Yaygın WordPress Saldırıları ve Bunları Durdurma

Yaygın WordPress Saldırıları ve Bunları Durdurma

WordPress, on yıldan uzun bir süredir önde gelen içerik yönetim sistemlerinden (CMS) biridir. İnternetin en büyük bloglarının birçoğunun yanı sıra çok sayıda küçük, bireysel site, metin, resim ve video içeriğini dünya çapında web’de yayınlamak için WordPress çerçevesinde çalışır.


Bir WordPress web sitesinde hem ön uç hem de arka uç arayüzü bulunur. Ön uç, dışarıdan gelen ziyaretçilerin web sayfasını yüklediklerinde görecekleri görünümü sağlar. Arka uca, içerik hazırlama, tasarlama ve yayınlamadan sorumlu site yöneticileri ve katkıda bulunanlar tarafından erişilebilir.

Diğer tüm internet tabanlı sistemlerde olduğu gibi, WordPress de saldırı girişimlerini ve diğer siber suç türlerini hedeflemektir. Bu şimdi dikkate daha mantıklı % 32 Internet WordPress üzerinde çalışır. Bu makalede, yazılımdaki en yaygın WordPress saldırılarından bazılarını gerçekleştireceğiz ve ardından bunlara karşı nasıl savunma yapacağınız ve web sitenizi nasıl güvende tutacağınıza dair öneriler sunacağız.

Yaygın WordPress Saldırı Yöntemleri

İlk olarak WordPress site sahiplerinin karşılaşabileceği ortak saldırıya bakalım.

1. SQL Enjeksiyonu

Yaygın WordPress Saldırıları: SQL Enjeksiyonu

WordPress CMS platformu, meta veri bilgilerini ve diğer yönetim bilgilerini depolayan bir veritabanı katmanına dayanır. Örneğin, tipik bir SQL tabanlı WordPress veritabanı kullanıcı bilgilerini, içerik bilgilerini ve site yapılandırma verilerini içerecektir.

Bir bilgisayar korsanı SQL enjeksiyon saldırısı gerçekleştirdiğinde, özelleştirilmiş bir veritabanı komutunu çalıştırmak için giriş alanı veya URL yoluyla bir istek parametresi kullanır. “SELECT” sorgusu, bilgisayar korsanının veritabanından fazladan bilgi görüntülemesine izin verirken, “UPDATE” sorgusu verileri gerçekten değiştirmelerine izin verir.

2011 yılında Barracuda Networks adında bir ağ güvenlik şirketi, SQL enjeksiyon saldırısı. Bilgisayar korsanları, tüm Barracuda web sitesinde bir dizi komut çalıştırdı ve sonunda şirketin birincil veritabanına portal olarak kullanılabilecek savunmasız bir sayfa buldular.

2. Siteler Arası Komut Dosyası Oluşturma

XSS olarak da bilinen bir siteler arası komut dosyası saldırısı, SQL enjeksiyonuna benzerdir; uygulamanın arkasındaki veritabanı yerine bir web sayfasındaki JavaScript öğelerini hedefler. Başarılı bir saldırı, dışarıdan gelen bir ziyaretçinin özel bilgilerinin tehlikeye girmesine neden olabilir.

Bir XSS saldırısı ile bilgisayar korsanı bir yorum alanı veya başka bir metin girişi aracılığıyla bir web sitesine JavaScript kodu ekler ve ardından diğer kullanıcılar sayfayı ziyaret ettiğinde bu kötü amaçlı komut dosyası çalıştırılır. Sahte JavaScript genellikle kullanıcıları şifrelerini veya diğer tanımlayıcı verilerini çalmaya çalışan sahte bir web sitesine yönlendirir.

EBay gibi popüler web siteleri bile XSS saldırılarının hedefi olabilir. Geçmişte, bilgisayar korsanları başarıyla ekledi ürün sayfalarına zararlı kod ve müşterileri sahte bir web sayfasına giriş yapmaya ikna etti.

3. Komut Enjeksiyonu

WordPress gibi platformlar üç ana katman üzerinde çalışır: web sunucusu, uygulama sunucusu ve veritabanı sunucusu. Ancak bu sunucuların her biri, Microsoft Windows veya açık kaynaklı Linux gibi belirli bir işletim sistemine sahip bir donanım üzerinde çalışıyor ve bu, ayrı bir potansiyel güvenlik açığı alanını temsil ediyor.

Komut enjeksiyon saldırısıyla, bir bilgisayar korsanı metin alanına veya URL’ye SQL enjeksiyonuna benzer kötü amaçlı bilgiler girer. Aradaki fark, kodun “ls” komutu gibi yalnızca işletim sistemlerinin tanıyacağı bir komut içermesidir. Yürütülürse, ana makine sunucusundaki tüm dosyaların ve dizinlerin bir listesi görüntülenir.

İnternete bağlı bazı kameralar, komut enjeksiyon saldırılarına karşı özellikle savunmasız bulundu. Ürün yazılımları, bir haydut komutu verildiğinde sistem yapılandırmasını dış kullanıcılara düzgün şekilde gösterebilir.

4. Dosya Ekleme

Yaygın WordPress Saldırıları: Dosya Ekleme

PHP ve Java gibi yaygın web kodlama dilleri, programcıların kodlarından harici dosyalara ve komut dosyalarına başvurmalarını sağlar. “İnclude” komutu, bu tür etkinliklerin genel adıdır.

Belirli durumlarda, bir bilgisayar korsanı, web sitesinin URL’sini değiştirerek kodun “dahil et” bölümünü tehlikeye atabilir ve uygulama sunucusunun diğer bölümlerine erişebilir. WordPress platformu için bazı eklentilere karşı savunmasız olduğu bulundu dosya içerme saldırıları. Bu tür saldırılar meydana geldiğinde, sızma yapan kişi birincil uygulama sunucusundaki tüm verilere erişebilir.

Koruma İpuçları

Şimdi nelere dikkat edeceğinizi bildiğinize göre, WordPress güvenliğinizi güçlendirmenin birkaç kolay yolu. Açıkçası, sitenizi güvenli hale getirmenin aşağıda belirtilenden çok daha fazla yolu vardır, ancak bunlar, başlayacak hackerlarda etkileyici getiriler sağlayabilecek nispeten basit yöntemlerdir..

1. Güvenli Ana Bilgisayar ve Güvenlik Duvarı Kullanın

WordPress platformu yerel bir sunucudan çalıştırılabilir veya bir bulut barındırma ortamı üzerinden yönetilebilir. Güvenli bir sistemi korumak amacıyla, barındırılan seçenek tercih edilir. Piyasadaki en iyi WordPress ana makineleri SSL şifrelemesi ve diğer güvenlik koruması biçimlerini sunacak.

Yaygın WordPress Saldırıları: Güvenlik Duvarı

Barındırılan bir WordPress ortamını yapılandırırken, uygulama sunucunuz ile diğer ağ katmanları arasındaki bağlantıları koruyacak bir iç güvenlik duvarının etkinleştirilmesi önemlidir. Güvenlik duvarı, yalnızca meşru isteklerin işlenmesine izin verildiğinden emin olmak için katmanlar arasındaki tüm isteklerin geçerliliğini kontrol eder.

2. Temaları ve Eklentileri Güncel Tutun

WordPress topluluğu, CMS platformunun gücünden yararlanmak için sürekli olarak yeni temalar ve eklentiler üzerinde çalışan üçüncü taraf geliştiricilerle doludur. Bu eklentiler ücretsiz veya ücretli olabilir. Eklentiler ve temalar her zaman doğrudan WordPress.org web sitesinden indirilmelidir.

Harici eklentiler ve temalar, uygulama sunucunuzda çalıştırılacak kod içerdiğinden riskli olabilir. Yalnızca saygın bir kaynaktan ve geliştiriciden gelen eklentilere güven. Ek olarak, geliştiriciler güvenlik geliştirmelerini yayınlayacağından eklentileri ve temaları düzenli olarak güncellemelisiniz..

İçinde WordPress yönetici konsolu, “Güncellemeler” sekmesi “Gösterge Tablosu” menü listesinin en üstünde bulunabilir.

3. Bir Virüs Tarayıcısı ve VPN yükleyin

WordPress’i yerel bir ortamda çalıştırıyorsanız veya barındırma sağlayıcınız üzerinden tam sunucu erişimine sahipseniz, işletim sisteminizde sağlam bir virüs tarayıcısının çalıştığından emin olmanız gerekir. WordPress sitenizi Virus Total gibi taramak için ücretsiz araçlar, güvenlik açıklarını aramak için tüm kaynakları kontrol edecektir.

WordPress ortamınıza uzak bir konumdan bağlanırken, her zaman yerel bilgisayarınız ile sunucu arasındaki tüm veri iletişiminin tamamen şifrelenmesini sağlayacak bir sanal özel ağ (VPN) istemcisi kullanmalısınız..

4. Kaba Kuvvet Saldırılarına Karşı Kilitleme

En popüler ve yaygın WordPress saldırılarından biri, kaba kuvvet saldırıları olarak adlandırılır. Bu, bir bilgisayar korsanının “ön kapı” da gevşediği otomatik bir programdan başka bir şey değildir. Orada oturur ve binlerce farklı şifre kombinasyonunu denedi ve doğru olanı taklit etmeye değerdi..

İyi haber şu ki, kaba kuvveti ortadan kaldırmak için kolay bir yol var. Kötü haber şu ki, çok fazla site sahibi düzeltmeyi uygulamıyor. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı’na bakın. Ücretsizdir ve giriş denemelerinde kesin bir sınır belirlemenize olanak tanır. Örneğin, üç denemeden sonra eklenti önceden belirlenmiş bir süre boyunca siteyi bu IP adresiyle başka girişlere karşı kilitler. Ayrıca, kilitleme özelliğinin tetiklendiğine dair bir e-posta bildirimi alırsınız.

5. İki Faktörlü Kimlik Doğrulama

Sitenizi güvence altına almanın bu şık yöntemi, bilgisayar korsanının büyük olasılıkla iki cihazınızı aynı anda kontrol edemeyeceğine dayanır. Örneğin, bir bilgisayar VE cep telefonu. İki Faktörlü Kimlik Doğrulama (2FA), Web sitenizin web sitesinde oturum açmayı iki adımlı bir sürece dönüştürür. Her zamanki gibi, normal şekilde giriş yaparsınız, ancak daha sonra telefonunuza gönderilen ek bir kod girmeniz istenir.

Zeki, ha? Bu ek adım, giriş bilgisini farklı adımlara ayırarak sitenizin güvenliğini katlanarak artırır. Şuna göz at ücretsiz eklentilerin listesi 2FA kurmanıza yardımcı olur. Sitenizle uğraşmaya çalışmayı düşünen bilgisayar korsanları muhtemelen zihinlerini değiştiriyor.

Sonuç

% 100 güvenli bir web sitesi gibi bir şey olmasa da, web sitenizi korumak için atabileceğiniz birçok adım vardır. İyi bir güvenlik duvarı kullanmak, temalarınızı ve eklentilerinizi güncel tutmak ve düzenli aralıklarla virüs taraması yapmak çok büyük bir fark yaratabilir.

Web sitesi güvenliğini ebedi yinelemeli bir süreç olarak düşünmeye yardımcı olabilir. Geri adım attığınızda ve bunun “tamamlanmış” olduğunu düşündüğünüzde asla bir noktaya gelmemelisiniz, çünkü bilgisayar korsanları ve web sitesi savunucuları arasındaki oyun asla durmayacak, resmi olarak onaylanmış çevrimiçi oyuncular bile çevrimiçi gözetim iş. Yalnızca en son tehditler ve bunların nasıl geri alınabileceği hakkında bilgi sahibi olarak siber güvenlik ve çevrimiçi gizliliği koruyabileceksiniz.

Dünyanın bu şekilde olması çok kötü ama kabul et ve devam et. Daha önce hiç yapmadıysanız, şimdi birkaç saygın siber güvenlik haber sitesini bulmak için iyi bir zaman olacaktır. Haber bültenlerine abone olun ya da en azından düzenli ziyaretler yapın. “Siber güvenlik haberleri” için bir Google (veya seçtiğiniz arama motoru) araması yaparak başlayın.

Bir sorunuz veya eklemek için başka ipuçlarınız mı var? Bir yorum bırakın ve bize bildirin.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map