WordPress site enjeksiyon saldırılarına karşı nasıl korunur (3 yol)
WordPress temalarının ve eklentilerinin sitenizi saldırılara karşı daha savunmasız hale getirebileceği yaygın bir bilgidir. Ancak, üçüncü taraf kütüphaneleri sitenizi bilgisayar korsanlarına karşı savunmasız hale getirebilir. Neyse ki, WordPress kurulumunuzu korumak için atabileceğiniz birkaç adım var – güvenlik açığı üçüncü taraf kodundan gelse bile. Bu asla daha önemli değildir, çünkü WordPress tarafından e -posta göndermek için kullanılan kütüphanede son zamanlarda kritik güvenlik açığı bulunmuştur. Bu yazıda, bu yeni nesne enjeksiyonunun güvenlik açığının ne olduğunu ve web siteniz için neden felaketlere neden olabileceğini tartışacağız. Daha sonra, sitenizi Phpmailer güvenlik açığı ve diğer site enjeksiyon saldırılarından korumanın üç basit yolunu paylaşacağız. Başlayalım!
WordPress Core Site Enjeksiyon Saldırısı’na giriş, platformundaki güvenlik açığının üstesinden gelmek için iyi bir üne sahiptir. Ancak, bu popüler içerik yönetim sistemi (CMS) bir boşlukta mevcut değildir. Bazı WordPress temalarının ve eklentilerinin sitenizi saldırılara karşı daha savunmasız hale getirebileceği yaygın olarak kabul edilmiştir. Ancak, üçüncü taraf kütüphaneleri de sitenizi tehlikeye atabilir. Son zamanlarda, nesne enjeksiyonunun güvenlik açığı, phpmailer kütüphanesi nedeniyle WordPress 3.7 ila 5.7.1’de bulundu. Bu açık kaynak kütüphanesi, WordPress’in ek yapılandırmalar yapmanızı gerektirmeden e -posta göndermeyi yönetme şeklidir.
Nesne Enjeksiyon Güvenlik Açığı, kullanıcı tarafından sağlanan girişi Unssialize () PHP işlevine iletmeden önce doğru bir şekilde temizleyemediğinizde gerçekleşir.PHP, nesne serileştirmeye izin verdiğinden, saldırgan, Serialize () çağrısına Ad-Hoc Seri dizisine devam etme potansiyeline sahiptir.Bu, PHP nesnelerinin başvurunuzun kapsamına keyfi olarak enjekte edilmesine neden olabilir.WordPress’in phpmailer’e doğrudan erişime izin vermediğine dikkat edilmelidir.Tüm bu etkileşimler, çeşitli doğuştan gelen savunma mekanizmalarına sahip WordPress Uygulama Programlama Arayüzü (API) aracılığıyla gerçekleştirilir.Böylece bilgisayar korsanları phpmailer kütüphanelerinden yararlanabilir, sitenizin zaten en az bir ek güvenlik açığı olması gerekir.Aslında bu, güvenlik boşluklarının sömürülmesini zorlaştırır.Ancak, bilgisayar korsanları zaten sitenize erişimi varsa, bu güvenlik açığını ayrıcalıklarını iyileştirmek ve daha fazla hasara neden olmak için kullanabilirler.
Bir hacker, bu zayıf noktayı bazı ciddi saldırılar başlatmak için de kullanabilir. Buna SQL kodu ve enjeksiyon, uygulama hizmeti reddi ve geçiş yolu dahildir. Bu saldırılardan biri başarılı olursa, kötü üçüncü taraf sitenize zarar verebilir, hesabınızı silebilir veya kişisel ziyaretçilerle ilgili bilgileri çalabilir. Çok tehlikede olan, istismar edilmesi zor olanlar da dahil olmak üzere, bilinen her güvenlik boşluğunu kapatmak için adımlar atmak önemlidir. WordPress’in site enjeksiyon saldırılarına (3 yol) karşı korunacağı PatchTack güvenlik uzmanlarına göre, bu phpmailer zayıf nokta en yüksek kritik seviyeye yakındır. Ortak güvenlik açığı puanlama sistemini (CVSS) kullanarak bir ila on ölçekte PatchTack, 9.8’lik bir phpmailer puanı belirledi. Her web sitesi sahibi için endişe verici bir sıralamadır, bu yüzden WordPress kurulumunuzu nasıl koruyabileceğinizi görelim. WordPress Core’u güncellemeye devam edin WordPress sitenizi korumak için bir numaralı öneri her zaman aynıdır: her zaman sitenizi güncelleyin. Bu nesne enjeksiyonunun kırılganlığını bulduktan sonra, WordPress ekibi hızla bu güvenlik sorununun üstesinden gelen bir güncelleme yayınladı. 5.7.2 veya daha yüksek sürüm çalıştırmadıysanız, şimdi güncellemeniz önemlidir:
Güvenlik açığı her bulunduğunda, WordPress ekibi güvenlik güncellemelerini mümkün olan en kısa sürede yayınlamaya çalışır. Bununla birlikte, düzenli sürümler bile güvenlik özellikleri ve bu CMS’nin güvenliğinin korunmasına yardımcı olabilecek yeni savunma mekanizmalarını tanıtabilir.
2. PHPMailer sürüm 6.1.8-6.4.0’da nesne enjeksiyon saldırıları başlatmak için bir web uygulaması güvenlik duvarı kullanın, bilgisayar korsanlarının UNC yolunun adıyla ekleme yoluyla Phar bayilerini hedeflemesi gerekir. Bu, ağdaki sunucu adını içeren klasöre veya dosyaya giden bir yoldur. İyi haber şu ki, güvenlik duvarı WordFence, ücretsiz ve premium eklentinin bir parçası olarak varsayılan bir PAR bayisi sunuyor: WordFence’i etkinleştirdikten sonra, öğrenme moduna koymanızı öneririz. Bu mod, WordFence’in şüpheli olarak yasal bir faaliyeti işaretlediğinde ortaya çıkan olumlu hatalardan kaçınmanıza yardımcı olmak için tasarlanmıştır.
Öğrenme modu sırasında, sitenizle her zamanki gibi etkileşim kurmaya devam edin. Bu, WordFence’a düzenli kalıplarınızı ve davranışlarınızı inceleme fırsatı verir. Bu, sitenizi geçersiz eylemlerden korurken tüm bu eylemlere izin verebilir. WordFence’ı Öğrenme Moduna yerleştirmek için WordFence> Güvenlik Duvarı’na gidin: Ardından, Web Uygulaması Güvenlik Duvarı Durumunun açılır bölümünü açın ve Öğrenme Modunu seçin. WordFence şimdi web sitenizde yaptığınız her hareketi izliyor. En iyi sonuçlar için, WordFence’ı en az bir hafta boyunca bu modda bırakmanızı öneririz. WordFence’ın yeterli veri topladığından emin olduktan sonra, WordFence> Güvenlik Duvarı’na giderek güvenlik duvarınızı etkinleştirin. Ardından, gerilme menüsünü açın ve etkinleştirilmiş ve koruyun.
3. Verilerinizi temizleyin Bu phpmailer sömürüsünün bir parçası olarak, bilgisayar korsanları seri değeri temsil eden ve PHP değerine dönüştüren bir dizeyi alan Unsgialize () işlevini kullanacaktır. Bir nesne enjeksiyon saldırısında, kötü bir üçüncü taraf bu serialize () işlevi aracılığıyla veri çalıştırabilir ve nesnenin özelliğini seçebilir. Örneğin, saldırganlar, sitenizin şifre dizininin içeriği de dahil olmak üzere dosyalarınızı okumalarını sağlayan bir yük yapabilir. Doğrudan Serialize () işlevine yapılan içeriği sürdürmek yerine, verileri doğrulamak ve temizlemek önemlidir. Bu, aldığınız verilerin temiz, doğru ve tehlikeli kodlardan arınmış olmasını sağlamaya yardımcı olabilir.Verilerinizi bir dizi sterizize asistan işlevi _*() kullanarak temizleyebilirsiniz. Codex WordPress, kullanıcı girişini nasıl temizleyebileceğinizi gösteren basit bir örnek sağlar. Bu, bir dizeyi bekleyen bir form örneği verir: Bu senaryoda, bu verileri sendize_text_field () işlevini kullanarak temizleyebilirsiniz: $ title = saditize_text_field ($ _post [ ‘Başlık’); update_post_meta ($ post-> id, ‘başlık’, $ başlık); Burada, değişken bir genişlik kodlaması olan geçersiz UTF-8’i inceliyoruz. Bu işlev daha sonra etiketleri, satırları, sekmeleri ve ekstra boşlukları siler. Ayrıca sekiz bitten oluşan bir dijital bilgi birimi olan Octet’i kaldırır. Bu şekilde, sterilize işlevi, veritabanınıza ulaşma fırsatına sahip olmadan önce geçersiz veya potansiyel olarak tehlikeli içeriği silmenize yardımcı olabilir. Bu, bilgisayar korsanlarının phpmailer güvenlik açığından yararlanmak için kullanabileceği herhangi bir kodu içerir. Sonuç Uzmanlar, phpmailer güvenlik açığının yararlanılması zor olan zayıf bir nokta olduğu konusunda hemfikir olsa da, yeni kritik güvenlik tehdidi her zaman bir endişe kaynağıdır. Ayrıca, bilgisayar korsanlarının bu güvenlik açığını, siteniz boyunca felaket getirme potansiyeline sahip olan devam eden saldırıya erişmek için kullanma riski de vardır. Bu güvenlik boşluğunu kapatmak için atabileceğiniz üç adımı özetleyelim: WordPress Core’u güncellemeye devam edin.
WordFence gibi web uygulaması güvenlik duvarlarını kullanın.
Bir dizi WordPress yardımcı işlevini kullanarak verilerinizi temizleyin.
