Gerçeklere ve İstatistiklere Dayalı WordPress Güvenliği

Yayınlanan: 2022-12-12

WordPress, onu kullanan çok sayıda insan nedeniyle kötü niyetli bilgisayar korsanları için yaygın bir hedeftir. Bazı tahminler, internetteki toplam WordPress web sitesi sayısını 455 milyon olarak gösteriyor. Bu, WordPress'in internetteki tüm web sitelerinin %43,1'ini çalıştırdığı anlamına gelir.

İlginç İstatistikler

Kaç web sitesinin saldırıya uğradığını bulmak zor. Bunun birkaç nedeni var. Bilgisayar korsanlığı olayları herkesin bildiği gibi eksik bildirilmektedir. Yasalar tarafından olayları ifşa etmeye zorlanmadığı sürece, birçok yönetici ve web sitesi sahibi bunu yapmak konusunda isteksizdir. Birçoğu saldırıya uğradığının farkında değil, bu da rapor etmeyi imkansız hale getiriyor.

Siber risk ve gizlilik yönetimi çözümleri sağlayıcısı olan IT Governance, bu uyarıları ortadan kaldırarak yalnızca 2021'de yaklaşık 5,1 milyar (B ile işaretlenmiş) ihlal bildirdi. Bu rakama tüm ihlaller dahildir. Bu kez Sophos tarafından hazırlanan başka bir rapora bakıldığında, günde ortalama 30.000 web sitesi saldırıya uğruyor. Bu, yılda 11 milyon web sitesinin saldırıya uğramasına eşittir. Tüm web sitelerinin %43'ünün WordPress kullandığını biliyoruz, bu da her yıl 4,7 milyon WordPress web sitesinin saldırıya uğradığına dair eğitimli bir tahmin yapmamızı sağlıyor. Bu, her gün saldırıya uğrayan yaklaşık 13.000 WordPress web sitesi anlamına gelir.

Bu çok büyük bir sayı – bu da şu soruyu akla getiriyor: WordPress neden bu kadar çok saldırıya uğruyor? Bu makalede tam olarak buna bakacağız - gerçeklere ve istatistiklere dayanarak.

WordPress – gerçekten ne kadar güvenli?

WordPress, dünya çapında birçok kişinin aktif olarak üzerinde çalıştığı açık kaynaklı bir projedir. WordPress topluluğu çok güçlüdür ve tanışacağınız en zeki ve en kararlı insanlardan bazılarını içerir. Geliştirme sürecine dahil olan ve görmezden gelen pek çok kişi ile, WordPress çok güvenli olma eğilimindedir.

İstatistikler, WordPress web sitelerinin nasıl saldırıya uğradığını daha derinlemesine incelediğimizde bize göstereceğinden, WordPress'in gücü aynı zamanda onun çöküşü olabilir.

WordPress'in en büyük güçlü ve zayıf yönleri

Hiçbir sistem mükemmel değildir ve bu WordPress çekirdeği için de geçerlidir. WordPress çekirdeği, herhangi bir değişiklik (eklentiler, temalar ve yapılandırmalar gibi) yapılmadan önce çekirdek dosyaları temsil eder. Aslında, Sucuri'nin WordPress bilgisayar korsanlığı istatistikleri raporuna göre, WordPress Core 2021'deki tüm güvenlik açıklarının %0,58'ini oluşturuyordu. Bu, tüm olayların yüzde birinin yarısından biraz fazlasıdır.

Sırada temalar ve eklentiler var - bu sırayla. Aslında, tüm güvenlik açıklarının %6,61'ini temalar oluştururken, %92,81'ini eklentiler oluşturuyor.

Sucuri, ücretsiz veya premium olmalarına göre temaları ve eklentileri daha da ayırır. Premium temalar ve eklentiler, tüm 3. taraf güvenlik açıklarının %8,62'sini oluştururken, ücretsiz benzerleri %91,38'ini oluşturmaktadır.

Neden iyi eklentiler maliyetlidir?

Bunun böyle olmasının birçok nedeni var. Eklentiler ve temalar, saygın geliştiricilerden gölgeli olanlara kadar tüm şekil ve boyutlarda gelir. Gerçek şu ki, doğru yapıldığında eklenti geliştirme ucuz değildir. Tam zamanlı profesyonel geliştiricilere, iyi altyapıları korurken ödeme yapılması gerekir ve test tesisleri de faturaları yükseltir.

Bu, tüm ücretsiz eklentilerin bir güvenlik tehdidi oluşturduğu anlamına gelmez - bundan çok uzaktır. Birçok geliştirici boş zamanlarını kaliteli, ücretsiz eklentiler üretmeye ayırır. Bununla birlikte, kapsamlı bir şekilde test edilmiş ve desteklenen bir eklenti istiyorsanız, premium bir eklenti muhtemelen doğru yoldur.

WordPress Güvenlik Açıkları – sayılar

Bilinen WordPress güvenlik açıklarının sayısı her yıl artmaktadır. Aslında, WPScan veritabanına 1.437 yeni güvenlik açığı ekledi ve bundan bir yıl önce 514 güvenlik açığı ekledi. Yalnızca Kasım 2022'de 64 yeni güvenlik açığı eklendi.

Daha önce tartıştığımız güvenlik açığı dağılımı göz önüne alındığında, mevcut WordPress eklentilerinin sayısına bakıldığında bu rakamlar geçerlidir. WordPress.org deposu, yazı yazıldığı sırada mevcut olan 60.000'den fazla eklentiyi listeler ve her gün daha fazlası eklenir. Eklentiler ayrıca doğrudan geliştiricilerden satın alınabilir veya resmi olmayan kaynaklardan indirilebilir.

Sürekli değişen WordPress güvenlik açığı manzarası nedeniyle, hedefli saldırılar kuraldan çok istisnadır. Eski güvenlik açıkları yamalandıkça ve yenileri ortaya çıktıkça, bilgisayar korsanları bunlara ayak uydurmakta zorlanabilirler. Ayrıca, hedefli saldırıları çok zaman alıcı hale getirir, bu nedenle çoğu saldırı otomatikleştirilir.

Otomatik saldırılar, birçok web sitesini otomatik olarak taramak için bir araç kullanır ve bir güvenlik açığı bulunduğunda uyarı verir. Bu nedenle, saldırıların çoğu bir kin sonucundan ziyade gelişigüzeldir. Ancak bilgisayar korsanları bu tür otomatik saldırılar için hangi araçları kullanıyor? Hadi bulalım.

WordPress web siteleri nasıl hacklenir?

WordPress birçok farklı şekilde saldırıya uğrayabilir – bilgisayar korsanları hedeflerin peşinden gitme konusunda çok yaratıcı olabilir. Bu, yanlış bir güvenlik hissi sağlayabileceğinden, bir WordPress web sitesinin saldırıya uğrayabileceği tüm yolları listelemeyi imkansız ve tehlikeli hale getirir. Bununla birlikte, bir bilgisayar korsanının bir WordPress web sitesini hacklemek için tipik olarak uygulayabileceği süreci gösteren bir örneğe bakabiliriz.

WPScan – Bir WordPress güvenlik açığı tarayıcısı

wpscan
WPScan Arayüzü: WordPress Güvenlik Taraması

Bilgisayar korsanları tarafından sıklıkla kullanılan yaygın bir araca WPScan adı verilir. Çevrimiçi olarak kolayca bulunabilen ücretsiz bir araçtır. WordPress web sitelerini tarayan ve bilinen sorunları ve güvenli olmayan yapılandırmaları belirleyen bir güvenlik açığı tarayıcısıdır. WPScan ile varsayılan bir WordPress güvenlik taraması başlatırken, anında şunları öğreneceksiniz:

  • WordPress sürümü
  • Yüklü eklentiler, sürümleri ve yüklendikleri yol
  • Yüklü temalar, sürümleri ve yüklendikleri yol

WPScan, WordPress kullanıcı numaralandırma taramaları gibi diğer işlevleri içerir. Bu taramalar, bir WordPress web sitesine kayıtlı tüm kullanıcıları tanımlayıp numaralandırarak bilgisayar korsanlarına WordPress'inizin nasıl çalıştığına dair fikir verir. Bu bilgilerle donanmış olan bilgisayar korsanı, sisteminize erişim elde etmek için WordPress şifre kaba kuvvet saldırısı gibi ikincil bir saldırı başlatabilir.

Burada, WordPress şifre güvenliğinin WordPress web sitenizin genel güvenliği için neden bu kadar önemli olduğunu not etmek önemlidir. Zayıf bir parola, bir kaba kuvvet saldırısının kırılmasını nispeten kolaylaştırır. Aynı şekilde, tüm hesapların güçlü parolalar kullandığından emin olmak önemlidir. Güvenliği ihlal edilmiş bir katılımcı hesabı çok fazla zarar veremeyebilir, ancak güvenliği ihlal edilmiş bir web sitesinde ayrıcalık yükseltme yoluyla, bir saldırgan ortalığı kasıp kavurmak için yönetici ayrıcalıkları elde edebilir.

Bilgisayar korsanları neden hack yapar?

Kötü bir kişi WordPress web sitenize erişmeyi başardıktan sonra, yapabilecekleri birkaç işlem vardır, örneğin:

  • Yönetici ayrıcalıklarına sahip yeni bir hesap oluşturun
  • Diğer kullanıcıların WordPress'lerine yeniden erişememelerini sağlamak için mevcut hesapların şifresini sıfırlayın
  • Mevcut bir atıl hesabın rolünü değiştirme
  • Kötü amaçlı kod enjekte etmek için içeriği değiştirin
  • Arka kapılar gibi kötü amaçlı kod eklemek için WordPress kaynak kodu dosyalarını kurcalayın
  • htaccess dosyalarına yönlendirmeler ekleyin

WordPress'inizi saldırılardan koruma

Gördüğümüz gibi, kötü aktörler bir WordPress web sitesini ihlal etmek için birden fazla yaklaşım izleyebilir. O halde, bir WordPress web sitesinin güvenliğini sağlamanın, kullanıcıların yalnızca bir parolaya sahip olmasını sağlamaktan daha bütünsel bir yaklaşım gerektirmesi mantıklıdır.

  • Araştırma – Bir WordPress barındırma sağlayıcısı veya yeni bir eklenti arıyorsanız, daha önce kontrol etmek için zaman ayırdığınızdan emin olun. Forumlar, müşterilerin ürünler veya hizmetler hakkında nasıl hissettiklerine hızlı bir şekilde bakmanıza yardımcı olurken, eklentiler sık ​​sık güncellenmeli ve mükemmel müşteri desteğine sahip olmalıdır.
  • Test – WordPress'iniz için en iyi eklentiyi seçmek bir tahmin oyunu olmak zorunda değildir. Saygın eklenti sağlayıcılarının çoğu, premium eklentilerinin ücretsiz deneme sürümünü sunar. Bu, taahhütte bulunmadan önce bunları test etmenizi sağlar.

Kurulumunuzu belirledikten sonra, maksimum güvenlik için doğru şekilde yapılandırıldığından emin olmanız gerekir. Güvenli bir WordPress yapılandırması tek seferlik bir iş değil, aşağıdakileri içeren devam eden bir süreçtir:

  • Güçlü parolalar – Güçlü bir WordPress parola politikası, kaba kuvvet saldırılarının başarılı olmadan önce sürelerinin dolmasını sağlamanıza yardımcı olabilir. Büyük ve küçük harfler, sayılar ve özel karakterlerin sağlıklı bir karışımını kullanın. Ayrıca, parolaların sık sık değiştirilmesini sağlamak için bir parola süre sonu politikası ayarlayın.
  • 2FA – İki faktörlü kimlik doğrulamanın kısaltması olan 2FA, WordPress oturum açma bilgilerinize ek bir kimlik doğrulama katmanı ekler. 2FA kullanırken, kaba kuvvet saldırısı başarılı olsa bile, akıllı telefonunuza erişmeden bilgisayar korsanları oturum açamaz.
  • Güncelleme – WordPress'i, eklentileri ve temaları her zaman güncel tutun. Bu son anketin gösterdiği gibi, WordPress güncellemelerinin uygulanması farklı şekillerde yapılabilir. Bu, yönetim ve güvenlik gereksinimlerini ter dökmeden dengelemenize yardımcı olabilir.
  • İzleme – WP Activity Log gibi bir güvenlik eklentisi ile kullanıcı ve sistem etkinliğini yakından takip edin. Bu, şüpheli davranışı erkenden belirlemenize ve hasar verilmeden önce kapatmanıza yardımcı olacaktır.

Bu hiçbir şekilde ayrıntılı bir liste değildir, ancak iyi bir başlangıç ​​noktasıdır. WordPress güvenliği, sürekli bakım gerektiren gelişen bir konudur. Bir WordPress güvenlik blogunu takip etmek, güncel kalmanın bir yoludur ve sabah kahvenizi yudumlarken okuyabileceğiniz bir şeydir.

WordPress'i güvenli tutmak

WordPress güvenliği, başı ve sonu olan bir süreçten ziyade bir döngüdür. Gelişen tehditlere yanıt vermek için sürekli dikkat ve ince ayar gerektirir. Bu çok fazla iş gibi görünse de, çoğu zaman olduğu gibi, bakım onarımdan daha iyidir. Her ay birkaç saatinizi ayırarak güvenlik risklerini büyük ölçüde azaltabilir ve web sitenizin büyümeye devam etmesini sağlamanıza yardımcı olabilirsiniz.