WordPress güvenli mi?
Soru, WordPress’in güvenli olup olmadığıdır. Her ne kadar açıkça dünyadaki tüm web sitelerinin yaklaşık dörtte biri için WordPress tarafından güçlendirilen bir platform olmasına rağmen, eksiklikleri olmadan değildir. Peki, WordPress güvenliğini korumaktan kim sorumlu? Tabii ki, bazı sorumluluklar sonunda omuzlarınıza düşer. Bu nedenle, mümkün olduğunca güvenli yaptığınız her siteyi korumak için WordPress güvenliğinin en iyi uygulamasını bilmek ve uymak önemlidir. Bununla birlikte, WordPress’in arkasındaki ekibin de tüm bunlarda sorumlulukları vardır. Sonuçta, WordPress’in altında yatan çekirdeği korumak için yapabileceğiniz hiçbir şey yoktur.
WordPress güvenlik sorunu, çevrimiçi bir iş yapmaya çalışan neredeyse herkesi seviyorsa, okumaya devam edin. WordPress güvenlik sorunları ve WordPress projesinin sorunla ilgili ne yaptığını tartışacağım. Daha fazlasını bilmek ister misin? WordPress Security için ana kılavuz olan ayrıntılı adım adım öğreticimize bakın. Daha fazla bilgi edinin WordPress güvenlik sorunlarının kısa geçmişi, “[H] Acker’ın Dakikada 90.978’den fazla saldırı ile hem büyük hem de küçük WordPress sitesine saldırdığını biliyor muydunuz? Sorun mutlaka WordPress, hackleme çabalarına ve güvenlik ihlallerine karşı savunmasız zayıf bir içerik yönetim sistemidir. Bunun sorun görünürlüğü daha olasıdır. WordPress, dünyanın en popüler CM’leridir, bu yüzden elbette bilgisayar korsanları için kolay bir hedef olacak.
WordPress genellikle platformun zayıf yönleri bilinmesi için çevrimiçi olarak (bloglar, forumlar, podcastler vb.) Tartışılır. Bilgisayar korsanlarının esas olarak WordPress web sitelerini hedef alması mantıklı, değil mi? Güvenlik, WPMU Dev. Bu, WordPress eksikliklerini paylaşmak için suçlanmamız gerektiği anlamına gelmez. Topluluğumuzda, bunların çoğu sadece yaygın bilgidir. Ancak, yayınlanan tüm bu bilgiler WordPress güvenlik açığını çok açık hale getirir. WordPress projesine göre (platform için güvenliği yönetmekten sorumlu ekip), her zaman güvenlik yamaları yayınlarlar. Yönetici alanına girdiğinizde aldığınız otomatik güncelleme bildirimini biliyor musunuz? “WordPress 4.7.2 olarak güncellendi” falan mı? Genellikle küçük sürümün ortaya çıktığını gördüğünüzde, bunun nedeni, ekibin güvenlik sorunlarını çözmesi gerektiğidir. Ve bu genellikle olur: Panama kağıtlarının ihlalleri, kısmen WordPress kaydırıcı eklentisinde güvenlik açığı izlenir. WPMU Dev’in özeti, belgelenmiş diğer WordPress güvenlik sömürüsünü içerir. Hepsi Panama kağıtları olarak bilinmeyebilir, ancak WordPress projesinin en iyi çabalarından bağımsız olarak – eklentilerini ve temalarını korumaktan sorumlu geliştiricilerin – bilgisayar korsanlarının hala bir giriş bulduğu bilinmesi gerekir. Dedi ki, WordPress’in REST-API’den kaynaklanan çok yeni ve kapsamlı bir güvenlik ihlalini nasıl ele aldığını görmeye ikna etti.
Bu nasıl:
Ocak 2017’de WordPress bir güncelleme 4.7.2 yayınladı. Güvenlik yamasından bahseden güncellemeler veya yamalar listesinde yer yoktur. Yaklaşık bir hafta sonra WordPress, kullanıcıya güncellemede tespit edilen ve yamalı bir güvenlik boşluğu olduğunu söyler.
Kullanıcılara gecikmenin sebebi vermelerinin nedeni? Çünkü saldırgan WordPress’in sorunu bildiğini ve düzelttiğini fark etmeden önce çekirdeği güncellemeleri için zaman vermek istiyorlar.
Tabii ki, bilgisayar korsanlarının bir süre 1,5 milyon WordPress sitesine zarar vermesini engellemedi. Ayrıca, saldırılara karşı savunmasız kalan CMS’yi (veya geç saatlerde) güncellemeyen WordPress kullanıcıları da vardır.
Dolayısıyla, yama nihayet WordPress tarafından yayınlanmış ve duyuruyu çok akıllıca ele almış olsalar da, bu süreçte bir milyondan fazla site dezavantajlı hale getirildi. Ve daha da kötüsü, birçok web sitesi sahibi bu yıkımı gerçekleştikten sonra bile fark etmemeye devam ediyor. Güvenlik yamaları daha sık görünmektedir, 2015 kötüye kullanım yükünü almaktadır. Bu gittikçe daha fazla olduğu için, WordPress’i güvence altına almaktan kimin sorumlu olduğunu ve tehdidin hala orada olmasını sağlamak için yanınızdan neler yapabileceğinizi öğrenmeniz önemlidir.
WordPress (ve Güvenlik) projesi hakkında bilmeniz gereken şey, WordPress projesi hakkında bilmeniz gerekenler ve temel güvenliği korumak için yaptıkları şeydir.
İlk WordPress güvenlik ekibi, WordPress projesi hakkında konuşalım. Bu güvenlik ekibi, hepsi WordPress’in geliştirilmesi veya güvenliği konusunda uzman olan yaklaşık 25 kişiden oluşmaktadır. Şu anda, WordPress projesindeki insanların yarısı Automattic için çalışıyor. Bu uzman ekip, çekirdekteki güvenlik risklerini belirlemekten sorumludur. Ayrıca, üçüncü taraflarca gönderilen tema veya eklenti ile ilgili olası sorunları gözden geçirmekten ve araçlarını nasıl güçlendirebilecekleri veya bilinen ihlalleri nasıl düzenleyebilecekleri hakkında önerilerde bulunmaktan sorumludurlar. Genellikle bu sorunu tanımlamak ve çözmek için yalnız çalışsalar da, zaman zaman alanlarındaki diğer uzmanlara, özellikle güvenlik ve barındırma şirketlerinden danışıyorlar. WordPress, güvenlik risklerini beklediğiniz gibi nasıl tanımlıyor, WordPress proje ekibi bir makine gibi çalışıyor iyi. Aşağıdakiler, tanımlama sürecinin çalışmaları ve güvenlik riski çözümüdür:
Bir rapor kaydedildi ve güvenlik ekibi onu aldığını itiraf etti.
Ekip üyeleri daha sonra tehdidin geçerli olduğunu doğrulamak için kapalı sunucularda ve özel sunucularda birlikte çalışırlar.
Bu, tespit edilen güvenlik zayıflıklarını izledikleri, test ettikleri ve geliştirdikleri yerdir.
Güvenlik yaması daha sonra bir sonraki WordPress küçük sürümüne eklenir.
Çok ciddi olmayan onarımlar için, WordPress yalnızca WordPress panosundaki kullanıcıları otomatik olarak her seferinde yayınlandığında söyler.
Daha acil sorunlar için sürüm yakında çıkacak ve WordPress.org web sitesi haber sayfasında açıklayacak. Elbette, 4.7.2 ile gördüğümüz gibi, WordPress bu güvenlik yamasını (geçerli nedenlerle) her zaman duyurmaz, Her zaman tamamlamak için hemen harekete geçmelerine rağmen.
Not Sürüm 3.7’deki otomatik güncellemeler hakkında, WordPress zaten tüm web sitelerine otomatik olarak küçük güncellemeleri teşvik edebilir. Bu, WordPress güvenlik ekibinin zamanında acil bir yama alabilmesini ve kullanıcıların web sitelerinin her birinde güncelleme almasını ve güncellemelerini beklemesi gerekmez. Ancak, WordPress kullanıcıları bu otomatik çekirdek güncellemesini seçebilir. Bu size geliyorsa, özellikle en son ve en iyi güncellemeler için tüm sitelerinizi dikkatlice izlemek için zamanınız yoksa, sitenizi ek risklere yerleştirebileceğini lütfen unutmayın.
WordPress eklentisinin ve temaların güvenliği, ziyaretçileri güvenli bir web sitesinin deneyimine sunma sorumluluğunuzla aynıdır, WordPress eklentileri ve tema geliştiricileri de kullanıcılarının güvenliğini korumaktan sorumludur. WordPress, on binlerce eklenti ve temayı yönetemese de, en azından hiçbir şeyin boşluktan kaçan güvensiz olmadığından emin olmak için onları izleyebilirler. WordPress projesi, güvenlik sorunları tespit edildiğinde geliştiricilerle çalışmaktan sorumlu bir ekiptir. Ancak, ondan önce, WordPress’e gönderilen her temayı veya eklentiyi gözden geçirmek için atanmış bir gönüllü ekip vardı. Ekip, en iyi uygulamanın takip edilmesini sağlamak için geliştirici ile birlikte çalışacaktır. Ancak, güvenlik açığı hala ortaya çıkabilir ve WordPress güvenlik ekibinin müdahale etmesi gerektiği zamandır:
WordPress geliştiricileri için eklentilerin ve temaların geliştirilmesi ve en iyi güvenlik uygulaması hakkında belgeler sağlayın.
Olası güvenlik zayıflıkları için eklentileri ve temaları izleyin. O zaman tespit edilen her sorun geliştiricinin endişesi olacaktır.
Geliştirici duyarlı veya işbirlikçi değilse, dizininin tehlikeli eklentisini veya temasını kaldırın.
Daha sonra WordPress, güvenlik yaması (veya kötü bir eklenti ve temanın kaldırılması) kullanılabilir olduğunda kullanıcılarına WordPress yöneticisi aracılığıyla anlatacaktır. İlk 10 OWASP Açık Web Uygulama Güvenlik Projesi Vakfı (OWASP), kuruluşu potansiyel olarak tehlikeye atabilecek yazılım ve programlardan korumak amacıyla 2001 yılında geri alındı. Öğrenmek için şaşırabileceğiniz şey, WordPress projesinin OWASP’nin ilk 10’una herhangi bir zamanda uymayı amaçladığıdır. Top 10, OWASP tarafından bilinen ve çok ciddi güvenlik riski hakkında derlenen bir listedir. Bu listeyi tanıdıktan sonra, WordPress güvenlik ekibi, çekirdeği korumanın kendi 10 yolunun listesini belirlemek için eğilimi kullandı. Şu anda amaçları aşağıdaki risklerin özünü korumaktır: Kullanıcı Hesabı Yönetiminin Kötüye Kullanımı
WordPress Yöneticisi için doğrulanmayan erişim talebi
İstenmeyen veya geçersiz transfer
Kullanıcının kişisel verilerine maruz kalma
Doğrudan Nesne Referansına Erişim İsteği
Yanlış Sunucu Yapılandırması
Geçersiz kod enjeksiyonu
Yetkisiz Kullanıcılardan Çapraz Çapraz Komut Dosyaları Yapma
Bilgisayar korsanlarının nonces wordpress’i kötüye kullandığı yerler arası isteklerin tahrif edilmesi
Eklentiler, temalar, çerçeveler, hasarlı üçüncü taraf kütüphaneleri vb.
WordPress Security, tüm bunları inceledikten sonra uyanıklığınızı gerektirir, WordPress çekirdeğini her zaman güvende tutmak için çalışan özel bir ekip olduğunu bilerek biraz daha sakinim. Ancak, bu benim (veya sizin) bir memnuniyet duygusu ile sallanması gerektiği anlamına gelmez. Geçen Ocak ayında 1.5 milyon hasarlı web sitesi ile gördüğümüz gibi, platformun izlenmesi ve güvence altına alınmasında ne kadar iyi bir projenin ne kadar iyi olması durumunda, bilgisayar korsanları bir giriş bulacak. Bu nedenle, tüm bunlarda rolünüzü oynamanız ve sitenizi her köşeden güvende tutmanız önemlidir. Defender güvenlik eklentisi başlamak için iyi bir yerdir. Diğer ipuçları için, “WordPress Güvenli mi?” Konusu ile WPMU Dev bloguna abone olmayı unutmayın. Ve onu daha iyi korumak için neler yapabileceğiniz zaman zaman görünmeye devam edecektir. Size: Web sitenizin güvenliğini güçlendirmek için sürekli kullandığınız önemli bir numara nedir?
Etiket:
WordPress Güvenliği
