Güvenlik Uzmanı Dikkate Alınarak: WordPress Güvenliğinin Geleceği
Kariyeriniz tamamen çevrimiçi olduğunda, güvenlik tehditlerini değerlendirmek yaşamın sürekli bir parçasıdır. WordPress kullanıcıları için güvenlik risklerini önemli ölçüde azaltmanın yolları vardır, ancak gerçekte kullanıcılar hala tehdit alanını anlamalı ve sitelerinin güvenliğini korumak için uyanık kalmalıdır. Dijital manzara büyümeye devam ettiğinden, WordPress güvenliği de gelişmelidir. WordPress güvenlik durumu ve nereye gittiği hakkında üç güvenlik uzmanıyla konuştuk. Saldırı WordPress’e nasıl ulaştı? WordPress sadece blog yazılımından daha fazlası haline geldi. Bu, olağanüstü dijital deneyimleri desteklemek için kullanılan eksiksiz bir özellik platformuna dönüştü. Bununla birlikte, her yeni özellik ile sömürü olasılığını getirir. Peki bilgisayar korsanları siteye tam olarak nasıl erişiyor?
Ithemes güvenlik liderine göre, Chris Jean, “yararlanmak için kullanılan güvenlik açığı ve yöntemlerinin çoğu yıllardır istikrarlı. Büyük değişiklikler, yeni yazılım veya yazılım güncellemelerindeki hatalardan yararlanacak yeni hedeflerin akışından geliyor. ” API restoran kullanıcısı endişelenmeli mi? Jean, “WordPress ile ilgili en büyük değişiklik, WordPress 4.7’deki API dinlenmesinin genişlemesidir.” Dedi. “WordPress’in bitiş noktasının uygulanmasındaki güvenlik açığı nedeniyle yangını bir hedef olarak gördük Ancak, yangının gelecekte yeni bir sömürü kaynağı olmaya devam edeceğini düşünüyorum. ”
Dahası, Başkan Sitelock Neill Feather da API REST aracılığıyla ortaya çıkma potansiyeline sahip endişeleri de belirtti – bilgisayar korsanlarının onları WordPress’i destekleyen çerçeveye dikkatini dağıtabileceğini belirtti. Featel, “IoT saldırılarının ortaya çıkışı, özellikle WordPress API dinlenmesi olgun olduğu ve geliştirici WordPress’i bu tür cihazlar için bir uygulama çerçevesi olarak kullanmaya başladığı için dikkate alınması gereken bir şeydir.” Dedi. “Gittikçe daha fazla insan, web uygulaması güvenlik duvarlarının faydalarının farkındadır ve daha eğitimli olduğu için güvenlik açığı tehdidine daha ciddiye yanıt verir.” Tarihsel olarak, eklentiler ve temalar güvenlik ihlallerinin önemli bir nedenidir. Görünüşe göre eğilim devam edecek. “Mevcut eklentilerin ve temaların çoğu güvenlik zayıflıkları için biraz inceleniyor. Önce kodu test etmek için kodu üretime itecek herkesin sorumluluğu olmaya devam eder. Bu, güvenlik açığı bulmak ve ilgili riskleri azaltmak için uygulamadan önce statik analiz yapmak anlamına gelir ”dedi. E -ticaret saldırısı ve kötü niyetli artış
Sucuri’den Tony Perez, web sitesinin çeşitli bölümlerini, özellikle reklamları hedeflemek için taktiklerini geliştiren “Evil Actor” daki artışı gördü. “Dolaylı saldırıları görmeye devam edeceğiz – savunma penetrasyonunuza odaklanmayan, ancak güvenebileceğiniz hizmetleri veya sistemleri kullanan saldırılar” dedi. “İyi bir örnek, saldırganların reklam ağlarını hedeflediği, içeriklerini reklamlara yerleştirdiği ve savunma kontrolünüzü geçtiği kötüverizasyondur.”
Peki güvenlik sorunlarını nasıl azaltmaya başlarız? İlk adım tehdit alanını anlamaktır. Jean’e göre, “birçok WordPress kullanıcısı güvenlik tehditlerini aktarma eğilimindedir. Karanlık bir bodrumda oturan ve içeri girmenin bir yolunu bulmaya çalışan birinin hayal edebiliriz. ”
Bu, kullanıcıların güvenliği yanlış şekilde yapmasına neden olabilir. “Saldırganı kişiselleştirmek ve Site Yöneticisinin sorumluluklarını, saldırganı başlatmadan önce her zaman uyanık olarak tanımlamak ve öldürmek için uyanık bir muhafız olarak görmek çok yardımcı olmaz” dedi. “Gerçek şu ki, büyük kamu şirketleri, hükümet kuruluşları veya değerli ticari sır muhafızları için bir yönetici web sitesi değilseniz, siteniz için en büyük tehdit insanlardan değil robotlardan.” Jean, bu saldırının arkasındaki insanları düşünmek yerine, “Bu saldırganı akıllı insanlardan ziyade düşünceleri olmayan bir virüs olarak düşünün.” Saldırı, sitenizin çok özel bölümlerini hedeflemek ve başka şeyler için endişelenmemek için yapıldı. “Bu saldırıların tanımlanacak ve bir saniyeden daha kısa bir sürede bitmesi, herhangi bir insandan çok daha hızlı bitmesi yok” dedi. “Saldırgan tarafından kullanılan kırılganlığın çoğu, halk tarafından bilinen ve daha yeni bir yazılım versiyonunda geliştirilmiştir.” Bu saldırının arkasındaki insanlar, eskisinden daha az beceri ve daha az para gerektirir. “DDOS saldırıları, bir e-posta hesabına erişimi olan herkesin 50 doların altında bir fiyata ‘DDOS için’ kullanabileceği bir noktaya kadar deneyim eksikliği için daha fazla kullanılabilir olmaya devam ediyor ve son nokta güvenlik duvarı çözümü genellikle değil Bu kadar iyi. Feather, DDOS saldırılarından kurtulmak için bulut tabanlı bir güvenlik duvarı çözümü olarak uygundur. “Dedi. CMS ne kadar büyük olursa, dünyadaki saldırgan için o kadar çekici olur. “Güvenlik alanında ‘kendi zihniyeti var, hepsine sahip olun’ ve sizi web’in yüzde 27’sinden fazlasının pazar mülkiyeti ile ikna edebilirim, motivasyon yeterince yüksektir, böylece yollar arayan kötü aktörler var kullanmak için. Bu kendi gündemleri için. ” Dedi Perez.
Dikkatli ol
Kuşkusuz, tüm bu haberler oldukça kasvetli geliyordu. Bununla birlikte, hatırlanması gereken önemli şey, tüm yazılımların kullanımında risklerin olması, ancak sitenizin güvenliğini korumak için proaktif adımlar atarak, birçok riski azaltabilirsiniz. Sitemizi güvende tutmak için atabileceğimiz adımlar nelerdir? Özellikle, WordPress sitesinde otomatik olarak otomatik güncellemeleri etkinleştirerek yazılımımızı güncel tutabiliriz. Üç uzman, gelecekteki yolun yenilenmeyi otomatikleştirmek olduğunu kabul etti. “Bu, kullanıcılar tarafından aktif müdahaleler gerektirmeden siteleri koruyan WordPress ve Güvenlik eklentisinin geliştirilmesine devam eden odaklanma anlamına gelir. Buna ek olarak, kullanıcıların belirli tehdit türleri ve onu korumanın en iyi yolu hakkında belirli ayrıntılar bulmalarını gerektirmeden bu tür bir koruma sunulmalıdır. “Dedi. “Sanırım güvenlik özelliklerinin basitleştirilmesinin ve otomasyonunun 2017’de herkes için büyük bir odak noktası olduğunu göreceğiz.” Perez, “güvenli varsayılan” modeline işaret ederek kabul etti. “Otomatik güncellemelerle büyük bir teşvik, şifre yapma süreciyle genel iyileştirme ve hatta varsayılan olarak SSL için gelişmiş bir teşvikle görüyoruz.” Dedi. “Sorun piyasaya sürüldüğünde platformdan ve sorunu da eklemek için ana bilgisayardan daha hızlı bir yanıt görüyorsunuz. Tüm bunlar tüm WordPress güvenlik manzaralarını değiştirerek web sitesinin sahibi için çok daha iyi hale getiriyor. ” Yalnızca otomatik güncellemeleri etkinleştirdiğinizden emin olmak değil, aynı zamanda tüm eklentilerinizi ve temalarınızı güncellemeler için de kontrol etmek önemlidir.
