Çekirdek WordPress Safe: Başkalarına söylemeyi bırakın

Güncellendi: 1 Ekim 2016 WordPress güvenlik tartışmasını sonsuza dek temizlemek için zaman. Tüm şüphecilik dışında, WordPress’in çekirdeği şüphesiz siteyi yerleştirmeyi seçebileceğiniz en güvenli platformlardan biridir. Dönem. 24 Ocak 2013’ten bu yana WordPress’in merkezinde büyük bir güvenlik açığı bulunamadı. Bu, İnternet’teki her barındırma şirketindeki her en son WordPress kurulumunda, çekirdek WordPress’te bulunmayan herhangi bir güvenlik açığı olmadığı anlamına gelir. Bu daha önce açık kaynaklı yazılımlarda olmamıştı. Eğer şüpheliyseniz, bu doğaldır. Bazen söylentileri görmezden gelmek zordur. Ama bunu kazmak ve umarım fikrimi değiştirmek için elimden geleni yapacağım. Dreamhost’taki güvenlik ekibi ile sıkı bir şekilde çalıştım ve gençliğimin çoğunu daha büyük Los Angeles bölgesindeki hacker dairesinde dolaşarak geçirdim. Ayrıca boş zamanımı kendi siteme sömürü ve saldırı kurmak ve yapmak için harcamak istiyorum. WordPress güvenliğinin ins ve çıkışlarını biliyorum.
Ortak Sorumluluk Güvenlik tartışmalarının arka planına girmeden önce, güvenliğin sizin, kullanıcılar ve WordPress arasında ortak bir sorumluluk olduğunu hatırlamanın ne kadar önemli olduğunu tartışmak istiyorum. WordPress parçayı yapacak, ama aynı zamanda üzerinize düşeni yapmak zorundasınız. Üç basit adım vardır, ancak optimum güvenliği sağlamak için site sahibine uymak gerekir: her zaman en son sürümü çalıştırın, güçlü bir şifre ayarlayın ve güvenliğin farkında olun. Bu üç şeye sahip olduğunuz sürece, WordPress sitenizin sıkıca kilitleneceğinden emin olabilirsiniz. Her birini yok edelim.
En son sürümü çalıştırın. WordPress sitenizi güvence altına almak için atmanız gereken ilk ve en temel adım onları her zaman en son sürümlere yenilemektir. Basit ve hızlı WordPress’i güncelleme süreci ve yama güvenliğine yardımcı olmak için gereklidir. En son güvenlik hatalarının onarmasının arkasındaki ayrıntılar ve WordPress’in her yeni sürümünün yayınlanmasıyla kamuya açık olacak güvenlik açığı. Güncellediğinizde, gösterge tablonuz otomatik olarak artırılır. En son güvenlik yamasına erişimi olmadığı için daha uzun WordPress sürümü modası geçmiş olur. Aynı şey eklentiler için de geçerlidir; Her yeni sürüm mevcut olduğunda eklentinizi güncellemeniz gerekir. Ve kullanmadığınız bir eklentiniz varsa, eklentiyi gösterge panelinizden silin. Güçlü bir şifre ayarlayın. Parolalarla ilgili WordPress’li kişiler tarafından yapılan en yaygın hatalardan biri, kurulum süresi boyunca WordPress tarafından yapılan WordPress yönetici şifrelerini kullanarak, aslında güçlü olan, sitelerinin saldırılardan korunduğunu düşünmektir. Ancak sadece bu özel şifre güçlü olduğu için, sitenizin artık tam olarak korunduğu anlamına gelmez. Parola güvenliğini sağlamak için, alan adınız için FTP/CPanel şifresinin güçlü olduğundan emin olmalısınız. Yönetici şifreniz kadar önemli alan adınız için FTP/CPanel şifresi. Birisi cpanelinize erişebilirse, o kişi WordPress veritabanınızı CPanel> Veritabanları> MySQL veritabanlarından silebilir. İyi değil. Mesele şu ki, tüm giriş noktaları için güçlü bir şifre kullanın. Parolanızın en az on iki karakter olması ve zaman zaman değiştirmeniz önerilir.
Düşünülmesi gereken bir başka şey de iki faktörün kimlik doğrulamasıdır. Bu ikinci bir savunma katmanı kuracaktır. Eklenti ile düzenleyin. İki favorim Clef Two Factor ve Google Authenticator. Güvenliğe dikkat edin. Güvenliğe uyarı ile yapabileceğiniz bazı şeyler var. Güvenlik için iyi bir eklenti WP Güncellemeleri Bildiricisidir. Yüklendikten ve etkinleştirildikten sonra, WP Güncellemeleri Notifier herhangi bir temel güncelleme, eklenti veya temaları algılar ve kullanıcılara e -posta yoluyla anlatır. Bu noktada, kullanıcılar istedikleri gibi sitelerini veya bileşenlerini geliştirmeyi seçebilirler. Ayrıca, uyanık kalmanın en iyi yolunu bilmeye devam etmek için WordPress’te Sucuri blog girişlerini de görebilirsiniz. Daha ileri gitmek istiyorsanız, en sevdiğiniz eklentinin görünüp görünmediğini görmek için WPSecure’u denetleyebilirsiniz. WordPress Güvenlik Tartışma: Söylentiler birkaç yıl önce nasıl başlar, 2009 yazında WordPress, bir dizi web yayıncılığı topluluğunda bazı ritimler aldı. Güvenlik vektörleri sömürüldü. İnternet, WordPress’in harika olmak için gerçek bir potansiyele sahip olduğunu fark etmeye başladığından, WordPress’in güvenliğini artırmayı amaçlayan bazı iyi eleştiriler var. Eleştiri, birçok yönden, internetin “Merhaba, WordPress, hırslı olduğunuzu biliyoruz ve sizi seviyoruz, ancak çok popüler olmadan önce antipletinizin son kullanıcınız için güvenliğini bilmeliyiz.”
WordPress Core’un geliştiricisi eleştiriye cevap verdi ve sonraki aylarda tüm kurullara yamalar ve sıkılmış güvenlik ekledi. Sıkı çalışmanın sonucu, şu anda WordPress’in yayın sırasında 64.000.000’den fazla web sitesinden daha fazla kuruluma sahip olması ve web siteniz için seçebileceğiniz en güvenli CM’lerden biri olmasıdır. Nitty Gritty 2009 yazında başlarında hangi özel güvenlik sorunları ortaya çıktı ve tam olarak nasıl geliştirildikleri? WordPress Core ekibi tarafından sırayla yayınlanmaya başlayan bir dizi güvenlik yaması var. Ekip, temel olarak, projedeki kalan güvenlik vektörlerini hızla geçti ve sistematik olarak kapattı. Yaz sonunda, WordPress kod tabanı Fort Knox gibi görünmeye başladı. İlk sorun, 9 Temmuz 2009’da WordPress 2.8.1’in piyasaya sürülmesiyle aşıldı. Ve oldukça kafa karıştırıcıydı. Temel olarak, Corelabs’taki araştırma ekibi, dosyaları görüntüleme ve bazı eklenti seçeneklerini istedikleri gibi değiştirme hakkına sahip olmayan kullanıcılara izin veren bir istismar buldu. Bir sonraki gelişme sadece 11 gün sonra WordPress 2.8.2’nin serbest bırakıldığı zaman geldi. Bu, yazarın URL yorumunun sanitasyonuyla ilgili sorunu tartışmaktadır. Temel olarak, Site Yorum Formunun “Web Sitesi” bölümüne özel olarak oluşturulan bir bağlantıyı nasıl gireceğini bilen herkes, yönetici kullanıcılarını WP-Admin’den diğer sitelere yönlendirebilir. Bundan iki hafta sonra, WordPress ekibi 2.8.3 sürümünü yayınladı. İçinde, topluluk üyeleri, 2.8.1 sürümüyle ele alınması gereken ayrıcalıkların yükselme sorununun henüz geliştirilmediği bir dizi yer buldular.
Neyse ki, bu noktada her şey bulundu. Ancak, bildiğiniz gibi, yazılım sadece aynı yaşın en son sürümüdür ve maalesef bazı site yöneticileri 2.8.2’ye yükseltilmemiştir. WordPress’in eski sürümünü çalıştıran site, eski güvenlik açığından güvenli değildir. Ve daha fazla güncelleme yakında takip edilecek. WordPress’ten 2.8.4 sürüm sadece 9 gün sonra izledi ve daha önemli yamalardan birini ekledi. 2.8.4’ten önce, özel bir URL kullanan herhangi bir saldırgan, veritabanında seti olmayan bir user_activation_key bulunmayan her bir kullanıcıya varsayılan güvenlik kontrolünü geçebilir ve sıfırlayabilir. Bu, birçok kişinin yeniden ayarlama istemediklerinde bir e -posta yeniden düzenleme e -postası almasına neden olur. Birçok insanı sitelerinin saldırıya uğradığını düşündüren şey. Yaz sonbaharda değiştiğinde, ekip WordPress 2.8.5’i serbest bırakmadan önce Eylül ve Ekim ayına kadar çalıştı. Bu, aktif olarak 2.8.x’e geri dönen WordPress 2.9’dan bir artış getirerek güvenliği daha iyi sıkılaştırmaya çalışan sertleştirmenin piyasaya sürülmesidir. Yaz salınmasının reaktif doğasına kıyasla, sonbahardaki yama daha çok bir ön saldırıdır. WordPress, tehlikeli kodun nasıl uyanık kalacağını ve bir adım önde olduğunu öğreniyor. Son olarak, Şükran Günü 2009’dan birkaç hafta önce, gelen kullanıcıları (bkz: Sitede hesapları olan ancak yönetici olmak zorunda olmayan kişilerin), kazık boyunca dosyaları değiştirmesini sağlayan güvenlik açığının üstesinden gelmek için WordPress 2.8.6 yayınlandı. Yenileme, kullanıcı iznini katı hale getirir.
Halkın iyileştirilmesi ve görüşü özet edelim. Sadece 34 günlük bir süre içinde WordPress 2.8 için dört güvenlik güncellemesi yayınlandı. Bu, o sırada WordPress’i çalıştıran herkesin, saldırıya uğramayacak şekilde sitelerini neredeyse haftada bir kez güncellemek zorunda olduğu anlamına gelir. Ve bu, yönetilen veya WordPress yönetim araçlarını barındırmadan önce olur. Kurulumların bakımını nispeten kolay hale getirir. O zaman, bir siteniz varsa, güncellemeyi düzenli olarak test etmelisiniz. Güncelleme bir dizi güvenlik açığının üstesinden geliyor, ancak hala 2.8.x’te hacklenen bir dizi WordPress kullanıcısı var. Biliyorum çünkü 2009’da çok fazla temizlik işi yaptım. Bu, Sitenizi güncel tutmanın önemi ve neden otomatik olarak güncellendiğine dair bilgi güvenliği ve web geliştirmedeki liderlerin düşüncelerinin nedenlerinden biridir. müşterinin sitesi. Siteyi site sahibinin kucağında güncel tutma sorumluluğu. Kendilerini güncelledikleri veya güncellemeleri işlemeyi başaran ana bilgisayarlara güvenmesi önemli değildir. Sadece yapılması gerekiyor. Birkaç ay sonra yatıştırıcı bir sessizlikten sonra, 23 gün içinde diğer iki güvenlik güncellemesi düştü. Ve bu güncelleme selefinden daha fazla mesafe olsa da, sürekli güncellemelerin yalnızca “olduğu gibi” olacağı endişesi var.
İlerleyin. 2.8 gün içinde birçok siteyi yönetirseniz, tüm güncelleme dizisi DMV’de sıraya girerek veya kök kanallarına sahip olarak eğlencelidir. Gerçekten de, WordPress’in varsayılan temel güncellemeleri birkaç ay önce eklendi – ve öldürmek dışında hepsi güncellemeyi çok daha manuel bir şekilde yaymak zorundalar – ancak bir WordPress yöneticisi olmak hala çok zaman harcadı. Hacking, hikayenin kendilerini eğlendirmeye çalışmaktan sıkılan ünlü hataları veya bilgisayar korsanları hakkında olsun, internet tüm sansasyonel hale getirecek ve WordPress’in aniden her zaman olması gereken bir platform olarak bir üne sahip olacağını bildirmeyi hak ediyor. güncellenmiş. . Aslında, 2009’un sonunda WordPress son kullanıcılar için oldukça güvenli hale geldi ve yama, WordPress’i New York Time gibi büyük sitelere on milyonlarca küçük bireysel blog yükleyecek kadar güvenli hale getiren temeli attı ve Segalayad. Birçoğu WordPress 2.8’den bu yana yıllar içinde değişti. Ancak bazı insanların WordPress güvenliği hakkındaki görüşleri değildir. Ve bu gerçekten utanç verici, özellikle teknolojinin ne kadar hızlı değiştiğini göz önünde bulundurarak. Teknoloji alanında geçimini sağlayan herkesin, ana eğilim ve gelişimin gelişimini takip etmek için gereken zaman alması gerekir. WordPress, internetteki en popüler yazılım platformudur. Bu kadar çok evlat edinmeye yaklaşan başka bir şey yoktur ve akıllı bir geliştirici WordPress’in çekirdeğinin yıllarca ne kadar güvenli olduğundan tamamen habersiz olduğunda beni her zaman şaşırtıyor. Bu yüzden düzeltmeye yardım etmeye çalışıyoruz.

Düzenli güvenlik güncellemelerinin geçici alt çizgisi hala WordPress Core’un hemen hemen her ana sürümünde görünür (bu herhangi bir yazılım için geçerlidir: Ruby on Rails, Python, Drupal, Flash, vb.), Birçok şey her iki alanda da çok daha aklı başında olmayı başardı Güvenlik ve Bakım. Bunun arkasındaki en büyük nedenlerden biri, WordPress 3.2’de bir ton eski PHP4 kodunun ve MySQL’in kaldırılmasıdır. Ve ana güvenlik güncellemesi talep edildiğinden beri çok uzun zaman geçti. Kanıt olarak, Codex’teki WordPress sürümlerinin listesine bakın, küçük nokta sürümlerinin, güvenlik ve hata onarım sürümlerinin sayısının, sürüm 3.2’den bu yana önemli ölçüde azaltıldığına dikkat etmelisiniz. WordPress’in yeni sürümü piyasaya sürüldüğünde test edildi ve yeniden test edildi. Bu, web’in yüzde 26’sından fazlasında üretimin dağılımı için hazırdır. Küçük böcekler bile endişeleniyor ve neredeyse takıntılı seviyelerde çalıştı. Bu ölçekte, güvenlik vektörlerinin% 1’i bile çok yaygın olmalıdır. Bununla birlikte, WordPress kullanıcıları kendi güvenliklerinden sorumlu olmalı, güçlü bir şifre tutmalı ve her zaman eklenti ve temayı ve WordPress’in kendisini güncellemelidir. Kullanıcı sorumluluğu asla kaybolmayacak. Tarihte çekirdek WordPress’in sömürülmemesi son zamanlarda çok şey konuştu. Çekirdek WordPress’in güvenli olduğu söylenir. Yani tartışmayı durdurmanın zamanı geldi. Güvenliği korumak sürdürülebilir bir süreçtir ve sürekli uyanıklık çok önemlidir. Bununla birlikte, çekirdek ekip WordPress’in güvenliğini sağlamak için olağanüstü çalışmalar yaptı ve büyüyen platformla yapmaya devam edecek. WordPress’in güvenliği ile ün kazandığı İnternet tarihinde noktaya geldik.

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir