WordPress eklentisinin güvenlik açığı ve bunların üstesinden nasıl gelileceği hakkında
Sitenizi harika yapmak için çok çalışıyorsunuz. Ve yaptığınız tüm işlerle, yapmak istediğiniz son şey sitenizi kötü bir hacker’dan kaybetmektir. Bilgisayar korsanları ve WordPress hakkında konuşurken, eklenti güvenlik açığı, kötü insanların girmesinin en kolay yollarından biridir. Popülerliği nedeniyle WordPress, bilgisayar korsanları için bir mıknatıs oldu. 2016 Sucuri Q1 2016 web sitesi hackleme trend raporuna göre, WordPress’i çalıştırdıkları hacklenen web sitelerinin% 78’i. Ve WordFence araştırmasına dayanarak, bilinen bir giriş noktasına sahip WordPress hacklemesinin% 55.9’u eklenti güvenlik açığının sonucudur. Bu, eklentiyi hacklenen WordPress sitesi için bilinen en büyük katkıda bulunur.
Bu yazıda, sitenizin eklenti sömürüsüne karşı savunmasız olmasını önlemek için atabileceğiniz birkaç proaktif adım göreceğim. Bilgisayar korsanları neden WordPress sitenize erişmek istiyor? Hiç saldırıya uğramadıysanız, bilgisayar korsanlarını WordPress sitenizle bu kadar ilgilendiğini merak ediyor olabilirsiniz. Benim için ziyaretçilerimi belirsiz farmasötik yerlere yönlendirebilecekler. Ama girmek isteyebilmelerinin tek nedeni bu değil. Ama başka nedenleri tartışmadan önce, sizi biraz daha iyi hissettirecek bir şeyle başlayalım. Bu kişisel olmayabilir. Çoğu bilgisayar korsanı sadece bilinen güvenlik açığını arar. Bu genellikle bir fırsat suçudur, tutku değil.
Savunmasız bir hedef bulduklarında, çeşitli şekillerde atladılar:
SEO sitelerini yapay olarak geliştirmek için bağlantılar enjekte etmek.
Ziyaretçilerinizi farklı bir siteye yönlendirin. Kötü aktarım sizi etkilemez – bu nedenle istatistiklerinizin kaybolduğunu görene kadar asla bilemezsiniz. Ziyaretçinizin bilgisayarına kötü amaçlı yazılım yükleyin.
SPAM e -postaları, DDOS saldırıları veya diğer kötü hedefler için sunucu kaynaklarınızı çalın.
Ancak, kurban olmanıza gerek yok. Eklentileri güvenlik açığı vektörleri olarak destekler ve diğer temel WordPress güvenlik ipuçlarını uygular, sizi bu saldırıların çoğundan koruyabilir. Ve sitenizin sorunsuz çalışmasını sağlayabilirsiniz.
Eklentilerle güvenlik sorunları nasıl azaltılır, ancak her zaman boşluktan kaçma imkanı olmasına rağmen, bu eklenti güvenliğinin en iyi uygulamasını takip etmek WordPress sitenizi güvende tutmaya gerçekten yardımcı olacaktır. Kalite Güvenlik Eklentilerini Kullanın Güvenlik eklentileri hakkında çok şey yazdık, bu yüzden bu noktadan çok fazla tartışmayacağım. Ancak, iyi bir üne sahip bir güvenlik eklentisi kullanmak, savunmasız eklentiler boşluktan kaçmışsa sitenizi koruyabilir. Tek savunma hattınız olarak kullanmayın. Ama son savunma hattı olarak. Bu kesinlikle gerekli.
Bir eklentinin bilinen bir güvenlik açığı olup olmadığını kontrol edin Akismet gibi popüler bir şey yüklerseniz, bu adımı güvenli bir şekilde geçebilirsiniz. Ancak, yalnızca birkaç bin aktif kurulum içeren bir eklenti yüklerseniz, sunucunuzda vahşi çalışmasına izin vermeden önce bilinen güvenlik açığını kontrol etmelisiniz. Bilinen bir güvenlik açığı bulmak için WPSCAN Güvenlik Açığı Veritabanı adlı bir web sitesi kullanabilirsiniz. Bu, WPSCAN tarafından gerçekleştirildi ve WordPress Security hakkında bir veya iki şey bilen Sucuri tarafından desteklendi. Eklentileri alfabetik olarak filtreleyebilir veya adına göre eklentileri bulabilirsiniz: Bu site size sömürü ve keşif tarihi verecektir. Bu aynı zamanda savunmasız sürüm için bir sürüm numarası sağlayacaktır. Eklenti bir yamalı yayınladıysa, artık güvenlik açığı konusunda endişelenmenize gerek yok. Eklentinizi güncel tuttuğunuzdan emin olun … WordPress, eklentiyi güncellemenizi çok kolaylaştırdı. Yine de, çok fazla insan çekirdeğini, eklentilerini ve temalarını bıraktı. Sucuri’nin analizinde, süresi dolmuş yazılım gördükleri hacklenen WordPress sitesinin% 56’sı. Ayrıca analizlerinde, sadece üç süresi dolmuş eklentinin gördükleri büyük tehlikeye atılmış WordPress sitelerinin% 25’ine katkıda bulunduğunu buldular. Merak ediyorsanız, analizleri sırasında, eklenti yerçekimi formları, revslider ve timbumb.
Sucuri’nin hacklenen web sitesi raporuna göre resimler
Yeni bir güvenlik açığı üzerinde kalın, eminim meşgul bir insansınız, bu yüzden tabağınıza çok fazla eklemeye çalışmıyorum. Ancak en son eklenti güvenlik açığını bulmak için birkaç haftada bir zaman harcamak, sömürülen bir eklenti çalıştırmadığınızdan emin olmanıza yardımcı olabilir. Bu zaman alan bir şey bile değil – daha önce bahsettiğim web sitesi, WPSCAN güvenlik açığı veritabanı da yeni keşfedilen tüm güvenlik açığını içerir: Ayda bir veya iki kez durun ve ona bakın. WP Tavern ayrıca genellikle popüler WordPress eklentilerinde yeni güvenlik açığı hakkında bilgi verir ve bu da güncel kalmasını diğer iyi kaynaklar yapar. WordPress.org eklenti dizini veya Code Canyon gibi diğer ana dizinine kaydedilmiş dizine kayıtlı olmayan üçüncü taraf bir eklentiye dikkat edin. Ancak en azından eklentinin birkaç temel sınavdan geçtiğinin bir işaretidir. Örneğin, insanlar wordpress.org’a gönderilen her eklentiyi gözden geçirdi. 2014 yılında Pippin Williamson’a göre, çoğu başlangıçta reddedildi. Ve güvenlik açığı her zaman orada olmasına rağmen, bu inceleme süreci size güvenli bir eklenti bulmak için çok daha iyi bir fırsat sunuyor. Bu, iyi bir üne sahip olan üçüncü taraflı bir eklenti vardı. Bir eklenti iyi bir geliştiriciden gelirse (zarif temalar gibi!), Bunu kullanmanızı yasaklamayı düşünmüyorum. Popüler dizine kayıtlı olmayan bilinmeyen geliştiricilerin eklentilerine dikkat edin. Ne yapmalı Güvenlik açısına sahip bir eklenti kullanırsanız, bilinen bir güvenlik açığı olan bir eklenti kullanarak bulduğunuz olumsuz bir durum oluşursa, yapılması gereken budur: İlk olarak güncellemeyi kontrol edin. Geliştirici, iyi desteklenmiş bir eklenti ise hemen iyileştirmeler yapacaktır. Onarıldıktan hemen sonra savunmasız eklentileri güncelleyin. Bir dakika sonra değil. İkincisi, güncelleme yoksa ve geliştirici soruna tepkisiz görünüyorsa, eklentiyi devre dışı bırakın. Güvendiğiniz eklentiyi devre dışı bırakmanın kolay olmadığını biliyorum, ancak bir alternatif sitenizi kullanılmak üzere açtığında, gerçekten başka seçeneğiniz yok. Bazen lansman için daha düşük bir izne sahip bir WordPress hesabı kullanabilirsiniz (örneğin bir yazar veya editör). Örneğin, güvenlik açığı son W3 önbellek güvenlik açığı gibi yönetici oturumları gerektiriyorsa, daha düşük ayrıcalıklara sahip bir hesap kullanmak bu sorunun üstesinden gelebilir. Ancak bu yaklaşım tüm güvenlik açığını iyileştirmeyecektir-bu yüzden alıcılar dikkatlidir. Her yönetici web sitesinin en kötü rüyasını sarın. Ancak, bu proaktif eklenti güvenlik önlemlerinin yardımıyla, düzenli rezervler ve iyi kamu güvenlik uygulamaları ile birleştirildiğinde, sitenizi sertleştirebilir ve sömürü şansınızı azaltabilirsiniz. Unutmayın: Güncellenin
Bilinen güvenlik açığını kontrol edin Gölgeli eklentiyi yüklemiyor
Site bir zamanlar sömürülen bir eklenti nedeniyle hacklendi mi? Durumu iyileştirmek için hangi adımları atıyorsunuz? Makale Küçük Resmi “
