL enjeksiyonu olarak bilinen bir saldırıdır.

Bu nedenle dosyalara (ve klasörlere) dokunmadan bırakmak bir WordPress kurulumuna gerçekten zarar verebilir, ancak Liam'ın belirttiği gibi bu kolayca geliştirilebilecek bir şeydir:

Veritabanı önekinizi yeniden adlandırmak ve WP oturum açma dosyanızı taşımak, temelde tek seferlik işlemlerdir. Ve bir kez bittiğinde, bittiler. Sürekli çalışan bir şey değil.

WordPress çekirdek dosyalarınızı, temalarınızı ve eklentilerinizi güncellememek web sitenizi güvenlik açıklarına açar

WordPress ekibi yeni bir sürüm çıkardığında, güvenlik yamalarıyla doludur. Birçok kişi WordPress kurulumlarını uzun süre güncellemeden bırakacaktır. Bilgisayar korsanları bunu biliyor ve aktif olarak bu WordPress sitelerini arıyor.

Liam'ı açıklıyor:

WordPress'inizi güncel tutmazsanız, temelde bilgisayar korsanlarına ücretsiz bir yolculuk sağlar. Tek yapmaları gereken eski bir sürüm kullandığınızı bulmak ve zaten bilinen güvenlik açıklarından doğrudan yararlanmaya başlayabilirler. Aslında, pratik olarak onlar için yapan araçlar var. Ben yapabilirim, sen yapabilirsin, onlar yapıyorlar.

Eklentiler ve temalar, WordPress sitelerine birçok ekstra özellik ve işlevsellik ekler. Bu özellikle e-ticaret mağazaları için geçerlidir. WordPress ekibinin yanı sıra eklenti ve tema geliştiricileri de güvenlik açıklarını yamalıyor ve rutin olarak güncellemeler yayınlıyor.

Güncellemeler söz konusu olduğunda, Liam şöyle diyor:

Eklentilerinizin, temalarınızın ve WordPress'inizin güncel olduğundan emin olun. Bu, muhtemelen sizi ana saldırı biçimlerine karşı korumak için iyi güvenlik eklentilerine sahip olmanın yanı sıra en büyük faktördür.

Web sitenizin saldırıya uğramasını önlemenin yarısı, onu güncel tutmaktır: WordPress çekirdek dosyalarınız, temanız ve eklentileriniz, özel kodlanmış olsalar bile her zaman en son sürümleriyle güncel tutulmalıdır.

Ayrıca kullanılmayan eklentilerden, tema dosyalarından ve aktif olmayan kullanıcılardan kurtulmayı da unutmamalısınız. Bunlar genellikle unutulur, WordPress kurulumunuzda sessizce çalışmaya devam eder, ancak zarar vermek isteyenlere bir yol sağlayabilirler.

Mevcut barındırma sağlayıcılarınız güvenlikten yoksun olabilir

Barındırma sağlayıcınız, web sitenizin güvenliği söz konusu olduğunda önemli bir oyuncudur. Bugün, WordPress siteleri için ek güvenlik katmanlarına sahip oldukları ve kendi sitenizin güncel kalmasını sağladığı için kontrol etmeniz gereken WordPress için optimize edilmiş çok sayıda barındırma sağlayıcısı var.

WP Engine, Cloudways, Kinsta, kontrol etmeniz gereken güvenilir sağlayıcılardır. Liam'ın belirttiği gibi:

Yönetilen WordPress ana bilgisayarları, güvenlik konusunda gerçekten başarılıdır. Fail2ban gibi şeyler için zaten kendi adımları var ve çok fazla giriş yapmadıkları takdirde kullanıcıları engelliyorlar. İnsanların WordPress sitenize saldırmak için geldiği ana yolları biliyorlar ve buna karşı koruma sağlıyorlar. Sizi zaten koruyorlar, savunmada fazladan bir adım ve ayrıca sizi eklentileri ve temaları güncellemeye zorluyorlar ki bu, bunu yapmazsanız gerçekten büyük bir risk alanıdır.

Herhangi bir güvenlik eklentisi kullanmıyorsanız, web sitenizin güvenliğini tehdit ediyorsunuz demektir.

WordPress, deposunda 52.3K'dan fazla kullanılabilir eklentiye sahiptir. Ve güvenlik önünüzde olduğunda, sitenizin güvenliğini son derece artıracak 3 eklenti vardır: iThemes Security, Wordfence ve Sucuri Scanner.

Aslında, Liam şunu düşünüyor:

iThemes Security, Wordfence ve Sucuri Security, düzgün bir şekilde kurulduğunda ortalama WordPress sitesini saldırıların %99'una karşı gerçekten güvence altına alacak üç ana eklentidir.

Bu eklentiler ve hizmetler, yukarıda belirtilen tüm endişelere gerçekten yardımcı olabilir. Bu, veritabanı öneklerini değiştirmeyi ve temel WordPress dosyalarınızı korumayı içerir. Sitenizi yavaşlatmazlar ve işinize karışmazlar. Ancak bunları doğru şekilde ayarlamak bazıları için zor olabilir, bu yüzden bunu sizin için yapması için bir profesyonel kiralamayı düşünebilirsiniz. Genellikle, 2 saatlik zaman diliminde.

toparlamak

Yeni WordPress web siteniz, hiçbir şey yapmazsanız kötü niyetli saldırganlar için boşluklar olarak çalışabilecek birkaç hareketli parçadan oluşur. Gerçekleşmesini engellediğiniz olası kayıplarla karşılaştırırsanız, bu parçaları düzgün bir şekilde sabitlemek çok pahalıya mal olmaz. Ve bazen, çok temel ihtiyaçlar için, belirli eklentiler sayesinde güvenlik ücretsiz bile olabilir. Ancak, güvenliğin asla tek bir görev olmadığını unutmamalısınız; her şeyin olması gerektiği gibi çalışması için tutarlı bakım ve bakım gerektirir.

---

Bu blog gönderisinde, Codeable aracılığıyla müşteriler için başarıyla teslim edilen 500'den fazla projeyle Webby Scots'un arkasındaki geliştirici olan Liam Bailey yer alıyor. WordPress'in birçok alanında uzman olan Liam, aynı zamanda web sitesi güvenliği konusunda da araştırma yapıyor ve uzmanlaşıyor. Liam, serbest çalışmaya dönmeden önce Codeable'da şirket içinde çalışmak ve dünyanın her yerinden daha fazla müşteriye yardımcı olmak da dahil olmak üzere birçok mutlu müşterinin WordPress sitelerini geliştirmesine yardımcı oldu.