Tasarım Kodlama

WordPress Sitenizin Hacklenmesinin 10 Nedeni (ve nasıl durduracağınız)

Saldırıya uğramış bir WordPress sitesi, evinizin soyulması kadar zararlıdır. İç huzurunuzu tamamen bozabilir ve çevrimiçi işinizi olumsuz yönde etkileyebilir.

Bilgisayar korsanları neden WordPress sitelerini hedef alıyor? Cevap nispeten basit: WordPress bugünlerde web sitesi oluşturmak için en büyük platformdur, bu nedenle saldırmak için daha geniş bir taban var; bu, çevrimiçi suçluların dikkatini çekiyor.

Peki, bir saldırı web sitenizi nasıl etkileyebilir?

Saldırının türüne bağlı olarak, web siteniz aşağıdakilerden herhangi birine maruz kalabilir:

  • Tamamen tahrif edilebilir;
  • Herhangi bir cihaza çok yavaş yüklenebilir veya çalışabilir;
  • Tamamen çökebilir ve arızalanabilir;
  • Korkunç “White Screen of Death” ni gösterebilirdi;
  • Gelen ziyaretçileri diğer şüpheli web sitelerine yönlendirilebilir;
  • Tüm değerli müşteri verilerinizi kaybedebilir.

Bu listesi kapsamlı değil ama fikri anladınız.

Artık başarılı bir saldırının web sitenizi ve çevrimiçi işinizi nasıl etkileyebileceğini bildiğimize göre, WP saldırılarının arkasındaki en önemli 10 nedene bakalım ve bunları önleyelim.

Güvenli Olmayan Web Barındırıcısı

Herhangi bir web sitesi gibi, WordPress de bir web barındırıcı veya sunucuda barındırılır. Ne yazık ki, çoğu site sahibi, seçtikleri web barındırıcısına fazla dikkat etmiyor ve bulabildikleri en ucuzunu seçiyor. Örneğin, sunucu kaynaklarını sizinki gibi diğer birçok web sitesiyle paylaşan paylaşılan bir barındırma planında bir web sitesini barındırmak daha ekonomiktir.

Bu, sitenizi, paylaşılan sunucudaki herhangi bir web sitesine başarılı bir saldırı olarak bilgisayar korsanlarına karşı savunmasız hale getirebilir. Saldırıya uğramış tek bir site, genel sunucu bant genişliğini tüketebilir ve diğer tüm sitelerin performansını etkileyebilir.

Bu sorunu çözmenin tek yolu, güvenilir bir ana bilgisayar ve sanal veya özel bir sunucu seçmektir.

Uzman ipucu: Halihazırda paylaşılan bir barındırma planı kullanıyorsanız, barındırıcınıza VPS barındırma sunup sunmadıklarını kontrol edin ve geçiş yapın.

Zayıf Parolaların Kullanımı

Zayıf şifreler, hesabınızı hedef alan başarılı kaba kuvvet saldırılarının arkasındaki ana nedendir. Bugüne kadar bile, kullanıcılar “şifre” veya “123456” gibi zayıf ve yaygın şifreleri kullanmaya devam ediyor; Eğer onlardan biriyseniz, web sitenizin başı belaya girebilir!

Zayıf şifreleri tahmin etmek, bilgisayar korsanlarının maksimum hasarı verebilecekleri yönetici hesaplarına girmelerine izin verir.

Bu sorunu nasıl çözersiniz? Basit, tüm hesap kullanıcılarınızın (yönetici kullanıcılar dahil) oturum açma kimlik bilgileri için güçlü parolalar yapılandırdığından emin olun. En az 8 karakterden oluşan parolalar, büyük ve küçük harflerin, sayıların ve simgelerin bir karışımı olmalıdır.

Daha fazla güvenlik için, güçlü parolaları otomatik olarak oluşturabilen ve saklayabilen bir parola yönetim aracı kurun.

Uzman ipucu: Tüm kullanıcılarınızın parolalarını sıfırlamak için bir eklenti kullanabilirsiniz.

Eski Bir WP Sürümü

Eski yazılımlar, web sitelerinin saldırıya uğramasının en yaygın nedenlerinden biridir. Ücretsiz indirmelerine rağmen, çoğu site kullanıcısı, sitelerinin çökmesine neden olan güncellemelerden korkarak sitelerini en son sürüme güncellemeyi erteler.

Bilgisayar korsanları, eski bir sürümdeki herhangi bir güvenlik açığından veya hatadan yararlanır ve SQL Enjeksiyonları, WP-VCD Kötü Amaçlı Yazılım, SEO Spam ve web sitesinin başka bir siteye yönlendirilmesi gibi diğer önemli sorunlar gibi sorunlara neden olur.

Bu sorunu nasıl çözersiniz? Gösterge tablonuzda bir güncellemeyle ilgili bir bildirim gördüğünüzde sitenizi mümkün olan en kısa sürede güncelleyin.

Profesyonel ipucu: Yayındaki web sitenizin çökmesine neden olan güncellemelerden endişeleniyorsanız, önce güncellemeleri bir hazırlık sitesinde test edebilirsiniz.

Eski WP Eklentileri ve Temaları

Bir önceki noktaya benzer şekilde, bilgisayar korsanları, web sitelerine yüklenen eski, kullanılmayan veya terk edilmiş eklentilerden ve temalardan da yararlanır. Mevcut 55.000’den fazla eklenti ve temayla, güvenli olmayan veya güvenilmeyen web sitelerinden bile bir eklenti veya tema yüklemek kolaydır.

Ayrıca, birçok kullanıcı yüklü eklentilerini / temalarını en son sürüme güncellemiyor veya güncellenmiş sürümü bulamıyor. Bu, bilgisayar korsanlarının işlerini yapmasını ve sitelere bulaşmasını kolaylaştırır.

Bu problemden nasıl kaçınıyorsunuz? Çekirdek WP sürümünde olduğu gibi, sitenizde yüklü eklentilerinizin / temalarınızın her birini düzenli olarak güncelleyin. Kullanılmayanların stoklarını alın ve çıkarın veya daha iyi alternatiflerle değiştirin.

Eklentilerinizi / temalarınızı barındırma hesabınızdan güncelleyebilirsiniz.

Uzman ipucu: Her hafta güncellemeleri çalıştırmak için zaman ayırmanızı öneririz. Bunları bir hazırlık sitesinde test edin ve ardından sitenizi güncelleyin.

Genel Yönetici Kullanıcı Adları

Zayıf parolalara ek olarak, kullanıcılar tahmin edilmesi kolay ortak kullanıcı adları da oluşturur.

Bu, yönetici kullanıcılar için “admin”, “admin1” veya “admin123” gibi yaygın kullanıcı adlarını içerir. Genel yönetici kullanıcı adları, bilgisayar korsanlarının WP kurulumunuzda yönetici hesaplarına girmesini ve arka uç dosyalarını kontrol etmesini kolaylaştırır.

Bu problemden nasıl kaçınıyorsunuz? Tahmin edilmesi kolay bu tür kullanıcı adları kullanıyorsanız, bunları hemen benzersiz bir kullanıcı adıyla değiştirin. Bunu yapmanın en kolay yolu, barındırma hesabınızın kullanıcı yönetimi aracıdır, önceki yönetici kullanıcıyı silerek ve benzersiz bir kullanıcı adına sahip yeni bir yönetici kullanıcı oluşturmaktır.

İlk adım olarak, yönetici kullanıcınızın varsayılan kullanıcı adını değiştirin ve yönetici ayrıcalıklarına sahip kullanıcıları sınırlayın.

Profesyonel ipucu: WordPress’in sınırlı izinlere sahip 6 farklı kullanıcı rolü vardır. Yalnızca gerçekten ihtiyacı olan kullanıcılara yönetici erişimi verin.

Geçersiz Eklentilerin / Temaların Kullanımı

Eklentilerin / temaların önemine geri dönersek, kullanıcılar popüler ve ücretli eklenti ve temaların geçersiz veya korsan kopyalarını satan birçok web sitesine erişebilir. Bunların kullanımı ücretsiz olsa da, genellikle kötü amaçlı yazılımlarla dolu. Web sitenizin genel güvenliğini tehlikeye atabilir ve bilgisayar korsanlarının yararlanmasını kolaylaştırabilirler.

Korsan bir kopya olduğundan, geçersiz eklentilerin / temaların geliştirme ekibinden herhangi bir güncellemesi yoktur, bu nedenle herhangi bir güvenlik düzeltmesi olmayacaktır.

Bu sorunu nasıl çözersiniz? Basit, başlangıç ​​için yalnızca güvenilir web sitelerinden ve pazarlardan orijinal eklentileri ve temaları indirin.

Profesyoneller için ipucu: Ücretli veya premium eklentiler ve temalar için ödeme yapmak istemiyorsanız, aynı araçların sınırlı özelliklere sahip olan ancak yine de geçersiz sürümden daha güvenli olan ücretsiz bir sürümünü seçin.

wp-admin Klasörüne Korumasız Erişim

Bilgisayar korsanları sitenizin kontrolünü ele geçirmek için genellikle kurulumunuzdaki wp-admin klasörünüze girmeye ve onu kontrol etmeye çalışırlar. Web sitesi sahibi olarak, wp-admin dizininizi korumak için önlemler almalısınız.

Wp-admin klasörünüzü nasıl koruyabilirsiniz? İlk olarak, bu kritik klasöre erişimi olan kullanıcı sayısını sınırlayın. Ek olarak, wp-admin klasörüne erişim için ek bir güvenlik katmanı olarak parola koruması için başvurun. Bunu, web barındırma hesabınızdaki cPanel’in “Parola Koruma Dizinleri” özelliğini kullanarak yapabilirsiniz.

Uzman ipucu: Bu düzeltmelerin yanı sıra, tüm yönetici hesaplarınız için İki Faktörlü Kimlik Doğrulama (veya 2FA) koruması da uygulayabilirsiniz.

SSL Olmayan Web Sitesi

Sitenize bir SSL sertifikası yükleyerek HTTP web sitenizi kolayca HTTPS’ye taşıyabilirsiniz. SSL (veya Güvenli Yuva Katmanı), web sunucunuz ile istemci tarayıcısı arasındaki herhangi bir veri aktarımını şifrelemek için güvenli bir moddur.

Bu şifreleme olmadan, bilgisayar korsanları verileri ele geçirebilir ve çalabilir. Ayrıca, güvenli olmayan bir web sitesinin işletmeniz için birçok olumsuz etkisi olabilir – daha düşük SEO sıralaması, müşteri güven kaybı veya gelen trafikte düşüş.

Bu sorunu nasıl çözersiniz? Hosting şirketinizden veya SSL sağlayıcılarınızdan hızlı bir şekilde bir SSL sertifikası edinebilirsiniz. Web sitenizden gönderilen ve alınan tüm verileri şifreler.

Profesyonel ipucu: Let’s Encrypt gibi yerlerden ücretsiz bir SSL sertifikası alabilirsiniz, ancak bunlar yalnızca bir başlangıç ​​sitesi veya küçük bir site için yeterli olacak sınır koruması sağlar.

Güvenlik Duvarı Koruması Yok

Güvenlik duvarı korumasının olmaması, bilgisayar korsanlarının web sitesi güvenlik önlemlerini atlayıp arka uç kaynaklarına sızabilmesinin bir başka yaygın nedenidir. Güvenlik duvarları, bilgisayar korsanlarına karşı son savunma hattıdır ve evinize kurulan güvenlik alarmı gibi çalışır. Güvenlik duvarları, şüpheli (veya kötü) olanlar da dahil olmak üzere çeşitli IP adreslerinden gelen web isteklerini izler.

Geçmişte kötü amaçlı olduğu bilinen istekleri belirleyebilir ve engelleyebilir, böylece bilgisayar korsanlarının web sitenizin etki alanına kolay erişimini engelleyebilirler. Web uygulaması güvenlik duvarları, kaba kuvvet saldırıları, XSS ve SQL enjeksiyonları dahil olmak üzere çeşitli saldırıları engelleyebilir.

Uzman ipucu: Güvenlik duvarı çok ihtiyaç duyulan güvenliği sağlar ve ilk savunma hattınızdır. Ancak bir kötü amaçlı yazılım tarayıcısının da yüklü olması önemlidir.

WordPress Güçlendirme Önlemlerinin Eksikliği

Bilgisayar korsanları, web sitesine yasa dışı olarak erişmek veya zarar vermek için genellikle bir WP kurulumundaki en savunmasız alanları veya zayıflıkları hedefler. WordPress ekibi, bu savunmasız alanları belirledi ve her web sitesi için önerilen 12 sertleştirme önleminin bir listesini hazırladı.

Bunlardan birkaçı şunları içerir:

  • Dosya Düzenleyiciyi Devre Dışı Bırakma;
  • Güvenilmeyen klasörlerde PHP’nin çalıştırılmasının engellenmesi;
  • Güvenlik anahtarlarının değiştirilmesi;
  • Eklenti kurulumlarına izin vermeme;
  • Etkin olmayan kullanıcıların otomatik oturum kapatma;
  • Bu sertleştirme önlemlerini nasıl uyguluyorsunuz? Bazı adımların anlaşılması kolay olsa da, diğerleri WordPress’in nasıl çalıştığı konusunda teknik uzmanlık gerektirir.

Uzman ipucu: Sertleştirme önlemlerini kendi başınıza uygulayabilirsiniz. Bununla birlikte, bazı önlemler teknik uzmanlık gerektirir, bu nedenle bu durumlarda bir eklenti kullanmak çok daha kolay ve daha güvenlidir.

Yorum yap