WordPress Güvenlik Ekosistemini Rahatsız Etme Mücadelesi

Geçen ay, dünyanın her yerinden 2.000’den fazla katılımcı WordCamp Avrupa’daki Viyana’da WordPress’e olan ilgilerini paylaşmak için toplandı. Orada oturduğumda, bolca terlediğimde ve katılımcılarla fikir ve düşünceleri paylaştığımda, topluluktaki güvenlik ile uzun bir yol izlememiz gerektiğini fark ettim. Önümüzdeki birkaç günü bunu düşünerek geçirdim ve paketlerimi açık bir forumda paylaşmaya karar verdim. Bu makale, WordPress güvenlik topluluğunu rahatsız ettiğine inandığım beş sorunu vurgulamakta ve bunların üstesinden gelmek için nasıl birlikte çalışabileceğimiz hakkında bazı düşünceler veriyor. Bu düşünce, altı yıldan fazla bir süredir Sucuri’de çalışma deneyimimden geldi ve dünyadaki WordPress topluluğuna aktif olarak dahil oldu. Tartışmalar üretmek, yeni perspektifler sunmak ve umarım iyi fikirler ve daha fazla katılım getirmek için tasarlanmıştır.
Genel Gözlem Son birkaç aydır tekrar bakarsak, WordPress’in büyük bir saldırıdan kaçınıldığı. Bununla birlikte, medya yavaş yavaş platformda sabitlenen yoğun saldırılardan uzak duruyor. Bunun nedeni, platformun kendisinin varsayılan olarak daha güvenli olan modelleri kucaklayan bir dizi değişiklik yapmasıdır. Varsayılan olarak 4.3’te daha iyi bir şifre yapmak, 3.7’de Core tarafından otomatik bir güncelleme özelliği ve hatta Repo’daki eklentideki kritik güvenlik sorunlarını otomatik olarak güncellemek için alınan hızlı reaksiyon taktikleri gibi bir artış gördük. Bu değişiklikler için bugün bulduğumuz genel durumu akredite edebiliriz.
Ancak bu gelişme ile bile, WordPress sitesi hala hackleniyor.Analiz ettiğimiz 11.5 bin enfekte web sitesinin yüzde 77’sinin WordPress olduğu 2016 SUCURI web sitesi hackleme trend raporunda, WordPress kurulumlarının yüzde 56’sından fazlasının güncel olmadığını bulduk.Ayrıca uzlaşmanın yüzde 25’inin yerçekimi formları, revslider veya timbum yüklü olduğunu bulduk.Bu, WordPress sitesi ile genel yönetim sorununu gösterir ve premium eklentinin getirdiği zorlukları vurgular.Platformun kendisi için bir dizi ilerleme kaydedilmiş olsa da, eğitim ve farkındalık alanlarında hala iyileştirilmeye ihtiyaç vardır.Örneğin, WordCamp Avrupa’da, güvenliğe odaklanan sadece iki seans vardır – biri 10 dakika, diğeri 20 dakika.Bir topluluk olarak web sitesinin güvenliğini nasıl görmek ve saygı duyacağımız hakkında çok konuşuyor.
WordPress güvenliği söz konusu olduğunda, bakış açımızı değiştirmemiz gerekir.Çekirdek yazılım site hacklemesinden sorumlu değildir.Biziz.Projemizi tanıtma, yeni kullanıcılar öğretme ve web sitemizi yönetme şeklimiz budur.Bu zorlayıcıdır, çünkü kodun aksine, kod hata ayık olamaz çünkü yönetilemeyen değişkenlere çok bağlıdır.WordPress Güvenlik Zorlukları 1. 2012’de WordPress’teki En Büyük Güvenlik Açığı, gerçek WordPress güvenlik açığı hakkındaki düşüncelerimi paylaştığım bir makale yazdım.Bugün, dört yıl sonra değişmedi.En düşük ortak payda hala web sitesinin sahibidir.Tasarım tabanlı platform, WordPress’in benimsenmesine ve büyük büyümesine doğrudan katkıda bulunan son kullanıcılar için yapılır.Bunun yerine, bu aynı zamanda güvenlik açısından en zayıf bağlantıdır.
Bir topluluk olarak, WordPress kullanıcıları arasında kayıtsızlık zihniyetini etkinleştirdik.Süreç çok basitleştirilmiş ve kullanım kolaylığı üzerinde çok vurgulanmıştır.Bu şeyler WordPress’in kendisinde doğuştan gelse de, aynı zamanda sorunun bir parçası.Güvenlikte mutlak bir şey yok, ama iletişim kurduğumuz ve umut haline geldiğimiz şey bu.Korku, belirsizlik veya şüphe (FUD) ile liderlik etmemiz gerektiğinden değil, gerçeği azaltmamalıyız.Web sitesi saldırıya uğradı, web mülkünüze kötü şeyler olacak.Panik yapacaksın.Kullandığınız her sağlayıcıyı lanetleyeceksiniz.Bu sen dışında herkesin hatası olacak.Çevrimiçi işiniz günlerce hatta haftalarca çevrimdışı olabilir.Bu gerçek bir deneyim, gerçeği abartmıyorlar.
2. Devam eden teknik yeteneklerde azalma Bu platform son kullanıcılar için oluşturulmuştur. Bu, platform tarafından verilen her kararın özüdür, felsefesine kazınmıştır. Karşılaştığımız zorluk, varsayılan modelle daha etkili güvenliği teşvik ederken, son kullanıcının odağını nasıl koruduğumuzdur. Teknik becerilerini geliştirmek için kullanıcılarımızla nasıl çalışıyoruz? WordPress’te, işbirliği yaptığım diğer platformlardan daha fazla, teknik yeteneklerin azalmaya devam ettiğini not ediyorum. Barındırma temellerini, internette nasıl çalışılacağını veya web mülklerinin temel yönetimini bilen daha az web sitesi sahibi. Bunun iyi mi kötü mü olduğuna karar veremiyorum. Bir yandan, bu platformların büyümesi için iyidir, ancak hizmet sağlayıcıları açısından, kullanıcıları anlamaları için teknik kapasiteye sahip olmayan güvenlik sorunları hakkında eğitme zorluklarıyla karşı karşıyayız. Eğitim ve farkındalık olağanüstü WordPress büyümesini çığlık atmaz, ancak bununla birlikte, web sitesinin güvenliği konusunda eğitmeye ve farkındalık yaratmaya devam etmeliyiz. Güvenlik piyasası gelişti ve internete su basan gürültü sayısını, özellikle web sitesi sahibi bir güvenlik uzmanı olarak tanımlamak oldukça zordur.

WordPress saldırısının yüzeyi bu zorluk mevcut eğitim kalitesi ile giderek daha karmaşıktır. Temel web sitesi güvenlik ipuçlarına ek olarak, daha kapsamlı bir güvenlik görüşmesi başlatmamız gerekiyor. Daha bütünsel bir güvenlik yaklaşımı benimseyerek, tüm peyzaj tehditlerine odaklanabilir ve idari işlevler gibi temel kavramlara daha fazla vurgu içeren konuşmalara başlayabiliriz.

Infosec’in üç temel kiracısını gözden geçirmemiz gerekiyor: insanlar, süreçler, teknoloji. Güvenlik açığı ifşasının şu anda etkisi birçok açıklama, gürültülü bir alanda daha fazla gürültü yaratan sınıflandırma ve yanlış farkındalık ile fırsatçıdır. Sağlıklı araştırmaların iyi bir gelişme ürettiğine ve ileriye dönük platformları teşvik ettiğine inanıyorum. Örneğin, 2014’e kıyasla WordPress güvenlik duruşuna bakın. Hem çekirdek geliştiriciden hem de eklentiden, güvenlik ve genel müdahale ve potansiyel sorunların farkındalığını geliştirme uygulamasını geliştirmek ve geliştirmek için büyük bir adım gördük.
Güvenlik açığının açıklanmasının bugün, pazarlama potansiyeline gerçek açıklamadan daha fazla vurgu yapıldığını hissediyorum. Çoğu açıklama, “güvenlik açığı” olduğu için doğru olmasına rağmen, web sitesi sahibine verdikleri gerçek tehdidi vurgulamıyor. “Eğer her şey bir öncelikse, o zaman öncelik yoktur.” Bunun mükemmel bir örneği, çapraz alan komut dosyasının (XSS) güvenlik açığını düşünürken bulunabilir. Başka bir örnek, güvenlik açığı için uygulanan ağırlık eksikliğinde, kimlik doğrulama gerektirmeyen duruma göre görülebilir. Yüzeydeki bir şey şiddetli olsa da, kimlik doğrulama gereksinimlerini göz önünde bulundurduğunuzda, şiddet değeri azalabilir. Tüm güvenlik açıkları aynı değildir ve hepsi aynı amplifikasyon seviyesini gerektirmez.

Mevcut konfigürasyonla, hem bilgileri paylaşma şeklimizde hem de daha da önemlisi, bilgilerin nasıl belirtildiği için iyi olmaktan daha fazla kayıp yaparız.Neyse ki, bu, kırılganlığı sınıflandırma ve sınıflandırma şeklimizi vurgulayarak aşılabilir.5. Kötü Önerilerin Yetkilmesi Güvenlik hakkında web sitesi sahibine söylediklerimiz açısından kendimizi yönetmek için daha iyi iş yapmamız gerekir.Önce tavsiyenin kendisi hakkında düşünmeden diğer insanların söylediklerini kusmaya devam edemeyiz.Ayrıca en iyi 10 listemizi güncellemek için daha iyi çalışmalar yapmamız gerekiyor çünkü manzara büyümeye devam ediyor.
Bir sonraki yazıda, var olan bir dizi kötü öneriye ve onu nasıl ortadan kaldıracağım. Ancak şimdilik, “WordPress tarafından desteklenen” sloganını silmenin muhtemelen en saçma öneri olduğunu kabul ederek başlayabiliriz. Gürültüyü filtrelemek oldukça zordur, süreci daha iyi kolaylaştırmak için daha iyi bir iş çıkaralım. Bu güvenlik zorluğunu düşünmek, özellikle mevcut WordPress büyüme yolunda, topluluk için zor bir mücadele olacak. WordPress güvenliği ve projeleri nasıl iletişim kurduğumuz ve gönderdiğimiz ve web sitesi sahibine neyi ilettiğimiz hakkında ciddi bir görüşme yapmaya başlamalıyız. Değişim bir kişiden veya satıcıdan değil, kolektif bir grup olarak gelir. Kimin sorumlu olduğuna gelince, dürüst olmak gerekirse bilmiyorum. Bence bunu çekirdek ekibin omzuna koymak adil değil. Ayrıca, daha önce de belirttiğim gibi, bu bir program sorunu değil. Belirlenen güvenlik Çar’ın büyük bir plan için nerede uygun olduğunu merak ettim. Kendimizi ve diğerlerini daha sorumlu hale getirmeye başlamalıyız ve makaleler ve değerlere dayalı tartışmalara daha fazla dağıttığımız ve vurguladığımız bilgi türlerinden daha iyi yönetici olmamız gerekir. Müşterilerimizi şımartmayı bırakmalıyız ve her WordCamp’te odaklanmış bir güvenlik sunumuna sahip olmalıyız. Web sitesi sahipleri olarak sahip olduğumuz sorumlulukları düşünelim. İyi bir internet yöneticisi olma sorumluluğu. Kullanıcılarımızın güvenli bir deneyime sahip olmasını sağlama sorumluluğu.

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir