WordPress güvenliğini artırmak için OWASP Top 10’u kullanmak
WordPress Security, WordPress’te yeni olan ve bir web sitesi olanlar için korkutucu bir konu olabilir. Ancak, en iyi 10 OWASP listesi gibi uyum ve standartlar ile iş, WordPress güvenliği ile kolayca başlayabilir. Bu makalede, ilk 10 OWASP listesinin bir listesi açıklanmaktadır. Ayrıca, WordPress site yöneticisinin ilk 10 OWASP ile eşleşen bir WordPress web sitesine nasıl sahip olabileceğini de açıklıyor. Owasp’ın ilk 10’u nedir? OWASP Top 10 en kritik 10 web uygulaması güvenlik riskinin bir listesidir. Bu nedenle, bu sadece bir uyumluluk standardı değildir, ancak birçok kuruluş bunu bir rehber olarak kullanır. Açık Web Uygulama Güvenlik Projesi (OWASP) kuruluşu 2003 yılında ilk listeyi yayınladı. Şimdi her üç yılda bir güncellenen bir liste yayınladılar.
10 güvenlik açığından hangisi ve OWASP’nin en iyi güvenlik riskleri? OWASP en son 10 OWASP Listesi 2017’yi yayınladı. Aşağıdakiler içindeki güvenlik risklerinin bir listesi: A1: A2 Enjeksiyon: Hasarlı Kimlik Doğrulama A3: Hassas Verilere Maruz Kalma A4: Harici Varlık XML A5: Hasar Erişim Kontrolü A6: Güvenlik Yapılandırma Hatası A7 : Bir Çapraz Site Komut Dosyası (XSS) A8: Güvenli Olmayan Bayiz A9: Bilinen güvenlik açığı olan bileşenleri kullanma A10: Yetersiz kayıt ve izleme WordPress’inizde en iyi 10 owasp güvenliğini uygulamak Bu bölüm, WordPress sitenizin olmadığından emin olmak için ne yapmanız gerektiğini açıklar. En iyi OWASP güvenliğinin 10 güvenlik açığı ve zayıflığından birine karşı savunmasız.
A1’in üstesinden gelmek: WordPress SQL enjeksiyonunda enjeksiyon, genellikle kullanıcı girdi sanitasyon eksikliğinden kaynaklanan teknik uygulamaların bir güvenlik açığıdır. Kötü bilgisayar korsanları, WordPress veritabanındaki verilere erişebilir. WordPress Core ekibi genellikle birkaç gün içinde enjeksiyon güvenlik açığını artırır. Aynı şey çoğu WordPress eklentisi geliştiricisi için de geçerlidir. Bu nedenle, Duyarlı Geliştiriciler tarafından geliştirilen her zaman iyi koşullandırılmış eklentileri kullanmak önemlidir. Çekirdeğinizin, eklentinizin ve WordPress’in temasının bu tür bir güvenlik açığına karşı savunmasız olmamasının tek yolu tüm yazılımlarınızı güncellemektir. Her zaman geliştiriciler tarafından yayınlanan tüm güvenlik yamalarını yükleyin. A2’nin üstesinden gelmek: WordPress’te hasarlı kimlik doğrulama bu tür güvenlik zayıflığı da teknik bir güvenlik açığıdır. Bu güvenlik açığı, hasarlı bir web uygulama tasarımının, planlama eksikliğinin sonucudur. Saldırgan hassas verilere erişmek için hasarlı kimlik doğrulama sorunlarından yararlanabilir. Sadece geliştiriciler bu sorunun üstesinden gelebilir. WordPress’in çekirdeği ve eklentisinin en son sürümünü kullandığınız sürece, web siteniz bu tür güvenlik açığına karşı savunmasız olmayacaktır. Tabii ki, her zaman iyi durumsuz bir eklenti kullandığınızı varsayarsak. Kimlik doğrulama hakkında konuşmamıza rağmen, WordPress sitenize iki faktör kimlik doğrulaması uygulamanızı hatırlatmak iyidir. Hangi eklentinin kullanılacağından emin değilseniz, işte en iyi iki faktör WordPress kimlik doğrulama eklentisinin bir listesi.
A3’ün üstesinden gelmek: WordPress’te hassas verilere maruz kalma
Hassas verilere maruz kalmak önemli bir sorun haline gelmiştir. Veri ihlalleri neredeyse her gün web güvenlik haberlerinde görüntülenir. Aslında, GDPR ve diğer yasal uyumluluk gereksinimleri, hassas ve kişisel verileri doğru bir şekilde ele alma ve depolama ihtiyacını vurgulamaktadır. GDPR’ye göre, hassas ve kişisel veriler, tanımlanabilecek kullanıcılarla ilgili verilerdir. Bir E-Niaga web sitesi varsa, müşterinizin adı, faturalandırma ayrıntıları ve kart sahibi verileri olabilir. Finansal hizmetler açısından, banka hesapları şeklinde veya sağlık hizmetlerinde de tıbbi geçmişleri şeklinde olabilir. IP adresi hassas veri olarak sınıflandırılabilse de, Web sitenizde olan her şeyi izlemenize izin veren WordPress etkinlik günlüğünü kaydedebilirsiniz. WordPress sitesi, yalnızca kullanıcıların oraya erişimi olan verileri kullanmaları gerektiğinden emin olun ve elbette verilerin şifrelenmesi gerekir. Kullanıcı ayrıcalıklarını ve hassas verilere erişimi daha iyi yönetmek için her zaman kullanıcıları ve WordPress rolünü kullanın. Hassas verileri WordPress sitenizden kaydetmeli misiniz? Kesin bir cevap yok. Her şey düzenlemeye ve kaynaklara bağlıdır. Her ne kadar küçük işletmeler genellikle üçüncü taraf sağlayıcılarda veri depolamak daha iyi olacaktır.
A5’in üstesinden gelmek: WordPress üzerindeki hasarlı erişim kontrolü teknik bir uygulama güvenlik açığıdır. Bu sorun, uygulama kimliği doğrulanmış kullanıcıya ihtiyaç duyulan kısıtlamaları dayatmadığında ortaya çıkar. Bu nedenle, saldırgan güvenlik açığından yararlandığında, hassas verilere erişebilirler.
Yalnızca geliştiriciler bu tür bir sorunu çözebilir. Web sitenizin savunmasız olmadığından emin olmak için, web sitenizde kullandığınız temel WordPress’i, eklentileri ve diğer yazılımı güncelleyin. A6’nın üstesinden gelmek: WordPress Sitesi Güvenlik Yapılandırma Hatalarında Güvenlik Yapılandırma Hataları WordPress web sitesinde çok yaygındır. UNTOANT yazılımı ve varsayılan sömürü, WordPress web sitesinde en yaygın iki başarılı saldırıdır. Son yıllarda, WordPress Core ekibi kullanıcıların sorunun üstesinden gelmelerine yardımcı olacak birçok şey yaptı. Örneğin WordPress artık birçok WordPress hacklemesinin nedeni olan varsayılan yönetici kullanıcı adı yoktur. WordPress sitenizin güvenlik yapılandırma hataları olmadığından emin olmak için tüm varsayılanları değiştirin. Bu, WordPress, eklentiler ve kullandığınız diğer yazılım ve cihazlar için geçerlidir. Örneğin, bir eklentinin varsayılan bir kimlik bilgisi kümesi varsa, hassas verileri bir şifre ile korumaz veya varsayılan konumda saklamazsa, güçlü bir kimlik doğrulama yapılandırın ve varsayılan yolu değiştirir. Bu, genellikle varsayılan kimlik bilgilerine sahip olan İnternet ev yönlendiriciniz de dahil olmak üzere kullandığınız yazılım ve diğer cihazlar için geçerlidir. A7’nin üstesinden gelmek: WordPress Siteler Arası Komut Dosyasında Siteler Arası Komut Dosyası (XSS), XSS olarak da bilinen teknik bir uygulama güvenlik açığıdır. Büyük olasılıkla bu en yaygın teknik güvenlik açıklarından biridir. XSS güvenlik açığı, sevilmeyen veriler doğrulanmadığında ve iletilmediğinde meydana gelir. Kötü bir saldırgan, çapraz yerinde komut dosyalarının kırılganlığından yararlandığında, kimliklerine giren ve taklit eden kullanıcıların çerezlerini çalabilirler. Ayrıca oturumlarını da ele geçirebilirler.
WordPress Core ekibi genellikle birkaç gün içinde çekirdeğin bildirdiği XSS sorununu ele alır. Bu nedenle, WordPress sitenizin çekirdeğinin, eklentisinin ve temasının bu tür bir güvenlik açığına karşı savunmasız olmadığından emin olmak için her zaman en son yazılım sürümünü kullanın. Ayrıca, her zaman tutulan eklentiyi kullanın. A8’in üstesinden gelmek: WordPress güvenli olmayan bayilikte güvensiz bayilik teknik uygulamaların kırılganlığıdır. Bu güvenlik açığı, uygulama, bütünlük kontrolleri yapmadan güvenilmeyen kaynaklardan seri nesneler kullandığında ortaya çıkabilir. WordPress Core ekibi genellikle birkaç gün içinde bu tür bir sorunu ele alır. Bu nedenle, WordPress sitenizin çekirdeğinin, eklentisinin ve temasının bu tür bir güvenlik açığına karşı savunmasız olmadığından emin olmak için her zaman en son yazılım sürümünü kullanın. A9’un üstesinden gelmek: WordPress sitesinde bilinen güvenlik açığı olan bileşenleri kullanmak, zaten güvenlik açığının açık bir şey gibi gelebileceğini bilen yazılım ve web uygulamalarını kullanmaz. Ne yazık ki değil. WordPress Vakfı bu konuda birçok şey yaptı. WordPress Core için otomatik güncellemeler var. WordPress eklentisi inceleme ekibi, eklentiyi bir süredir güvensiz olarak güncellenmemiş bir depoda işaretler. Ancak, işletmelerin yazılımın en son ve en güvenli sürümünü kullanması her zaman kolay değildir. Birçoğu, WordPress veya diğer eklentilerin en son sürümüyle uyumlu olmayan eski yazılım ve web uygulamalarını kullanır. Bu yüzden WordPress ve eklentilerin eski ve savunmasız sürümünü kullanmaları gerekiyor. Bu gibi durumlarda, kodu güncellemek için geliştiriciye başvurun. Web sitenizin itaatkar olduğundan emin olmak için bunun artık söylenmesi gerekmiyor:
Her zaman Core ve WordPress eklentisinin en son sürümünü kullanın. Ayrıca, web sitenizden kullanılmayan eklentileri, komut dosyalarını ve temaları devre dışı bırakmak ve silmek önemlidir. Örneğin, birçok site yöneticisi temayı ve varsayılan WordPress eklentisini silmez. Eğer kullanmazsanız, silin. Bu da yeni yazılımlar için de geçerlidir: yeni bir eklenti ararken her zaman dikkatli olun. Yeni bir WordPress eklentisi ararken ne yapmanız gerektiği hakkında daha fazla bilgi için WordPress eklentilerini nasıl seçeceğinizle ilgili kılavuzumuzu okuyun. A10’un üstesinden gelmek: WordPress kayıt ve izlemede yetersiz kayıt ve izleme, WordPress web sitenizin ve multisitus ağınızın güvenliği için çok önemlidir. WordPress etkinlik günlükleri ayrıca web sitelerini daha iyi yönetmenize, sorun haline gelmeden önce şüpheli davranışı belirlemenize, kullanıcı verimliliğini ve daha fazlasını sağlamanıza yardımcı olur. WordPress (günlük denetimi) etkinlik günlüğünü saklamanın faydaları hakkında daha fazla bilgi edinin.
WordPress web sitenizin itaatkâr olduğundan emin olmak için, en kapsamlı WordPress etkinlik eklentisi girişi olan WP güvenlik denetim günlüğünü yükleyin. Bu, WordPress sitenizde olan her şeyi ve etkinlik günlüğündeki çoklu ağlarda kaydedecektir. En iyi 10 OWASP listesinin üstesinden nasıl geleceğiniz hakkında daha ayrıntılı bilgi için WordPress Etkinlik Günlüğü eklentisi ile yetersiz kaydın üstesinden gelin. OWASP ile OWASP uyarınca bir WordPress sitesi oluşturmak, özellikle büyük ayarlarla uğraşırken, WordPress güvenliği karmaşık olabilir. Her ne kadar temel bilgileri başlatmak ve tartışmak, bu makalede vurgulandığı gibi çok zor değildir. Bu temellere dikkat ederek ilk 10 OWASP ile eşleşen bir WordPress web sitesine sahip olabilirsiniz: WordPress Core, Eklentiler ve Temalar’ın en son sürümünü kullanın,
WordPress’inizin çekirdeğindeki ve eklentisindeki tüm varsayılanları değiştirdiğinizden emin olun,
Güçlü bir şifre politikası uygulayın,
İki -Factor WordPress Kimlik Doğrulama Eklentisi ile 2FA’yı etkinleştirin,
Web sitenizde olan her şeyi WordPress etkinlik günlüğünde kaydedin.
Kılavuz olarak bu Top 10 OWASP listesini kullanarak WordPress sitenizin güvenliğini artırın. Daha ayrıntılı bilgi için resmi OWASP’nin ilk 10’una bakın.
