10 WordPress Güvenlik Uzmanları ile röportaj yapmayı öğrendiğim şey
Son üç ayı WordPress güvenlik yabani otlarının derinliklerinde geçirdim. Sıradan okuyucuların bileceği gibi, bunun nedeni yeni bir kurs başlattım: WordPress güvenliği güvenle. Bu çalışmanın bir kısmı birçok WordPress güvenlik uzmanı ile görüşmeler içeriyordu. Bu uzmanların bazıları büyük bir resme odaklanırken, bazıları çok özel yönlere odaklanıyor. Genel olarak, WordPress’in güvenliğinin çalışma şekli, neyin önemli olduğu ve hepimizin odağı olması gerektiği hakkında olağanüstü bilgi derinliği sunarlar. Umarım bu farklı perspektif karışımında ilginç bir şey bulacaksınız. Sucuri, Siteground, Sitelock ve Secupress gibi markalardan insanlarla konuştum. (İlk mektubu alfabenin ikinci yarısında olan markayı tercih ederim. P) size konunun kısa bir resmini vermek için: Bu, müşterileri ikna etmekten güvenliği düşünmeye kadar her şeyi içerir, WordPress sitenizin neden kullanıcı adları olmaması ve neden kullanıcı adları olmamalıdır Şifreler ve WordPress’in kendisinin güvenlik iyileştirmesini nasıl ele aldığı.
Güvenli WordPress Güvenliği Saatler İçin Screencast Ictorgast Güvenlik kavramları hakkında konuşuyorum ve bunu WordPress’te nasıl uygulayacağınızı (ve bir geliştiriciyseniz, PHP kodunuz) gösteriyorum. Geliştirici olmayan ve geliştirici baskısı, en iyi güvenlik uzmanlarından bazılarıyla on çok derin röportaj içeriyordu. Kursu burada görebilirsiniz, ancak sizi çekmek için, WordPress’in röportajdan gelen güvenliği hakkında en ilginç, geniş fikirli ve gıdıklayan yorumlardan bazılarını topladım. Başlamadan önce size WordPress Security hakkında daha fazla bilgi verebilir miyim? Aaron Campbell, Tony Perez ve Chris Wiegman-Soon gibi insanları tartışacağız. Bunu yapmadan önce size WordPress’in güvenliği hakkında daha fazla bilgi edip edemeyeceğimi sormak istiyorum! Yeni kursumdan paylaşmak için üç olağanüstü videom var, bu da size WordPress sitesinden üç farklı uzlaşma türünün gerçekten nasıl gerçekleştiğini (ve kendinizi onlardan nasıl koruyacağınızı) gösteriyor. Aşağıda kayıt: Video doğrudan kurstan (ücretli) çekilir, bu nedenle bu daha fazla bilgi edinmek ve ücretsiz olarak bazı premium materyaller almak için çok iyi bir fırsattır. Tabii ki, her zaman gelen kutunuza saygı duyacağım ve listemizde binlerce kullanıcıya, uygulayıcıya ve diğer WordPress geliştiricilerine katılacaksınız. Aaron Campbell bana WordPress Core güvenliğini anlatıyor
Aaron Campbell, WordPress çekirdek güvenlik ekibinin başkanıdır. Ya da onun hakkında düşündüğüm gibi “Çar Güvenlik”. “Çar” genellikle İngilizce olarak, bir şeyi izlemek için çok fazla gayri resmi ve kontrol gücü verilen biri anlamına gelir. Yani nadiren “Çar” unvanını resmen veren bir kuruluş var, ancak bunu yaptıklarında kişinin konuyla ilgili ana kişi olduğu anlamına gelir. Bu yüzden Aaron ile konuşma fırsatına sahip olduğum için çok mutluyum. Aaron, WordPress’in güvenliğinden sorumlu tek kişi olmadığını çabucak gösteriyor. Gerçekten büyük bir ekip var ve tüm temel taahhüt üreticileri projeye her gözden geçirdiklerinde veya herhangi bir kod yaptıklarında güvenliği düşünüyor. Bununla birlikte, WordPress Core projesindeki güvenlik sorunları bulunduğunda Aaron ve güvenlik ekibi sorumluydu. Güvenlik ekibi giderek daha fazla hackerone’ye güveniyor. Aaron’dan duymak ilginç olan en büyük şeylerden biri, güvenlik ekibi sürecinin nasıl değiştiğidir. Şimdilik, kişisel ve yalnızca güvenlik ekibi için yönetilen TRAC’ın (WordPress Core projesinin sorun ve kod yamaları hakkında konuştuğu arayüz) ayrı bir versiyonu olmuştur. Bu sebep var mı? Kamuoyu olmadan güvenlik sorunlarını çözmek için çok daha iyi (açık kaynak projelerinde bile). Bu, saldırganın açıklanan güvenlik açığından yararlanmaya çalışmasını önler, ancak yazılımda yamalanmamıştır.
Gelecekte ürün değişiklikleri vaadi olmasa da, Tony, Godaddy’nin onları gönderenlere daha iyi ve daha güvenli deneyimler sağlamak için yapabileceği şeylerin olasılığını açıkça ele alıyor. Bu, ana bilgisayarın yalnızca WordPress’in kendisini değil, aynı zamanda Site tarafından çalıştırılan eklentinin otomatik olarak güvenli bir şekilde güncellenmesini sağlamak gibi şeyler anlamına gelir. Veya varsayılan olarak iki faktör kimlik doğrulaması yapın. Bu şeyleri yapabilirlerse, WordPress siteleri şüphesiz bunun için daha güvenli olacaktır. Tony, Godaddy’nin onları gönderenlere daha iyi ve daha güvenli deneyimler sağlamak için yapabileceği şeyleri açıkça ele alıyor.
Ayrıca Sucuri hizmetleri serisi hakkında da konuştuk (herkes için mevcut olan Godaddy ya da değil).Eklentinin ne yaptığı, bir web uygulaması güvenlik duvarını (veya WAF) neyin ayırt ettiği ve daha fazlasını biraz tartışıyoruz.Ama bunun için tam röportaja bakmalısınız … 3. Chris Wiegman bana Hisris Wiegman’ın güvenlik eklentisini daha iyi WP güvenlik eklentisini yaptığında dikkatimi çekmediğini söyledi.Eklenti adını değiştirdi: Ithemes güvenliği.Chris, eklentiyi yapma, sürdürme ve satma rolünden geçti.Şu anda Florida Üniversitesi’nde bir web geliştiricisi. Chris’ten öğrendiğim birçok ilginç şey var. Şaşırtıcı bir şey, Chris’in başladığı da dahil olmak üzere açık WordPress güvenlik eklentisini çalıştırmadığını söyledi. Dediği gibi, iyi bir site yöneticisi eklentinin yaptığı şeylerin çoğunu işleyebilir. Ancak bu eklentilerin kurucusu, seçimini biraz daha ilginç hale getiriyor. Chris’in WordPress sitesinde bir giriş sayfası yok. Chris’in alışılmadık önerisinin bir başka kısmı ve belki de güvenlik eklentisini çalıştırmamasının nedenlerinden bazıları, WordPress sitesinde bir giriş sayfası olmamasıydı. Bunun yerine yaptığı şey, jetpack tek giriş özelliğini wordpress.com aracılığıyla kullanmaktı. Bu nedenle, tıpkı Facebook veya Google hesabınızla çevrimiçi bir hizmete gidebileceğiniz gibi, WordPress.com hesabıyla WordPress sitesine gider. Chris daha ileri gider ve sadece WordPress giriş sayfasını wordpress.com giriş sayfasına ilerletir. Brute Force Giriş Saldırısı kaybolur! 4. Meher Bala, hikayenin müşteriyi güvenlik hakkında düşünmeye nasıl ikna ettiğini açıklıyor
Meher Bala, Hindistan’da bir web geliştiricisi ve onunla konuşma önerileri için @WomenWhowp’a teşekkür etmeliyim. Çoğunlukla dünyadaki diğer birçok WordPress profesyonelleri gibi müşteri siteleri yaptı. Meher’i ayırt eden şey, müşterileri güvenliği önemsemeye nasıl ikna edeceği konusunda biraz ilginç bir anlayışa sahip olmasıdır. (Bu, müşteri hizmetleri konusunda birçok farklı insandan güvenlik konusunda duyduğum bir sorundur.) Hikayeler, insanları WordPress sitesinde güvenliğin önemi konusunda ikna etmek için bir sırdır.
Müşterilerinin çoğu WordPress’in ne olduğunu net bir şekilde anlamadan Meher’e geliyor, sadece bir web sitesine ihtiyaç duyduklarını düşünüyorlar. (Kulağa tanıdık geliyor mu?) Onlara bir site vermenin yanı sıra, Meher sitenin güvenli kalmasını sağlar. Bunu yapmak için onları güvenliğin önemli olduğuna ikna etmelidir. Ve bunun için bulduğu en ilginç ve kullanışlı teknik, sitenin devralındığını bildiği birinin kişisel hikayesini anlatmaktı ve Google’ın sıralamasını kaybetmeye başladı. İnsanlar sadece sayılardan daha fazla hikaye ile bağlantı kurabilirler, bu yüzden bu müşterileri bakım yapmak için çok etkili bir teknik olduğundan eminim. Hristo Pandjarov bana siteground hostinginin nasıl güvence altına alındığını söyledi Hristo, site alanında bir WordPress uzmanıdır. Önbellek eklentilerini koruyor ve WordPress ekosistemindeki her türlü konu hakkında düzenli olarak WordCamps hakkında konuşuyor. Hristo ile konuşmalardaki motivasyonum, WordPress güvenliğini korumada ev sahibi perspektifini elde etmektir.
Hristo, WordPress’in güvenliğini korumak için bir ev sahibi perspektifi sunuyor.Tartıştığımız en ilginç şey, site alanını ucuz WordPress barındırma sunan diğer ev sahiplerinden ayıran şeylerden biridir: kullanıcıları barındırmak için memcached katılım.Bu, WordPress siteleri tarafından kullanılabilecek başka bir önbellek katmanıdır – buna genellikle “nesne önbellekleme” denir.Ancak Memcahe’nin, birlikte barındırmayı kolaylaştıran bir güvenlik politikası yoktur.Bir ana bilgisayar dikkatsizce memcache sunarsa, kullanıcıları birbirlerine adım atma veya birbirinden veri okuma yeteneğine sahiptir.Her ikisi de kötü ve siteground sorunları basit ve zarif bir şekilde çözer: Memcache’nin kendisini çalıştırmak için her barındırma hesabını verirler.6. Ben Gillbanks bana Timthumb’dan bahseder
Ben Gillbanks profesyonel tema tasarım tema geliştirme mağazasıyla geçimini sağladı. Ayrıca, iyi arkadaşımız Alex Denning ile olağanüstü bir masterwp bülteniyle koşuyor. Ancak, WordPress tarihinde site uzlaşmasının en ünlü nedenlerinden biri olan Timthumb hakkında doğrudan bir akıl bilgisi için Ben ile konuşmakla gerçekten ilgileniyorum. Ben’in konuyu tartışma istekliliğini gerçekten takdir ediyorum. Timthumb, WordPress bu işlevselliği içermeden önce görüntünün boyutunu değiştirmek için bir araçtır. Bu aynı zamanda premium tema döneminin başında ve kütüphaneyi kodlarına girme teması oldu. Ve sorun burası. Timthumb’a onarımlar yayınlandığında herkes derhal güncellenirse, sitenin kullanılarak sızan küçük bir kısmı etkilenecektir. Güvenliğin en büyük kazançlarından biri, bağımlılığınızın gelişimini takip etmektir. Timthumb’daki sorunlar bulunduğunda, hızlı bir şekilde düzeltilir ve herkes hızla bir güncelleme alırsa, kötü bir şey olmayacaktır. Ancak son kullanıcı WordPress, sunulan temanın iyileştirilmesini güncelleyemedi. Ayrıca, Timthumb sürümünü güncelleyemeyen bir dizi tema da vardır, böylece geliştirici olmayan kullanıcılar hiçbir şey yapamaz. Güncelleme konusunda birden fazla başarısızlık sonucunda, birçok WordPress sitesi, güvenlik açığı ifade edildiğinde kodu çalıştırmaya devam eder. Ve bu güvenlikte büyük bir hata. Bu yüzden bu, saha infiltrasyonunun ana nedenlerinden biridir. Ben ve ekip tarafından yapılan hatalar nedeniyle değil (kod hataları sıklıkla meydana gelir ve herkes bunu beklemelidir), ancak kod kullanıcıları sorumlu bir şekilde güncellenmez. 7. Michele Butcher-Jonesmichele Butcher-Jones’un hack önerileri bir süredir WordPress’te çalıştı ve neredeyse beş yıl boyunca sızan WordPress sitesini temizledi. Artık günlük bir iş olarak yapmasa da, sızan siteyi (istenmeyen reklamlarla, kötü amaçlı yazılım sunan, her neyse) almanın zorluklarından hala keyif aldı ve doğru şekilde düzenledi. Siteyi düzeltirken, yapabileceğiniz hemen hemen her PHP dosyasını ünlü iyi olanla değiştirin. Michele’den öğrendiğim en önemli şey, bir uzlaşma olduğundan şüpheleniyorsanız, sitede aldığınız hemen hemen her PHP dosyasını ünlü kuyu ile değiştirmenin önemidir. Bu öneri mantıklı, ancak hayal ettiğimden önemli ölçüde daha hızlı ve daha kolay: Hacklenen kodu bulun ve dikkatlice silin. Bu durumda bazı teşhis faydaları vardır-bu yüzden Michele her zaman bir hizmet öncesi durumdaki tüm sitelerin yerel bir kopyasını tutar-ancak dikkatli değilseniz kodlarını koydukları diğer yerleri kolayca kaçırabilirsiniz. 8. Sitelock’tan Adam Warner benimle WAFS hakkında konuştu
Adam ve ben bu yılın başlarında Wordcamp Denver’daki Sitelock standında tanıştık. İyi bir adam olmanın yanı sıra, Adam bana Sitelock’un bir web uygulaması güvenlik duvarı (veya WAF) içerdiğini ve yolları WordFence gibi eklentilerde gördüğünüz sondan -noktadan güvenlik duvarından farklı olduğunu açıkladı. Hizmet reddinin hizmeti, saldırganın sitenizi sadece kamuya açık olmayı durduran o kadar fazla trafikle doldurmaya çalıştığı bir saldırıdır. Sitelock gibi WAF bulutunu yapan şeylerden biri, son noktadan daha etkili olan şeylerden biri, hizmet reddinden (dağıtılmış) çok fazla trafiği emme yeteneğidir. Hizmet reddinin hizmeti, saldırganın sitenizi sadece kamuya açık olmayı durduran o kadar fazla trafikle doldurmaya çalıştığı bir saldırıdır. WAF Sitelock her zaman aktif olan koruma sunar. Ama başka nedenlerden dolayı WAF’ı da istiyorsunuz. En büyüğü, IP’nin otomatik olarak birlikte engellenmesidir – Sitelock saldırıları tarafından görülen birinin sitenize saldırması durdurulur – ve güvenlik duvarının seviyesini tehlikeli görünen bir web isteğinden durdurur. Bunların her ikisi de WAF’den daha önemli olan güvenlik faydalarıdır. 9. Julio Potier bana neden bir güvenlik eklentisi istediğinizi söylüyor
Julio bir menkul kıymet işletiyor. Secupress, başlangıçta WP-Rocket önbellek eklentisinin üreticisi olarak bilebileceğiniz bir WP-Media ürünüydü. Son zamanlarda Secupress, daha fazla odaklanmış dikkat çekmek için Julio ile ana şirketten çıktı. Julio’nun bana Secupress’i anlatırken vurduğu şeylerden biri, güvenlik eklentisinde iyi bir temerrüt önemi idi. (Ve bu kurs için iyi bir sayıyı inceleyen biri olarak, bunun önemi konusunda kesinlikle katılıyorum.) Julio, güvenlik eklentisinde iyi bir temerrütün önemini vurguladı … Kesinlikle katılıyorum. Tam olarak takdir edilmediğim, bir geliştirici olarak benim için ilginç olan şeylerden biri, Julio tarafından kötü amaçlı yazılım tarayıcılarının temelde sadece bir dizi düzenli ifade olduğu gerçeğidir. Program olmayanlar için, normal ifade (veya Regex) sadece bir programda metin dizeleri bulmayı sever. Her zaman onlarla mücadele ediyorum, çok çalışan tüm güvenlik profesyonelleri için bunu kötü amaçlı yazılım tarayıcıları için yazan bu kadar çok ödül. 10. Joe Howard, güvenliğin neden önemli olduğunu içerir Joe, WordPress ve sanal-CTO şirketleri WP Buffs’ın desteğini gerçekleştirdi. Teknik önerilerden site optimizasyonu ve güvenliğe kadar her türlü şeyi yapıyorlar. Ve her şey aylık olarak abone olarak yapılır, böylece yardıma ihtiyacınız olduğunda ziyaret edecek birine sahip olduğunuzu her zaman biliyorsunuz. Joe ayrıca, WordPress profesyonellerine bu müşteriler için sürdürülebilir bir bakım planının nasıl uygulanacağını, satılacağını ve yürütüleceğini ve her ay gelirlerini artıracaklarını öğreten zorlu bir video kursu olan WPMRR’yi işletiyor. Aynı zamanda, WPMRR WordPress podcast’leri kendilerini çok ciddi düşünmeden başarılı WordPress iş büyümesi ve aylık rutin gelire tamamen odaklanır. İnsanlar sadece güvenlik rahatsızlıkları yaşadıklarında güvenlik yardımı için alışverişe giderler. Çok geç. Joe’dan öğrenilecek ilginç şeylerden biri (geriye dönük anlamda mantıklı olsa da), sadece bu tür yardımlar için alışveriş yapan insanların, siteleri “Hacked” gibi güvenlik rahatsızlıkları yaşadıklarında alışveriş yapanların sıklığıdır.
