2017/18 için en iyi OWASP uygulama güvenliğinin 10 riskinin detayları
Web sitesi güvenliği: Tüm site sahipleri için çok önemli olması gereken iki kelime. Güvenlik, büyük bir çevrimiçi işletmedir, çünkü çok önemlidir, böylece onu görmezden gelmek web siteniz ve kullanıcıları için felaket sonuçlarına neden olabilir. Bununla birlikte, bazı güvenlik sorunları diğerlerinden daha alakalıdır ve odaklanmanın en önemli olduğunu öğrenin, net bir başlangıç noktası olmayan bir görevdir. Neyse ki, yazılım güvenliğini artırmaya yardımcı olmak için Açık Web Uygulama Güvenliği Projesi (OWASP) mevcuttur. Son zamanlarda, bu kuruluş geçen yıldan (2017) paha biçilmez güvenlik açığının ilk on listesini yayınladı. Bu, sitenizi korumak açısından ve topladığı verilerin güvenli ve sağlıklı bir başlangıç sağlayabilir.
Bu yazıda, ilk on güvenlik riskini inceleyeceğiz ve etkiyi en aza indirmek (veya mümkünse ortadan kaldırmak) için neler yapabileceğinizi özetleyeceğiz. Ancak, önce OWASP’ye kısaca bakalım ve çevrimiçi güvenlik için hangi işlevlere bakalım! OWASP’ye Giriş
WordPress Güvenlik Uygulama Yönergeleri. Bu kapsamlı bir kılavuzdur ve WordPress kurulumunuzun su geçirmez güvenliğe sahip olduğundan emin olmak için güncellenmeye devam etmektedir. Bu, tehlikeli girişin önlenmesi için yararlı olan bir öğreticidir. WordPress güvenlik açığını taramak. Bu araç WordPress kurulumunuzdaki zayıf bir bağlantı algılar, düzeltmenizi ve sitenizi saldırılardan korumanızı sağlar.
Kuruluşun web sitesinde OWASP projelerinin tam bir listesini görebilirsiniz. Ancak, bu bölüm için ilk on yıllık güvenlik riskine odaklanacağız. 10 En İyi Uygulama Güvenliği Risklerinin Ayrıntıları 2017/18 için OWASP bu ilk on listenin içeriğini özümsemek web sitenizin güvenliğini korumak için çok önemlidir. Herhangi bir riske dikkat etmemesi müdahaleye, tehlikeye atılmaya, hatta daha da kötüsü olabilir. Listeyi en büyük tehditten en az önemli olana göre sunacağız (her şey fark edilir olsa da). Haydi bakalım!
1. Enjeksiyon kusurları Enjeksiyon kusurları, komut veya sorgunun bir parçası olarak inanılmaz veriler gönderildiğinde ortaya çıkar. Diğer tipler mevcut olsa da, SQL enjeksiyonunun en yaygın olduğunu göreceksiniz. Bazı durumlarda, şekillendirilmemiş kullanıcı verileri bir giriş noktasıdır, bu da bu güvenlik açığını yaygın ve tehlikeli hale getirir. Tahmin edebileceğiniz gibi, WordPress ekibi bu sorunu çok ciddiye alıyor. Geliştiriciler, yetkisiz kod enjeksiyonundan korunmayı artırmaya ve verileri doğru bir şekilde temizlemeye yardımcı olmak için bir dizi işlev ve yangın içerir. Bazı kullanıcılar ayrıca (ihtiyaçlarınıza bağlı olarak) akıllı bir fikir olabilecek dosya türünün yüklenmesini ve boyutunu da sınırlandırmıştır.
2. WC parolasının gücünü ayarlamak için kimlik doğrulama eklentisi sorunu, kimlik doğrulama güvenlik açığından korunmaya yardımcı olabilir. Yönetim hesabı yanlış ellere düşerse, saldırgan kullanıcı adları ve şifreler gibi kullanıcının kimlik bilgilerini kolayca tehlikeye atabilir. Bu genellikle kimlik doğrulama ve oturum yönetimi çözümleri yanlış uygulandığında ortaya çıkar. Tahmin ettiğiniz gibi, bu sorunu çözmek, yönetici tarafından da yapılabilecek bazı şeyler olmasına rağmen, ilgili kullanıcıya çok bağlıdır. Yeni başlayanlar için, sağlam bir şifre seçmek zorunludur ve çok faktörlü kimlik doğrulamasını düzenlemelidir. Son olarak, WC şifre kuvveti ayarları gibi eklentiler, kullanıcıları güçlü bir şifre seçmeye zorlamanıza yardımcı olacaktır.
3. Hassas veriler veya kişisel güvenlik açığı ortaya çıkması, kullanıcı tarafından girilen verilerden ödün vermeyi içermesine rağmen, öncekine çok benzer. Kişisel adres ve ödeme bilgileri gibi ayrıntıları ortaya çıkarmanın ne kadar güçlü olduğunu düşünün – sadece müşteriler için değil, aynı zamanda işletmenin kendisi için. Neyse ki, WordPress kutunun dışındaki bu riske karşı savunma sağlar. Örneğin, şifre marine edilir, karma ve varsayılan şifre üreticisi ile güçlü hale getirilir. Dahası, diğer giriş noktalarının çoğunu işlemek için izin sistemi. Daha fazla güvenliği artırmak için, güvenli soket katmanı (SSL) uygulayarak verileri şifreleyebilirsiniz. Daha önce bunu nasıl yapacağından, açık kaynak ve ücretsiz Let’s Encrypt’i kullanarak konuşmuştuk. 4. Harici varlık XML Bir sonraki güvenlik açığı çok karmaşık gelebilir, bu nedenle açıklamanın basit kalmasını deneyeceğiz. Temel olarak, bu, genişletilebilir işaretleme dili (XML) dosyasında tehlikeli bir kod aracılığıyla gerçekleştirilen bir enjeksiyon kuvveti saldırısıdır. İlk gelişme, yalnızca mümkünse XML’den daha az karmaşık olan bir veri formatı kullanmaktır (örneğin JSON). WordPress aslında saldırıları önlemeye yardımcı olmak için özel XML varlıklarını yüklenmeyecek şekilde devre dışı bırakır. Bu karmaşık sorun (ve nasıl düzeltileceği) hakkında daha fazla bilgi edinebilirsiniz. Hasarlı erişim kontrolü, kimlik doğrulama, erişim kontrolü (kullanıcı iznini belirleyen IE kontrolü) hakkındaki önceki tartışmamızla aynıdır. Tabii ki, doğru izni olmayan kullanıcılar (daha spesifik olarak, olması gerekenden daha fazla izinle) felaket getirebilir.
WordPress bir kez daha, bu sorunun gerçekleşmemesini sağlamaya yardımcı olacak şekilde kodlanmıştır. Platform, talep yapılmadan önce doğru yetkiyi kontrol eder (özellikle erişim kontrolü ‘işlev seviyesi’ için). Bu risk ilk onda yer alsa da, bu nadiren endişe duyduğunuz bir şeydir.
6. Yanlış Güvenlik Yapılandırması Yanlış güvenlik sorunu yapılandırılabilir kodla ilişkili olabilir, ancak genellikle bu güvenlik açığının kullanıcı hatası nedeniyle gerçekleştiğini göreceksiniz. Bunun dışında, sonuçlar neredeyse izinlere dayalı güvenlik açığı ile aynıdır. İyi haber şu ki, bu riski çeşitli basit yollarla aşabilirsiniz. Örneğin, varsayılan kullanıcı adlarını kullanmamak ve her zaman temaları ve eklentileri güncellemek gibi temel WordPress güvenliği sizi koruyacaktır. Daha sakin bir zihin için, WordPress’in sürekli sertleşmesi yapmak isteyebilirsiniz. Siteler arası komut dosyası (XSS) hakkında ne kadar içerik olduğunu göz önünde bulundurarak saha arası bir komut dosyası (XSS) yapmak, bu listede daha yüksek olması gerektiğini düşünüyorsanız affedileceksiniz. Bu, tarayıcıyı ve kullanıcının bilgisayarını ele geçirmek için dinamik site öğeleri kullanan bir güvenlik açığı ‘enjeksiyon’ ailesinin bir parçasıdır. Bu nedenle, sürdürülebilir güven ve kullanıcılarınızla iyi ilişkiler için önemli bir sorun olmamasını sağlamak. XSS’nin etkisi göz önüne alındığında, WordPress geliştiricileri kullanıcıların korunmasını sağlamak için çadır altında çalışır. Örneğin, güvenilmeyen kullanıcılar tarafından gönderilen içerik (yani yönetici veya editör olmayanlar) varsayılan olarak filtrelenir. Dahası, WordPress geliştiricilerinin kullanıcı verilerinin doğrulanması ve yayınlanması konusunda yardımcı olacak bir dizi işlev vardır.
8. Bu güvensiz desar, başka bir karmaşık güvenlik açığıdır. Kısacası, dağıtılmakta ve ayrılmış olan güvensiz verilerden yararlanılacak potansiyel olarak açıktır, bu da maruz kalan verilere neden olabilir. Bu tür veriler önbellek, veritabanı, jeton API kimlik doğrulaması ve daha fazlasını içerir – modern WordPress web sitesinin tüm genel unsurları. Bu makale için yapılan araştırmalarımız sırasında, geçmişte sorunlara neden olan bu güvenlik açığının somut bir örneği bulamadık. Göz ardı edilmesi gerektiği anlamına gelmez. Bununla birlikte, bize göre, bu sorunun örneklerini bulamadığımız gerçeği, güvenli bir WordPress doğuştan doğanın kanıtıdır. 9. Temalar, eklentiler ve diğer bileşenler güvenli değildir, birçok WordPress öğesinin – temalar, eklentiler, vb. – Sitenizi potansiyel olarak tehlikeye atın. Bu listedeki her güvenlik açığı, kötü bir kod içeren bir tema veya eklenti neden olabilir, bu nedenle kullandığınız araçlara olan endişelerinizi genişletir çok önemlidir. Neyse ki, WordPress dizininde bulunan eklentiler ve temalar kalite olarak incelenmiştir, bu nedenle sorunlara neden olmamalıdır. Ancak, bu kalite güvencesi kolay değildir. Sitenize herhangi bir araç yüklemeden önce WPSCAN güvenlik açığı veritabanı gibi bir site kullanarak kendi kapsamlı incelemenizi yapmanızı öneririz:
Ek gönül rahatlığı için WordPress ayrıca kütüphaneyi ve sömürü için içerdiği çerçeveyi izler.Bazı durumlarda, kullanıcı güvenliğinin korunmasına yardımcı olmak için üçüncü taraflı araçları ekler.10. Sitenizin kaydedilmesi ve izlenmesi ve verilerin yetersiz olduğu son güvenlik açığımız, web sitenizi tehlikeye atabilse bile, doğrudan sömürü değildir.Yukarıdaki güvenlik açıklarından birinin kurbanı iseniz, sitenizde neler olduğunu izlemiyor ve kaydetmezseniz bunu fark etmeyebilirsiniz.Bu, sitenizi daha tehlikeli saldırılara açık hale getirir ve kullanıcı tabanınızla aldığınız her şeyi aşındırabilir.Bu, genel veri koruma düzenlemelerine (GDPR) nasıl uyacağından bahsederken daha önce bahsettiğimiz bir konudur.Sonunda, WP Güvenlik Denetim Günlüğü gibi Kalite Güvenlik Günlüğü eklentilerini kullanmak bir öncelik olmalıdır:
