SPAM WordPress için Ana Kılavuz

Ayrıca kontrol edebileceğiniz bir kırmızı bayrak daha var, ancak yalnızca e -postadaki bağlantıyı tıkladıysanız. Adres çubuğunuzdaki URI, bir e -posta göndermesi gereken şirketi yansıtmadığını bildiğiniz siteyi görüntüleyin. Örneğin, gmail hesabınıza erişmek için https://mail.google.com yerine http://www.some-site.com/wp-inchudes/js/pagelogin.php gibi bir şey görürseniz. Bu son kırmızı bayrak genellikle en iyi göstergedir, ancak bağlantıyı tıklamanız tavsiye edilmez. Bağlantıya tıklamadan önce e -postayı silmeniz için yeterli tehlike işareti olup olmadığını belirlemeye çalışın. Şüphe varsa, geçerli bir sayfayı doğrudan ve herhangi bir e -posta bağlantısını tıklamadan veya şirketin resmi destek ekibiyle iletişime geçmeden, bazı şirketlerin kayıt olduktan sonra onay e -postaları gönderdiğini unutmayın, çünkü birisi yanlışlıkla e -postalarını girip e -postanızı girebilir, özellikle de e -postanızı girebilir. Sadece bir karakteri ortadan kaldırmanız gerekir. Bu e -posta genellikle geçerlidir, ancak son zamanlarda kaydolmaya çalışmazsanız e -postayı göz ardı etmenizi isterler.
Aldığınız e -postanın meşru olup olmadığından emin değilseniz, cevap vermeyin ve mesajdaki herhangi bir bağlantıyı tıklamayın. Cevap verirseniz, Spammer e -postanızın gerçek olduğunu ve güncel olmadığını bilecektir, böylece spam göndermeye veya başkalarına satmaya devam edebilirler. Mesajdaki herhangi bir bağlantıya tıklarsanız, bilinçsizce ve otomatik olarak virüsleri veya kötü amaçlı yazılımları indirebilirsiniz. Korsanlık (Transfer) Bazen sitenize sızdığında, bilgisayar korsanlarının amacı sitenizi sürdürmek ve trafiği yönlendirmektir. Tüm trafiğinizi sitelerine gönderen komut dosyaları yüklerler. Buna ek olarak, aktarım komut dosyası hala çalışmak için sunucu kaynaklarınızı kullanır ve bant genişliğinizi ve belleğinizi zayıflatabilir, çünkü ziyaretçiler başka yerlere yönlendirilmeden önce başlangıçta sitenize inmelidir. Yalnızca spam sitesini görüntülemek için ödeme yapmak zorunda değilsiniz, aynı zamanda satış veya dönüşüm potansiyelini de kaybedersiniz çünkü yerli ziyaretçiler sitenize gerçekten giremez. İşletmeniz spam ile ilişkilendirilmeye başladığında itibarınız da azalabilir. Hackerlar giriş bilgilerinizi tahmin etmeye ve sitenize farklı kullanıcı adları ve şifrelerin bir kombinasyonu ile girmeye çalıştığında, buna kaba kuvvet saldırısı denir. Bu tür bir saldırı için, bilgisayar korsanları “admin” ve “Password1234” gibi tahmin edilmesi kolay kullanıcı adlarını ve şifreleri kullanmanız için size güvenir. Bu da genellikle manuel olarak yapılır. Bu nedenle yönetici kullanıcı adınızı değiştirmeniz ve ayrıca güçlü bir şifre kullanmanız önemlidir. Diğer yayınlarımızdan birini, WordPress Security:
Temel güvenliğin en iyi uygulamaları hakkında ayrıntılar için WordPress’i güvence altına almak için denenmiş ve gerçek ipuçları. Ne yazık ki, birçok hacker başarılıdır, özellikle kimlik bilgilerinizi ayrı kimlik avı e -postalarından çalmışlarsa veya giriş bilgilerinizi diğer bilgisayar korsanlarından satın alıyorlarsa. Ne yazık ki, tekrarlanan kaba kuvvet saldırıları birçok bant genişliği ve hafıza harcayabilir. XML-RPC XML-RPC saldırıları 1998’den beri var olmuştur ve WordPress’te WordPress API adı verilen bir Uygulama Programı arayüzü (API) şeklinde kullanılmaktadır. XML-RPC, sitenizin verileri göndermek, işlemek ve geri yüklemek için uzaktan diğer siteler veya uygulamalarla iletişim kurmasını sağlar. HTTP kullanarak veri ve prosedür çağrı işlemleri için XML kullanır. Bu, sitenizin geri dönüşünü ve pingback’ini desteklemek için kullanılır, ancak API, sitenize çeşitli uygulamaları bağlamak için de kullanılır. Belki en ünlü örneklerden bazıları WordPress hücresel uygulamaları ve jetpack eklentileridir. WordPress API, sitenizin yayın göndermek ve almak ve pingback göndermek ve uygulamaya bağlamak için diğer sitelere bağlanmasına izin verir, böylece yayın yayınlayabilir, resim yükleyebilir ve yorumları, kullanıcıları, yayınları ve diğerlerini uzaktan yönetebilirsiniz. XML-RPC genellikle bilgisayar korsanları tarafından WordPress’te kullanılır, çünkü bir HTTP isteğinde birçok komut yürütmek için kullanabilirler. XML-RPC hakkında daha fazla bilgiyi XML-RPC makalemizde ve WordPress Security için neden silmenin zamanı geldi. Genellikle, siteyi ziyaret etmek ve girmek bir istek gerektirir ve yalnızca istek başına bir kez girmeyi deneyebilirsiniz.
API’yi XML-RPC’ye göre kullanarak, bir hacker istek başına giriş yapmak için yüzlerce hatta binlerce çaba gösterebilir. Kaba kuvvet saldırılarını güçlendirecek ve sitenizin kaynaklarını kullanacaklar. Eğer kaba kuvvet saldırısı başarısız olursa, DDOS saldırılarına neden olabilir. Hizmet Reddetme (DDOS) Saldırıları Dağıtılmış Hizmet Reddetme (DOS) saldırıları, sitenizi hackleme veya kişisel bilgilerinizi çalma çabası değildir. Bunun yerine, bu çabanın bir ürünüdür. Bilgisayar korsanları sitenize şiddet veya XML-RPC saldırıları gibi sızmaya çalıştıklarında, sunucunuz aracılığıyla bant genişliğinizi ve belleğinizi harcayan çok fazla istek gönderir. Siteniz çok fazla istek gönderilir, böylece kaynaklarınız tükenir ve siteniz ölür. Barındırma sağlayıcınıza bağlı olarak, sitenizin sızdığını düşünürlerse veya çok fazla kaynak kullanarak hizmet gereksinimlerini ihlal ederseniz siteniz kalıcı olarak düşebilir. Hizmet Reddetme Hizmeti (DDO’lar) benzer dağıtılmıştır, ancak bükülme ile. Bilgisayar korsanları, birçok bilgisayarı ve siteyi diğer siteleri hedefleyecek şekilde çalışan virüsler ve komut dosyaları ile sonuçlandırabilir. Binlerce site ve bilgisayar, binlerce başka siteye saldırmak için enfekte olabilir. Enfekte edilmiş siteler diğer siteleri kesmek veya spam göndermek için programlanabilir, ancak her iki durumda da, genellikle aşırı yüklenmiş ve web’den atılan hedefli bir site ile biter. Siteniz azalırsa, orijinal trafikten daha fazlasını kaybedebilirsiniz. Para kaybedebilir ve düşebileceğiniz arama motoru derecelendirmeleri yapabilirsiniz.
DOS veya DDOS saldırılarının sonuçlarını iyileştirmeye çalışırken her bahsetmediğinizde bahsetmiyorum bile. WordPress sitesinin WordPress sitesi enjeksiyonu, dinamik içeriğin görüntülenebilmesi için bir veritabanı ve PHP tarafından desteklenir. Siteniz, verileri temizlenmeyen ve doğrulanmayan bir komut dosyası veya eklenti içeriyorsa, SQL enjeksiyonuna neden olabilecek bir güvenlik açığı haline gelir. Bu, bilgisayar korsanlarının veritabanınıza geçersiz erişim elde etmek için Sitenizin URL’sine sorguları ve SQL ifadelerini girebileceği anlamına gelir. Daha sonra veritabanınızda depolanan kişisel bilgileri ve giriş bilgilerini çekebilirler. Bu bilgilerle, sitenizi korsanlık, kimlik avı, tehlikeli transfer senaryoları ve bir dizi diğer bozukluk gibi diğer saldırı biçimleriyle daha da tehlikeye atabilirler. Verilerinizi bu makalenin kapsamı dışında temizleyin ve doğrulayın, ancak verilerinizi ve verilerinizi ayrıntılar için çıkarmak ve temizlemek için işlevlerinizi doğrulamak için işlevleri görebilirsiniz. WordFence tarafından yapılan analizde sahalar arası komut dosyası (XSS), 1599’dan itibaren gözden geçirdikleri hacklenen site,% 47’sinin çapraz yer senaryo saldırıları (XSS) tarafından tehlikeye atıldığını buldu. Oluşabilecek çeşitli yollar vardır, ancak XSS saldırıları genellikle yazılan eklentiler, temalar ve komut dosyaları, bilgisayar korsanlarının web sitesine kodları (genellikle JavaScript) enjekte etmesine izin verdiğinde başlar. Bazen bu, sitenizdeki formdaki giriş sütunu aracılığıyla yapılır. Başarılı olursa, JavaScript çalıştırılır ve ziyaretçilerin tarayıcısına sızar ve kontrol edebilirler. Bir hacker XSS’nin güvenlik açığından yararlanabilirse, şunları yapabilirler:
Yönetici hesabı dahil olmak üzere, ödün verdikleri siteye erişmek için kişisel bilgileri çalmak veya finansal kullanıcı oturum çerezini işe almak için kullanıcının tarayıcısına ulaştıkları erişimi kullanın
Kötü amaçlı yazılım veya spam enjekte etmek de dahil olmak üzere her türlü şeyi yapmak için bir veritabanına yazın
Transfer betiğinin enjeksiyonu
Kimlik avı için sayfalar, komut dosyaları ve formlar oluşturun