Genel güvenlik tehditleri için teknisyen olmayan rehber
Güvenlik, tüm teknik uzmanlık seviyelerinden WordPress site sahipleri için devam eden bir tartışmadır, ancak bu yeni başlayanların anlaması için çok zor bir alan olabilir. Genel saldırı vektörleri arasındaki farklılıklarda akıcı güvenlikli insanlar genellikle ortalama Joe’ya yönelik tehditleri anlamak zor olan okyanuslar olarak kafa karıştırıcı görünebilirler. Bu bölümde, orada daha yaygın bir tehdidin tam olarak ne olduğunu detaylandırmak için bilginin bazı boşluğunu kısaca doldurmayı arayacağız. Sizi kısaltmalar ve beyaz kağıtlarla kör etmek yerine, önemli şeyleri sıradan terimlerle iletmeye odaklanacağız ve ayrıca bir site sahibi olarak güvende kalmak için atabileceğiniz birkaç basit adım sunacağız.
Ancak, özellikle bakmaya başlamadan önce, sitenizin tüm güvenliğinin en büyük tehdidinin yaygın olarak nerede bulunduğunu kısaca hatırlatalım. Teknik güvenlik sistemi her gün giderek daha sofistike olsa da, güvenlik eve yakın olmaya başlar, herhangi bir sistemin ana zayıflığının gerçekten çalıştıran insanlarda kaldığını unutmayın. Yazılım düzeyinde güvenlik zayıflıkları bulmaya çok fazla katılmadan önce, kendi ekibinizdeki genel sitelere ve prosedürlere erişim açısından sıkı bir gemi çalıştırdığınızdan emin olun. Şifre yönetiminin zaten var olduğundan ve sorumluluğun rolünün açık olduğundan emin olmak istiyorsunuz – özellikle de temalar veya eklentiler gibi yazılım yükleme hakkına sahip olduğunda.
Son olarak, Standart WordPress Güvenlik Yönergeleri, WordPress Güvenlik Beyaz Kağıdını dikkatlice incelediğinizden ve en azından genel olarak WordPress güvenliği hakkında tarihsel geçmişler hakkında biraz okuduğunuzdan emin olmak istersiniz. Ön uyarı ile genel güvenlik tehditleri için teknik olmayan yönergeler, platforma müdahale eden daha genel güvenlik tehditlerini zayıflatmak için geçiş yapalım. Genel bir referans noktası olarak Açık Web Uygulama Güvenlik Projesi (OWASP) uygulaması için ilk on güvenlik tehdidinin bir listesini kullanacağız ve özellikle üç alanı vurgulayacağız. 1. OWASP enjeksiyon saldırısının tanımıyla gösterildiği gibi enjeksiyon saldırıları, burada geniş bir potansiyel alanla uğraşıyoruz: “Enjeksiyon zayıflıkları, saldırganların diğer sistemlere uygulamalar yoluyla tehlikeli kodları iletmesine izin veriyor.” PHP güvenliği için çok iyi olan Padric Brady kılavuzunda vurgulandığı gibi klasik senaryolar, saldırganın veritabanınızı doğrudan tehlikeye atmak istediği çeşitli SQL enjeksiyon formları şeklinde olma eğilimindedir.
Yoast gibi büyük sağlayıcıların bile geçmişte güvenlik sorunları var. Son SQL WordFence enjeksiyon detayları tarafından gösterildiği gibi, her ikisi de çok yaygındır ve saldırganlar için nispeten kolayca hazırlanır. Aslında, oynanan kötü niyet olmamalıdır – sadece temanızdaki SQL sorgularından kaçınamamaktan veya eklentiniz kapının açılmasına izin vermek için yeterlidir. Güvenlik eklentisi bile 0 diğer yüksek profilli sağlayıcı ile birlikte yıllarca etkilenmiştir.
3. XSS ve Siteler Arası İstek Astruvası (CSRF) Saldırıları arasındaki farklar arası sahtekar saldırı (CSRF) Fark biraz kaygan olabilir, ancak bunu düşünmenin en kolay yolu şu şekildedir: XSS, kimlik bilgilerinizi çalmaya çalışmakla ilgilidir, Ve CSRF, kullanmayı denemekle ilgilidir. Genellikle, CSRF saldırıları, doğrulandığınız sitede istenmeyen bir şey yapmanızı sağlayacaktır. WordPress bu saldırıyı azaltmak için NPE’leri kullansa da, yıllarca birkaç eklenti ve platformun çekirdeğinde görünürler.
Yukarıdaki üç örnekte gösterildiği gibi güvende kalmanın genel yolu, bu tür saldırıları azaltma yükü çoğunlukla daha sıkı bir geliştiricide kodları hakkında ve kullanıcı girişinden kaçınmak ve güvenlik belirteçlerini daha dikkatli kullanma gibi alanları taşıma. Ancak, bölümünüzü yapmak için bir site sahibi olarak uygulayabileceğiniz bir dizi basit sağduyu adım vardır: eklentilerinizin ve temalarınızın en son sürümüyle birlikte her zaman en son WordPress Core sürümünü çalıştırın.
WordPress’in sertleşmesi açısından temel bilgileri kontrol edin ve mümkünse WordPress OWASP Güvenlik Açığı Projesini kullanarak sitenizi kontrol edin.
Sitenizi kilitlemek için Sucuri Security gibi eklentileri kullanın.
Sucuri ve WordFence bloglarını takip ederek, burada Tork’ta konularla birlikte daha geniş bir güvenlik tehdidinin manzarasından haberdar olun.
Dört adım, yukarıda tartıştığımız tehdit türünün kurbanı olmayacağınızı garanti etmez, ancak sizi site sahibinin çabalarının çoğunun çok önüne koyacaktır.
Sonuç Site güvenliği geniş bir potansiyel konudur ve bunu tartışırken kullanılan kısaltmalar ve özel bilgi yelpazesi teknik olmayan site sahiplerini rahatsız edebilir. Vahşi doğada görünen üç daha yaygın saldırı alanı için kısa rehberimiz, onları kullanma hakkında düşünmelerini biraz daha kolay hale getirmelidir. Tartıştığımız üç ana alanı özetleyelim:
Enjeksiyon saldırıları: Veritabanınızı SQL enjeksiyonu şeklinde tehlikeye atma çabalarının en büyük endişe olduğu büyük bir potansiyel saldırı sınıfı.
Siteler Arası Komut Dosyası (XSS) Saldırısı: Bu genellikle kişisel verilerinize erişmek isteyen bir JavaScript içeriğidir. Siteler arası isteklerin (CSRF) tahrif edilmesi: Bu, kötü insanlar sizi sitede yanlış karar vermeniz için aldatmaya çalıştığında olur Kimlik doğrulandığınız yer.
Bir site sahibi olarak, bu tür saldırılara karşı en iyi savunma güvenilir bir barındırma ortağı seçmektir ve WordPress yığınlarınızdan düzenli olarak hareket eden tüm parçaları günceller.Kendi sitenizde belirli güvenlik sorunlarınız var mı?Aşağıdaki yorumlar bölümünden bize ulaşın ve bize söyleyin!
Kredi görüntüsü: Elceg sıçramaları.
