2021 WordPress Güvenlik Açığı Yıllık Raporunu okuyun
Yayınlanan: 2022-01-27Bir WordPress kullanıcısı veya geliştiricisi olarak, karşılaştığınız en büyük zorluklardan birinin sitenizi güvenlik açıklarından ve kötü niyetli saldırı tehdidinden tamamen korumak olduğunu zaten biliyorsunuz.
Web sitesi ve çevrimiçi güvenliğin sürekli saldırı altında olduğu belirsiz bir dünyada, tüm WordPress site sahiplerinin güvenlik protokollerini geçmişte olduğundan daha ciddiye alması gerekiyor.
İlk 2021 WordPress Güvenlik Açığı Raporumuzda yayınlanan veriler, yalnızca size tüm yıl boyunca bildirilen 2021 WordPress güvenlik açıklarını göstermekle kalmaz, aynı zamanda bilgisayar korsanlarının en sık yararlandığı belirli güvenlik açıklarını da ortaya çıkarır.
Örneğin, 2021 WordPress güvenlik açıklarının %97,1'inin eklentilerden kaynaklandığını biliyor muydunuz? Güvenli bir WordPress sitesi çalıştırmanın sizin için önemli olup olmadığını bilmek önemlidir.
Burada iThemes'te sadece sorunları belirtmek istemiyoruz. Ayrıca, WordPress web sitenizi güvenlik açıklarından tamamen korumak için çalışan kanıtlanmış çözümler sunmak istiyoruz. Ve bu verileri inceledikten sonra WordPress sitenizi tamamen güvenli hale getirmek için tam olarak ne yapmanız gerektiğini öğreneceksiniz.
2021'in En Büyük Paketi: WordPress Eklentilerinizi Yakından Takip Edin
2021'de, geçen yıl açıklanan tüm WordPress güvenlik açıklarının %97,1'i eklentilerle ilgili sorunlardan kaynaklanıyordu. Bunu doğru okudun.
Kaynağa Göre 2021 Güvenlik Açıkları
| Güvenlik Açığı Kaynağı | Bildirilen Sayı | Toplam Yüzde (1628) |
|---|---|---|
| WordPress Çekirdeği | 8 | %0.05 |
| Eklentiler | 1581 | %97,1 |
| Tema | 39 | %2,4 |
Ancak en çok endişe verici olan şey, 2021'de bildirilen 1581 eklenti güvenlik açığının %23.2'sinin bilinen bir düzeltmesinin olmamasıdır. Bu, 2022 ve ötesine geçerken, indirdiğimiz ve kullandığımız eklentiler konusunda daha dikkatli olmamız gerektiği anlamına geliyor.
Örneğin, bilinmeyen bir eklenti geliştiricisinden ücretsiz bir eklenti çözümü alabilecek olsanız da, güvenliğine tam olarak güveniyor musunuz? Verilerin gösterdiği gibi, bildirilen eklenti güvenlik açıklarının %29'u henüz geliştiricileri tarafından yamalanmadı.
Açıklama Anında Eklenti Durumu
| Tehlike seviyesi | Bildirilen Sayı | Toplam Yüzde (1628) |
|---|---|---|
| Yamalı | 1156 | %71 |
| Bilinen Düzeltme Yok | 377 | %23.2 |
| Eklenti Kapatıldı | 95 | %5,8 |
Mümkün olduğunda, güvendiğiniz eklenti geliştiricilerine bağlı kalın ve asla geçersiz WordPress eklentileri ve temaları kullanmayın. Ve elbette, eklentilerinizi ve temalarınızı, piyasaya sürüldüklerinde mevcut yamalarla güncel tutun.
Ancak bunu yaptığınızda bile, eklenti geliştiricileri bunları düzeltmek için yamalar oluşturamadan, güvenlik açıklarından yetenekli bilgisayar korsanları ve kötü niyetli saldırganlar yararlanmaya devam edecektir.
İşte tam da bu yüzden WordPress sitenizin çok sağlam bir güvenlik korumasına ihtiyacı var, birazdan tartışacağız.
Şimdilik, iThemes Security Pro eklentisinin, bilinen güvenlik açıklarını otomatik olarak taramak ve savunmasız eklentileri otomatik olarak güncellemek için Sürüm Yönetimi özelliğiyle eşleşen yerleşik bir site tarayıcısına sahip olduğunu bilmek önemlidir, böylece çok fazla endişelenmenize gerek kalmaz sitenizin güvenliği hakkında.
Eylül 2021'de Bildirilen Güvenlik Açıklarında Büyük Bir Artış
Eylül, diğerlerinden öne çıkan ay oldu. Aslında Eylül, bildirilen toplam güvenlik açıklarının %20,5'ini veya toplamda 335'ini gördü. Perspektif açısından, en yüksek ikinci güvenlik açığının görüldüğü ay, 173'ün bildirildiği Ekim ayıydı. Temmuz 157 olayla çok geride değildi.
Aya Göre Bireysel Eklenti/Tema/Çekirdek Başına Güvenlik Açıkları (2021)
| Ay | Eklentiler | Tema | Çekirdek |
|---|---|---|---|
| Ocak | 19 | 0 | 0 |
| Şubat | 42 | 2 | 0 |
| Mart | 58 | 1 | 0 |
| Nisan | 67 | 1 | 2 |
| Mayıs | 37 | 5 | 2 |
| Haziran | 80 | 7 | 0 |
| Temmuz | 157 | 7 | 0 |
| Ağustos | 149 | 0 | 0 |
| Eylül | 335 | 3 | 1 |
| Ekim | 173 | 1 | 0 |
| Kasım | 120 | 0 | 0 |
| Aralık | 45 | 0 | 0 |
2022'ye girerken benzer bir modelin olup olmayacağını bilmek kesinlikle mümkün olmasa da, bu kesinlikle gözümüzün önünde olması gereken önemli bir veri.
Aya Göre Tehdit Düzeyine Göre Güvenlik Açıkları (2021)
| Ay | kritik | Yüksek | Orta | Düşük |
|---|---|---|---|---|
| Ocak | 5 | 3 | 11 | 1 |
| Şubat | 25 | 10 | 0 | 21 |
| Mart | 16 | 19 | 35 | 0 |
| Nisan | 25 | 27 | 37 | 1 |
| Mayıs | 4 | 18 | 32 | 3 |
| Haziran | 7 | 18 | 64 | 1 |
| Temmuz | 8 | 65 | 120 | 9 |
| Ağustos | 11 | 135 | 56 | 37 |
| Eylül | 19 | 174 | 156 | 38 |
| Ekim | 8 | 73 | 75 | 62 |
| Kasım | 9 | 46 | 53 | 22 |
| Aralık | 0 | 30 | 18 | 9 |
En Yaygın Eklenti Güvenlik Açığı Olarak Siteler Arası Komut Dosyası Çalıştırma
Siteler arası komut dosyası çalıştırma (XSS), eklentiler ve temalar gibi birçok WordPress uygulamasında bulunan bir tür web sitesi güvenlik açığıdır.
Bu XSS saldırıları, saldırganların diğer kullanıcılar tarafından görüntülenen WordPress web sayfalarına istemci tarafı komut dosyaları eklemesine olanak tanır. Siteler arası komut dosyası çalıştırma güvenlik açığı, saldırganlar tarafından erişim denetimlerini atlamak ve sitenizin arka ucuna tam olarak erişmek için kullanılabilir.
2021'de WordPress web sitelerinde gerçekleştirilen siteler arası komut dosyası oluşturma, tüm WordPress güvenlik açıklarının %54,4'ünü oluşturuyordu. Ve bu toplam 885 güvenlik açığıydı.
| Tehlike seviyesi | Bildirilen Sayı | Toplam Yüzde (1628) |
|---|---|---|
| Siteler Arası Komut Dosyası Çalıştırma (CSS) | 885 | %54.4 |
| Siteler Arası Sahtecilik Talebi (CSFR) | 167 | %10,2 |
| SQL Enjeksiyonları | 152 | %9,3 |
| baypaslar | 68 | %4,2 |
| RCE Güvenlik Açıkları | 20 | %1,2 |
| PHP Güvenlik Açıkları | 19 | %1,2 |
| Var Açıklamalar | 19 | %1,2 |
| REST API'si | 11 | %0.7 |
| Hassas Bilgi Açıklaması | 6 | %0.4 |
| Tüm Diğerleri | 281 | %17.3 |
Gördüğünüz gibi, siteler arası komut dosyası oluşturma, tüm WordPress site sahipleri için büyük bir güvenlik sorunudur. Ancak güvenlik açığı endişeleri burada bitmiyor.
Diğer %10,2 veya 167 güvenlik açığı, Siteler Arası Sahtecilik İsteklerinden (CSFR) kaynaklandı.
Tek tıklamayla saldırı veya oturum sürme olarak da bilinen siteler arası istek sahteciliği, web uygulamasının güvendiği bir kullanıcıdan yetkisiz komutların gönderildiği bir web sitesinin kötü niyetli bir şekilde istismar edilmesidir.
Uygun WordPress güvenlik protokolleri olmadan, WordPress web sitenizin her türden siteler arası saldırılara açık olduğunu görmek uzun sürmez.
Ancak endişelenmeniz gereken tek tür güvenlik açığı bunlar değil. Bunların ötesinde, 2021'de bildirilen yedi farklı güvenlik açığı türü vardır.
Ayrıca raporda "Diğer" olarak etiketlenen, bildirilen güvenlik açıklarının 281'ini veya %17.3'ünü göz ardı etmeyin.
Genellikle bu tür saldırılar, tema ve eklenti geliştiricileri tarafından henüz anlaşılmayan saldırılardır ve sitenize zarar vermelerini veya sitenizi hacklemelerini önlemek için güçlü bir WordPress güvenlik eklentisi gerektirir.
2021'deki Güvenlik Açığı Tehdit Düzeyleri
| Tehlike seviyesi | Bildirilen Sayı | Toplam Yüzde (1628) |
|---|---|---|
| kritik | 137 | %8.4 |
| Yüksek | 630 | %38.7 |
| Orta | 678 | %41.6 |
| Düşük | 183 | %11,2 |
WordPress Çekirdek ve Tema Güvenlik Açıkları
Bir WordPress site sahibi olarak, olası saldırılardan kaçınmak için eklentilerinizi her zaman güncel tutmanın önemini muhtemelen zaten biliyorsunuzdur.
Sonuçta, güvenlik açıklarının büyük çoğunluğu eklentiler aracılığıyla kullanılıyor.
Ancak 2021 rakamlarının gösterdiği gibi, eklentiler güvenlik protokollerinizin başladığı ve bittiği yer değildir. Kullandığınız eklentiler konusunda %100 dikkatli olsanız ve onları güncel tutsanız bile, siteniz temanızdaki güvenlik açıkları tarafından istismar edilebilir.
Ayrıca, çekirdek WordPress yazılımı aracılığıyla da kullanılabilir. Geçen yıl, WordPress çekirdeği ve çeşitli temalar aracılığıyla istismar edilen toplam 47 güvenlik açığı gördük. Bu sayı, tüm 2021 WordPress güvenlik açıklarının yaklaşık %2,5'ini oluşturuyor.
Ve bu çok fazla görünmese de, web sitenizin ve işletmenizin itibarını tamamen mahvetmek için yalnızca istismar edilen bir site güvenlik açığı yeterlidir.
Tabii ki ilk çözüm, WordPress çekirdeğini ve temanızı her zaman tamamen yamalanmış ve güncel tutmaktır. Ancak eklentilerle ilgili olarak belirttiğimiz gibi, bu yalnızca geçmişteki bilinen güvenlik açıklarının çözülmesine yardımcı olur.
Yenileri için, kötü niyetli saldırıların gerçek zamanlı olarak nasıl tespit edileceğini bilen bir güvenlik yazılımı çalıştırmanız gerekir.
2022'de Web Sitesi Güvenliğini Odakladığınızdan Emin Olun
WordPress sitenizi güvende tutmanıza yardımcı olmak için iThemes Security Pro eklentisinin devreye girdiği yer burasıdır. Kullanımı kolay, doğrudan WordPress güvenlik çözümümüzle, sitenizin bilgisayar korsanlarından ve kötü niyetli saldırılardan tamamen korunduğunu bilerek geceleri daha iyi uyuyabileceksiniz.
İlk adım, sitenizin sürekli olarak maruz kaldığı güvenlik tehditlerinin bombardımanını anlamaktır. Bundan sonra, iThemes Security Pro'yu edinmenin ve WordPress web sitesi güvenlik protokolünüzü ciddiye almanın zamanı geldi.
Bilinen WordPress güvenlik açıklarını taramak için yerleşik bir WordPress site tarayıcısı, giriş sayfanız için kaba kuvvet koruması gibi koruma katmanlarının yanı sıra dosya değişikliği algılama ve kullanıcı günlüğü oluşturma ile eşleştirilmiş, siteniz saldırılara ve güvenlik ihlallerine karşı güçlü bir savunmaya sahiptir. .
En İyi WordPress Güvenlik Eklentisi Güvenli & Korumak WordPress
2014'ten beri WordPress güvenlik uzmanları tarafından geliştirildi
WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğindeki varsayımları ortadan kaldırır.
