Bilgisayar korsanlarının neden WordPress sitenizi hedeflediğini biliyor muydunuz?

WordPress sitelerini güvence altına almanın daha iyi bir yolunu bulduğumuzda, her şey hakkında biraz daha rahat hissetmek kolaydır … iyi ve kötü. Bu iyi çünkü WordPress’teki güvenliği güçlendirmek için yatırım yaptığımız araç ve hizmetlere inandığımız anlamına geliyor. Set-It-Up-up-IT zihniyeti ile güvenlik sıkılaştırmasını yanlışlıkla bozduğumuzda bile bu kötü. Açıkçası: Bilgisayar korsanları WordPress sitenize girmek istiyor. Bu bir gerçek. Sitenizin bilgisayar korsanlarının dikkatini çekmek için çok küçük veya yeni olduğunu düşünüyorsanız, tekrar düşünün. Her gün her dakika meydana gelen on binlerce güvenlik saldırısı var ve bilgisayar korsanları, web sitesinin veya saldırdıkları işin büyüklüğü açısından önyargı göstermiyor.
Ne yazık ki WordPress’teki bol zayıflıklar ve bilgisayar korsanları ne olduğunun farkındadır. WordPress sitenizin etrafına iyi bir savunma kurmak istiyorsanız, bir bilgisayar korsanı gibi düşünmelisiniz. Sitenizin en zayıf noktasını belirleyin ve kullanmak için kullanabilecekleri çeşitli yolları göz önünde bulundurun. Ancak o zaman saldırıları düzgün bir şekilde savuşturabileceksiniz. WordPress sitenizdeki en zayıf nokta nerede? Belki de bütün bunlar hakkında en korkutucu şey? Genellikle, bilgisayar korsanları web sitenizi çevrimiçi olarak izlemez (özellikle site yeni veya daha küçükse). Birçok hacker, botları kullanarak güvenlik açığını koklama sürecini otomatikleştirir. Bu bot girişi algılar ve bilgisayar korsanları içeri atlar. Yani, gerçekten, herhangi bir WordPress sitesi kurban olabilir.
Bilgisayar korsanlarını ve botlarını önlemek için, WordPress’teki en yaygın zayıf noktaları tanımak önemlidir. Şifreler Giriş ve şifre gerektiren WordPress sitenizin arka ucundaki veya ön ucundaki her yer hedefleme için ana alandır. Bu, ana WordPress giriş alanı dahildir: Yorum Kurulu:

E-ticaret hesabı veya ödeme ağ geçidi:

Hacker, kullanıcıların çevrimiçi oldukları her hesap için her zaman benzersiz ve güçlü bir şifre yapma eğiliminde olmadığını bilir (bu, şifre güvenliği 101’in temellerine aykırıdır). Bu yüzden bu, WordPress sitenizdeki ilk hedeflerinden biri olacak.

Yorumlar Yorumlar sadece güvenlik yükümlülükleri değildir, çünkü giriş öğesi (varsa). Yorumlar spam nedeniyle de sorunlu olabilir, bu yüzden bazı insanlar WordPress hakkındaki tam yorumları devre dışı bırakmayı seçer. Aşağıda, bir müşterinin Cehennemden Yorum Kurulu örneğidir:
Bağlantı tehlikeli bir şeye yol açmayabilir, ancak elbette bu kötü müşteri hakkındaki yorum dizisine dahil değildir. İletişim Formları İletişim Formları, Abonelik Formları, Ödeme Formları – Sitenizin kullanıcılarından ayrıntılarını girmelerini isteyen herhangi bir kısmı bilgisayar korsanları tarafından hedeflenecek açık bir yerdir.

Tabii ki, perde arkasında net bir boşluk var ve daha sonra saha yaklaşımına girilen hassas verileri al. Hacker’ların, hem kablosuz klavyeye hacklenerek hem de bilgisayarlarına yüklenen Keylogging kötü amaçlı yazılımlarını kullanarak kullanıcının düğmesinin kullanımını izleyerek veri çalmanın yolları da vardır. WordPress Veritabanı, WordPress’in tüm sitelerde dosyaların ve veritabanı yapılarının adlandırılmasını basitleştirmesi harika olsa da, aynı zamanda büyük bir sorundur çünkü hepimiz (bilgisayar korsanları dahil) “WP-” önekinin neredeyse her şeyi etiketlemek için kullanıldığını bilir. . Bu, WordPress veritabanınızı değiştirilmezse tamamen açık ve saldırılara karşı savunmasız hale getirir. Inti WordPress, önceki WordPress kurulumunun% 73’ünden fazlasının zaten içindeki güvenlik açığını bildiğini biliyor muydunuz?
WordPress’in çekirdeği yönetilmek sizin sorumluluğunuzda olmasa da, elbette WordPress tarafından yapılan her güncellemenin hemen işlenmesini sağlamaktan sorumlusunuz. WordPress güvenlik ekibinin güncellenmiş çekirdeği tutmakla ne kadar meşgul olursa olsun, WordPress geliştiricilerinin güvensizliği sitelerine tanıtmamak için sonunda aynı şeyi yapmaları önemlidir. WordPress eklentisi, güvenlik ihlallerine karşı daha savunmasızdır, WordPress’in çekirdeği bir eklentidir. Aslında, WordPress eklentisi WordPress sitesindeki tüm güvenlik saldırılarının% 50’sinden fazlasına katkıda bulunur.
Tabii ki, WordPress eklentilerini kullanma konusunda endişelenmenize gerek yok; Bunlar, kitleniz için etkileşimli ve çekici bir web sitesi oluşturmak için yaptığınız işin önemli bir parçasıdır. Ancak bu, mevcut eklenti koleksiyonunuzda neler olduğuna dikkat etmeniz ve siteniz için yeni bir eklentiyi incelerken gözlerinizi ve kulaklarınızı açık tutmanız gerektiği anlamına gelir. Genellikle WordPress eklentilerinin sizin için zor bir durum yapmasının iki yolu vardır: geliştirici tarafından güncellendiklerinde, ancak sitenizde bir artış yapmazsınız (veya zamanında yapmazsınız).

Sitenize bilinçsizce sahte WordPress eklentileri eklediğinizde.

Yani, buna dikkat ettiğinizden emin olun.
WordPress teması, sahte olanları kullanma konusunda endişelenmenize gerek olmasa bile, aynı şey WordPress temaları için de geçerlidir. Bununla, sadece geliştiriciden güncellemeleri zamanında kaldırma meselesidir. Web Hosting Sunucusu Maalesef, tüm web barındırma şirketleri aynı yapılmaz ve bu genellikle aldığınız sunucu güvenliğinin seviyesini ve kalitesini etkileyebilir. Tabii ki, bir web barındırma paketi seçerken aşağıdaki şeylere dikkat etmelisiniz:
Sunucu tarafı güvenlik duvarları ve şifreleme
Nginx veya Apache web sunucusu
Antivirüs ve kötü amaçlı yazılım önleyici yazılım
Güvenlik sistemi yerinde
SSL ve CDN sertifikalarının kullanılabilirliği
Sunucuda aynı alanı paylaşan birkaç alan olduğunda çapraz yer kontaminasyonu riski de vardır. Senaryo doğrudan sitenizle ilişkiliyse, sunucu düzeyinde ekstra güvenlik önleme önlemleri almanız gerekebilir.
Bilgisayar korsanları WordPress sitenizden ne istiyor? “Sitem çok küçük/yeni/yerel. Ondan bir hacker ne olabilir? “, Tonunuzu değiştirmenin zamanı. Bilgisayar korsanları sadece büyük bir şirketi soymak istemiyor. Değil. Sadece sömürebilecekleri güvenlik açığını ararlar. Yani, bir dahaki sefere “İstedikleri hiçbir şeyim yok” diye düşündüğünüzde, kullanabilecekleri aşağıdaki fırsatları göz önünde bulundurun: 1. Tehlikeli içeriğin enjeksiyonu bazı durumlarda, hackleme sadece içerik veya tehlikeli kod girmekle ilgilidir. WordPress siteniz, ziyaretçilerinizin umuduyla yanlış bağlantıyı tıklar. Bu, bir yorum spam ile, sitenizin e -postasını ele geçirerek ve takipçilerinize spam mesajları göndererek veya içeriğin gerçek teslimatı yoluyla olabilir. Son örnek olarak, bir sonraki galeri eklentisinin güvenlik açığına bakın. Bu sayede, bilgisayar korsanları PHP web sitesini güncelleme ve ardından eklentiler aracılığıyla siteye saldırma olanağına sahiptir. 2. Virüsü, bilgisayar korsanlarının ziyaretçilerinizi terörize etmeyi amaçladığı başka bir yol, WordPress sitenizi virüsleri ve kötü amaçlı yazılımları yaymak için kullanmaktır. Bunu arka uçta yazdıkları tehlikeli kodu veya ön uçta indirilecek dosyaları kullanarak yapabilirler. Ziyaretçiler onlarla etkileşime girdiğinde, bilgisayar korsanları ziyaretçiler hakkında bilgi çalırlar veya virüsü diğer web sitelerine yaymak için bilgisayarlarını kullanırlar.
BlogVault Rezerv eklentisi ihlalleri iyi bir örnektir. Bu saldırı boyunca, bilgisayar korsanları, eklentileri olan WordPress sitelerini kötü amaçlı yazılımlarla bulaşabilir. 3. Kişisel Bilgileri Çalma Bu ziyaretçi ziyaretçileriniz tarafından en çok korkuyor ve bu asla olmaz çünkü oldukça pahalı. Gerçekten de, herhangi bir güvenlik ihlali iş için kötüdür, ancak bu aynı zamanda saldırıda tehlikeye atılan para ve gizlilik için ziyaretçilerinizi ve müşterilerinizi telafi etmek zorunda kalır. Markanıza olan güvenlerinin kaybından bahsetmiyorum bile. Bilgisayar korsanları bu bilgileri çeşitli şekillerde alabilir ve onunla bazı şeyler de yapabilirler. Bazen kendi kişisel parasal faydaları için, ancak bazen Ashley Madison gibi bir tür açıklama yapmaya çalıştıkları gibi. 4. Kişisel Bilgi İşleri İşletme İşleri Şirketleri hakkında, özellikle finans ve gizli müşteri hesap detayları ile ilgili ayrıntıları korumak için çok çalışıyor. Bu nedenle, bu bilgileri uygun işletme alanına senkronize etmemek çok önemlidir. Heartbleed güvenlik açığı, bu tür saldırıların en son örneğidir ve web sitesini daha iyi korumak için yapılan OpenSsl-One ile ilgili sorunlardan gelir. Tersine, OpenSSL’nin nihayetinde, etkilenen web sitesi sunucusuna sahte istekler gönderdiklerinde hassas iş verilerini bilgisayar korsanlarına geri yüklemekti. 5. Web sitesindeki Sunucu Kimlik avı’nizin kimlik avı sayfası ana bilgisayar, temel olarak, bunu sağlamak isteyen ziyaretçilerden bilgi toplamak amacıyla WordPress sitenizde sahte sayfalar yapma zamanını ifade eder.
Bunu sayfadaki iletişim formunu sabitleyerek ve doğrudan bilgi toplayarak yapabilirler veya ziyaretçileri daha sonra bilgilerin atanacağı diğer web sitelerine yönlendirebilirler. Google, kimlik avı sahtekarlığı nedeniyle her hafta 50.000 web sitesinin siyah bir listesini yapıyor. Oldukça çılgın, değil mi? 6. Sunucunuzun resmi sayfası Bazı bilgisayar korsanları, SEO’larını geliştirmek için WordPress sitesinde resmi bir sayfa oluşturmak için gerçekten zaman ayırabilir. Bu sayfalar kendi şirketleri hakkında konuşuyor ve sitelerine arama konusunda daha fazla etki sağlamak için onlara bağlandı. Veya yön sayfasının yönünü geçmeyi seçebilir ve bunun yerine SEO’yu artırmak için daha pürüzsüz bir yaklaşım kullanabilirler. Bu durumda, sitenizden sitelerine bir arka bağlantı kullanacaktır. 7. Web sunucunuzu aşırı yükleyin Hackerlar web sunucunuzu bir saldırı dalgası ile yüklediğinde, dağıtılmış bir hizmet (veya DDOS) reddetme saldırısı olarak bilinen şey budur. Eşiğe ulaştıktan sonra siteniz azalır ve kazanırlar. Bunu neden yapıyorlar? Sitenizi çevrimdışı hale getirmekten ne alabilirler? Peki, övünme hakları için olabilir. Belki de sitenin arkasındaki markaya karşı kişisel bir kinleri olduğu için. Belki site büyük bir saldırıdaki birçok kurbandan sadece biridir. Ya da belki bir fidye istemek için yaparlar. 8. Bant genişliği sunucunuzu çalın, daha önce insanların WordPress sitenizden bilinçli veya bilinçsiz olarak görüntüleri nasıl çalabileceği hakkında konuştuğum.

Bunun gerçekleşmesinin bir yolu, bağlantılı resminiz aracılığıyla sitenizi diğer web sitesi trafiği için etkili bir şekilde değiştiren HotLighting’dir. Bununla birlikte, bilgisayar korsanlarının diğer web sitelerinde bitcoin madenciliği ve kaba kuvvet saldırıları gibi kendi kötü faaliyetlerini barındırmak için sunucu kaynaklarınızı çalabileceği başka yollar da vardır. Hacker madenciliği faaliyetlerinde kullanılan bir “köle” e ihlal edilen sitenin Monero madencilik hacklemesi durumunda olan buydu. 9. Web sitenize zarar vermek ve elbette web sitesinin yok edilmesi vardır. Çoğunlukla, bilgisayar korsanları bunu markanıza zarar verirken kendileri için bir arama kartı yapmak için yaparlar. Bunun gibi yıkımlardan biri çoğu WordPress web sitesinde gerçekleşir – ve kullanıcılar zamanında güncellenemediği için WordPress yayınlanan yamalardan sonra bile ortaya çıkmaya devam eder. Bunu olumlu bir notla çözmek için sarın, bildiklerimize odaklanmaya çalışalım: Hayır, WordPress yenilmedi. Ama evet, ne gördüğümüzü biliyorsak, davetsiz misafirlere karşı iyi bir savunma kurmak için bir yolumuz var. Bir hatırlatma olarak, yapabileceğiniz şey budur: sitenizi düzenli olarak boşaltın.
Sitenizi her seviyede sabitleyin: sunucu, çekirdek, eklenti, tema, hatta kendi bilgisayarınız ve ağınız.
Bir güvenlik eklentisi kullanın.
CDN kullanın.
SSL sertifikaları kullanın.
Şifrenizi güvence altına alın.
Ve sitenizin güvenlik açığı olmasını sağlamak için düzenli güvenlik açığı taraması yapmayı unutmayın!
Size: Müşterilerinizi WordPress sitelerinin güvenlik (daha fazla) gerektirdiğine ikna etmek ne kadar zor?
Etiket:
Hacker
WordPress

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir