WordPress Siteleri Neden Hacklenir ve Nasıl Önlenir?

Son güncelleme - 8 Temmuz 2021

WordPress, web siteleri veya bloglar oluşturmak için kullanılan popüler bir İçerik Yönetim Sistemidir (CMS) . WordPress'i bu kadar popüler yapan şeylerden biri, ne kadar basit olduğudur; kullanıcılar, web sitelerinde kodlama deneyimi olmadan kolayca içerik oluşturmak, değiştirmek ve yönetmek için WordPress'i kullanabilir. Bu, birçok şirketi ve kişiyi sitelerini oluşturmak için WordPress kullanmaya yönlendirir.

W3techs'in yakın tarihli bir raporu , WordPress'in tüm web sitelerinin %34.5'inde kullanıldığını söylüyor. Bu, kullandığınız her üç web sitesinin WordPress ile oluşturulduğu anlamına gelir. CMS çözümleri arasında, WordPress'in pazar payı daha da yüksektir ve tüm web sitelerinin %60'ından fazlası WordPress üzerinde çalışmaktadır. Joomla ikinci sırada yer alıyor, ancak büyük bir farkla - site sayısının %5-10'u tarafından kullanılıyor.

WordPress siteleri neden saldırıya uğrar?

Saldırılara karşı internetteki diğer web sitelerinden daha savunmasız olmasalar da, WordPress sitelerinin saldırıya uğrama olasılığı daha yüksektir çünkü çok daha yaygındırlar. WordPress'in muazzam popülaritesi göz önüne alındığında, saldırganlar bu sitelerde bulunan güvenlik açıklarından yararlanmanın yollarını denemek ve bulmak için daha fazla teşvike sahiptir.

Saldırganlar WordPress'te bir güvenlik açığı bulduğunda, İnternet'teki hemen hemen tüm diğer sistemlerden çok daha fazla hedefleri olur. Ek olarak, WordPress kodlama deneyimi olmayan birçok kullanıcıyı kendine çektiğinden, web sitelerini saldırganların yararlanabileceği güvenlik açıklarından korumak için gerekli önlemleri alma olasılıkları çok daha düşüktür. WordPress sitelerinin saldırıya uğramasının bir başka nedeni de “spor” ve pratiktir. Yeni başlayanların çoğu, bilgisayar korsanlığı becerilerini geliştirmek ve iyileştirmenin yollarını bulmak için daha zayıf güvenlikli siteler bulmaya çalışır.

WordPress Web Sitelerinin Hacklenmesinin 7 Yolu ve Nasıl Önlenir?

WordPress sitelerinin saldırıya uğramasının yaygın nedenlerinden bazılarını anlamanız ve buna göre önlem almanız gerekir.

Zayıf şifreler

Parolalarınız, WordPress web sitenizin anahtarları olarak işlev görür; bu, onu korumak için yeterince güçlü olduklarından emin olmanız gerektiği anlamına gelir. Araştırmalar , tüm veri ihlallerinin yaklaşık %80'inin zayıf parolalar nedeniyle gerçekleştiğini gösteriyor.

Nasıl düzeltilir : Bu güvenlik açığını onarmak oldukça kolaydır ━güçlü bir parola kullanın. Örneğin, LastPass gibi bir üçüncü taraf şifre yöneticisi de kullanabilirsiniz .

WordPress kullanıcı adınızı değiştirmemek

WordPress hesabınızı açtığınızda kullanıcı adınız 'admin' olur ve bunu herkes bilir. Bu nedenle tehdit aktörlerinin web sitenizi hacklemeye çalıştıklarında deneyecekleri ilk kullanıcı adıdır. Bu hesap, kök ayrıcalıkları sunar ve sitenizi çöpe atmak, bağlı ağlara erişmek ve verileri çalmak, silmek veya fidye almak için kullanılabilir.

Nasıl düzeltilir : Kullanıcı adınız admin ise, en kısa sürede farklı bir kullanıcı adıyla değiştirin.

Güvensiz web barındırma

WordPress web siteleri, diğer tüm web siteleri gibi sunucularda barındırılır. Doğru sağlayıcıyı seçmek, web sitenizi güvence altına almanın anahtarıdır. Bu kılavuzda bahsedilen diğer tüm ipuçlarını uygulasanız bile, sağlayıcınız zayıf koruma sağlıyorsa web siteniz yine de saldırıya uğrayabilir.

Nasıl düzeltilir : Bütçeniz dahilinde en iyi WordPress barındırma sağlayıcısını seçin ve web sitenizin güvenli bir platformda barındırıldığından emin olun.

Yanlış dosya izinleri

Dosya izinleri, web sunucunuzun web siteniz tarafından depolanan ve kullanılan dosyalara erişimi kontrol etmesine yardımcı olmak için barındırma sunucunuz tarafından kullanılan kurallardır. Bu dosyalara yanlış izinler vermek, bilgisayar korsanlarının dosyalarınıza erişmesine ve bunları değiştirmesine izin verebilir ve bu da web siteniz için her türlü soruna yol açabilir.

Nasıl düzeltilir : Tüm WordPress dosyalarınızın değer iznine 644 ve tüm klasörlerinizin 755'e ayarlandığından emin olun.

Yaygın siber tehditlere karşı zayıf güvenlik

En güçlü parolalara sahip olsanız ve en güvenli ana bilgisayarı kullansanız bile, yine de siber saldırılara karşı savunmasızsınız. Örneğin SQL enjeksiyonları, web sitelerine kötü amaçlı yazılım bulaştırmak için kullanılan yaygın bir saldırıdır.

Nasıl düzeltilir : En yaygın tehditler ve web sitenizi bu tehditlere karşı nasıl güvence altına alacağınız hakkında bilgi edinin. Başlamak için iyi bir yer, en acil 10 güvenlik açığını ayrıntılandıran OWASP (Açık Web Uygulaması Güvenlik Projesi) ilk 10 listesidir. OWASP, siber güvenlik uygulamalarınızı geliştirmek için kullanabileceğiniz eğitim kaynakları da sağlar.

Eski WordPress sürümlerini kullanma

Bazı WordPress kullanıcıları, web sitelerinde hatalara neden olabileceğinden, web sitelerini WordPress'in en son sürümüne güncellemekten korkar. Ancak, bu güncellemelerin çoğu güvenlik açıklarını yamalamak için yayınlandığından güncellemelerden kaçınmak ciddi bir sorundur.

Nasıl düzeltilir : En son hata düzeltmelerini ve güvenlik yamalarını aldığınızdan emin olmak için her zaman en son sürüme güncelleme yapmalısınız. Güncellemenin web sitenizi mahvetmesinden korkuyorsanız, tam bir WordPress yedeği oluşturmak, özellikle sürüm güncellemelerinden önce her zaman iyi bir uygulamadır.

Tarihli temaları veya eklentileri kullanma

WordPress temaları ve eklentileri, çalıştırdıkları temel yazılımlardan çok farklı değildir ve güncel tutulmaları da bir o kadar önemlidir ☆ eski sürümler güvenlik açıklarına maruz kalabilir.

Nasıl düzeltilir : Tüm temalarınızın ve eklentilerinizin en güncel sürümlerine sahip olduğunuzdan emin olun.

Sarmak

WordPress web siteleri her zaman saldırıya uğrar. Bu bir gerçektir ve bu şekilde ele alınması gerekir. E-ticaret siteleri, normal bir siteden daha fazla ödül sundukları için saldırılara karşı özellikle savunmasızdır. Birçok işlemi işleyen başarılı bir e-ticaret platformu, genellikle hassas bilgileri depolar.

Bir web sitesi ihlal edilirse, saldırganlar bilgileri çalabilir. Bu, özellikle web sitesi Avrupa Birliği ile ilgili kullanıcılara hizmet veriyorsa, web sitesini kötü bir duruma sokacaktır. Bu bilgiler, "Avrupa Birliği ve Avrupa Ekonomik Alanı'nın tüm bireysel vatandaşlarının" hassas bilgilerini koruyan Genel Veri Koruma Yönetmeliği (EU GDPR) tarafından korunmaktadır. GDPR'ye uyulmaması mali ve itibar kayıplarına yol açabilir.

Akılda tutulması gereken diğer bir uyumluluk kuruluşu, kredi kartı sahiplerinin hassas ve finansal bilgilerini koruyan Ödeme Kartı Sektörü Veri Güvenliği Standardı'dır (PCI DSS). PCI, kredi kartı verilerini işleyen, depolayan, ileten ve bunlarla temasa geçen tüm satıcılar için geçerlidir. Bu, e-ticaret platformlarının PCI ile uyumlu olması gerektiği anlamına gelir. PCI, para cezaları yoluyla uyumu zorlayan büyük kredi kartı şirketleri tarafından korunur ve düzenlenir.