WordPress CSRF Saldırısı: Güvenlik Açığı ve Önleme
Çapraz durum talebinin (CSRF veya XSRF olarak bilinir) tahrif edilmesi, WordPress web sitesinin karşılaştığı en ciddi hacklerden biridir. Bu hackleme, siteye yüklenen WordPress eklentisindeki güvenlik açığı nedeniyle gerçekleşir. Burada, bilgisayar korsanları web sitesi kullanıcılarını web sitesi sahipleri ve kullanıcıları için tehlikeli kötü eylemler almaları için tetikler. CSRF saldırılarının her iki taraf üzerinde olumsuz bir etkisi olabilir ve başlangıçtan itibaren önlenmesi gerekebilir! CSRF kullanarak, bir hacker web siteniz üzerinde tam kontrol alabilir ve istedikleri her türlü kötü etkinliği çalıştırmak için kullanabilir. Ziyaretçilerinizi diğer tehlikeli sitelere yönlendirebilir veya kötü amaçlı yazılım indirmek için aldatabilirler. Ayrıca sizden ve müşterilerinizden fon çalabilirler!
Sadece bu da değil. İşler büyüyebilir ve Google muhtemelen sitenizi siyah listeye girer ve barındırma sağlayıcınız sitenizi askıya alabilir. Bu hacklemenin kurbanı iseniz veya bunu önlemek istiyorsanız, size yardımcı olmaya hazırız. Bu makalede, CSRF saldırılarının nasıl iyileştirileceğini ve bunun nasıl önleneceğini göstereceğiz. TL; Dr. Web siteniz hacklenmişse, hemen düzeltmelisiniz. Web sitenizin derinlemesine bir taramasını çalıştırmak ve anında temizlemek için CSRF saldırı eklentisini web sitenize indirmenizi ve yüklemenizi öneririz. Web siteniz temiz olduktan sonra, eklenti sitenizi gelecekteki hack çabalarından koruyacaktır.
İçerik Tablosu → CSRF saldırısı nedir (çapraz yer isteklerinin tahrif edilmesi)? → WordPress CSRF güvenlik açığı sitenizde nasıl oluşur? → WordPress sitesinde CSRF saldırıları nasıl önlenir? → CSRF Eklenti geliştiricileri için önleyici önlemler → CSRF WordPressPA site sahipleri için önleyici önlemler CSRF saldırılarıdır (çapraz yerinde isteklerin tahrif edilmesi)? WordPress CSRF saldırısı anlamak biraz karmaşık ama biz olabildiğince kıracağız. Abonelik kullanıcıları, üyeleri veya giriş yapan web sitelerinde, her kullanıcının sitedeki kendi hesaplarına özel erişimi vardır. Örneğin, Amazon hesapları, Gmail hesapları ve hatta çevrimiçi bankacılık hesapları.
Bu tür web siteleri kullanıcılara kullanıcı adları ve şifreler sağlar. Bu, kullanıcıları doğrulamak için yapılır. Bu nedenle, kullanıcılar girmek istediklerinde, kendilerini doğrulamak için kullanıcı adını ve şifreyi girerler. Bu şekilde, web siteleri kullanıcıları ve tarayıcılarıyla güven oluşturabilir.
CSRF saldırılarında, Haughting kötü bir eylem olan kullanıcıyı aldatıyor. 1. Bunun nasıl olduğunu açıklamak için ‘çapraz siteleri’ anlamak, bir örnek kullanalım. Diyelim ki, kullanıcı bir siteye girdi ve tarayıcıdaki sekmede açılmasına izin verdi. (Bu bir sitenin girdiğini unutmayın – bu önemlidir.)
Şimdi başka bir sekmede açık olan bir siteyi hatırlayın. Bu senaryo A Sitesine bir istek gönderir ve içinde kötü eylemler yapar. Bu yüzden bu ‘çapraz yer’ olarak bilinir. 2. Hacker Script’in Site B’den Site A’ya talep gönderme isteğini anlama Kullanıcı adına. İstenmeyen kötü eylemler, yöneticinin şifresini değiştirmekten bir banka hesabından fon aktarılmasına kadar her şey olabilir! 3. Son ‘Sahteciliği’ anlama, bilgisayar korsanları Site A’yı kandırmak için kullanıcı kimlik doğrulamasını kullandığından, ‘sahtecilik’. Böylece ‘Çapraz Yerinde isteklerin tahrif edilmesi’ adı. Kısacası, bilgisayar korsanları siteyi kötü talimatlarının yetkili kullanıcıdan gönderilen yasal talepler olduğunu düşündürür. Ancak Site B, Site A’ya nasıl istek gönderebilir? Bunun bir sonraki bölümde nasıl gerçekleştiğini daha derinden tartışacağız. Not: Bu bölüm tekniktir ve deneyimli kullanıcılara veya geliştiricilere hizmet vermektedir. Bunu geçmek ve sitenizdeki CSRF saldırılarını hemen önlemek istiyorsanız, WordPress site sahipleri için CSRF önleme önlemlerine devam edin. [↑’a dön] Sitenizde WordPress CSRF güvenlik açığı nasıl oluşur? Güvenlik açığının nasıl gerçekleştiğini açıklamak için, kullanıcının tarayıcısının ve web sitesinin nasıl iletişim kurduğunu anlamamız gerekir.
1. Tarayıcı isteğini anlama Burada, iki tür HTTP ve çerez tarayıcısı taleplerini tartışacağız: ME. İstek HTTP Get Web Sitesini ziyaret ettiğinizde, web sitesi sunucusuna bir HTTP GET isteği gönderirsiniz. Bu istek, site ön ucunu görüntülemek için gereken verileri isteyecektir. Web sunucusu yanıt verecek ve istenen verileri gönderecektir. Ardından, web sitesi içeriği tarayıcınıza yüklenecektir. Birisi siteye girmediğinde, çekirdeklenmemiş kullanıcılardır. Böylece Get ve Post talebi gönderildiğinde, çerez kullanılmaz. Bu senaryoda güvenlik sorunu yoktur. Ancak kullanıcılar girdiğinde, artık evli olan kullanıcıdır.
Web sitesi, bu kullanıcıları tanımak ve hizmet vermek için çerezler kullanır. Bu çerezi yalnızca bu benzersiz kimlik için ilgili verileri üretmek için kullanabilir. Bu, kullanıcılara kolayca girmelerine, kullanıcı tercihlerine göre uyarlanmış reklamları görüntülemelerine veya kullanıcının sevdiği ürünleri görüntülemelerine yardımcı olmalarına yardımcı olur. İi. CSRF işlemi artık CSRF güvenlik açığının nasıl gerçekleştiğine geri döndü. Bu saldırının etkili olabilmesi için, haughting’in çerez kullanan kullanıcıyı kullanması gerekir. Bunu bir örnekle açıklayacağız. Burada, bir bilgisayar korsanının kullanıcının hesabını nasıl kontrol edebileceğini ve ardından CSRF güvenlik açığını kullanarak web sitenizi hacklemek için kullanabileceğini göstereceğiz. → Kullanıcının tarafında ne olur?
Tarayıcılarında TargetWebSite.com’a bir kullanıcı giriş yapın.
Ayrıca, bilgisayar korsanları bu kullanıcıyı, bu siteyi ziyaret etmelerini ve hesaplarında 50 $ almaları için kaydolmalarını söyleyen bir e -posta göndererek hilewebsite.com’u tıklamaya çağırır. (Bu bağlantı, başka bir güvenlik açığı kullanarak Target.com web sitesine de girilebilir)
Mağdurun bu hile web sitesini düşündüğünü ve sahtekarlığa düştüğünü varsayacağız. Burada, formu ayrıntılarıyla doldururlar ve ‘Gönder’i tıklarlar.
HileWebSite.com’da, bilgisayar korsanları HTML kodunu bu ‘Gönder’ düğmesinin arkasına yerleştirdi. Tıklandığında, bu kullanıcının adına TargetWebSite.com’a (kullanıcının girdiği yer) bir yayın isteği gönderir.
→ Web sitesi tarafında ne olur?
Bir çerez kullanan TargetWebSite.com kullanıcıları (ve tarayıcı) doğrular ve talebe izin verir. Bu istek geçerli görünecektir çünkü yetkili kullanıcıdan gelir. Ancak gönderilen posta isteği, web sitesini tehlikeye atabilecek tehlikeli bir komut dosyası içerir. Örneğin, komut dosyası geçerli hesap şifresini “yeni şifre123” olarak değiştirmek için komutlar içerebilir.
Talep TargetWebSite.com tarafından alındığında, kod şifreyi çalıştırır ve değiştirir. Ardından, bilgisayar korsanları yeni bir şifre kullanarak hesabı girebilecek ve tam kontrolü alabilecek.
Ayrıca, bilgisayar korsanları artık web sitesine daha fazla saldırı yapabilir. Bu kullanıcılara verilen ayrıcalıklara bağlı olarak, TargetWebSite.com veritabanına erişebilir ve işlevselliği kontrol edebilirler. Bu, bilgisayar korsanlarının CSRF saldırıları kullanarak yapabileceği sadece bir örnektir. Olabilecek birçok senaryo var. Ancak kullanıcılar ve web siteleri bu saldırıdan etkilenecektir. [Zirveye dön ↑]
WordPress sitesinde CSRF saldırıları nasıl önlenir? WordPress web sitesi bir CSRF saldırısı tarafından vuruldu, çünkü eklentinin gerçekleşmesine izin veren bir güvenlik açığı var. Pluginvulnerability.com tarafından yapılan tam bir açıklama raporuna göre, kontrol ettikleri birçok popüler eklenti, web sitelerini CSRF saldırılarına karşı savunmasız hale getiren güvenlik sorunlarına sahiptir. CSRF hacklemesini önlemek için, eklenti geliştiricilerinin belirli güvenlik önlemlerini uygulaması gerekir. Bu adımları kısaca tartışacağız ve sonra WordPress sitesinin sahibi olarak CSRF saldırılarını durdurmak için neler yapabileceğinizi söyleyeceğiz.
Eklenti geliştiricileri için CSRF önleyici önlemler
Wordpressa site sahipleri için CSRF önleyici önlemler. Eklenti Geliştiricileri için CSRF Önleyici Önlemler Bir eklenti geliştiriciyseniz, CSRF saldırılarını önlemeye yardımcı olabileceğiniz bazı adımlar: 1. Anti CSRF Token Anti CSRF belirteçleri, çerezler ve bazı kullanıcı istekleri ile gönderilen gizli değerlerdir. Bu nasıl çalışır:
Web sunucusu bu jetonu üretir ve formda gizli bir alan olarak yerleştirilir.
Kullanıcı bir form doldurup gönderdiğinde, jeton sonrası isteğine dahil edilir.
Sunucu, üretilen jetonu ve kullanıcı tarafından gönderilen jetonu karşılaştıracaktır.
Eşleşirse, talep geçerli olacaktır. Uygun değilse, talep geçersiz kabul edilir. Bu, CSRF saldırılarının gerçekleşmesini önler. Geliştiriciler, eklentilerini oluştururken veya yenilerken bu jetonu ekleyebilir. 2. Nones kullanımı Alternatif olarak kullanılmasına rağmen, jetonlar ve csrf olmayan nonses. Talep için yapılan bir zaman parolası gibi nonce değerleri (bir kez kullanılan sayılar). HTTP istekleri gönderildiğinde, istekleri doğrulamak için nonce yapılır. Ancak kullanımdan sonra, nonce geçersiz hale gelir ve kullanıcı aynı nonce değerini kullanarak başka bir form gönderemez. 3. Aynı site CSRF saldırılarının çerezleri, aynı çerez boyunca çapraz yerlik talebi nedeniyle mümkündür. Aynı site çerezi, çerezin yalnızca istek oluşturulan çerez ile aynı web sitesinden yapılırsa gönderilebileceği anlamına gelir.
Bu yöntemle ilgili sorun, Chrome ve Firefox ve diğer birkaç tarayıcının beklemesi, tüm tarayıcıların aynı site çerezini desteklememesidir. Bu, ek bir savunma katmanı olarak kullanılabilir, ancak CSRF saldırılarını önlemek için tek başına kullanılmamalıdır. Bu önlemleri daha fazla tartışmayacağız, çünkü neredeyse hepsi bugün bilgisayar korsanları tarafından kabul edilebilir. Bilgisayar korsanları günden güne daha akıllı hale geliyor ve aldığımız önlemlerin üstesinden gelmek için yeni teknikler geliştiriyorlar. Kendinizi bu CSRF saldırısından korumak için bir WordPress sitesi sahibi olarak ne yapabileceğiniz proaktif ve reaktif eyleme geçeceğiz.
İi. CSRF önleyici önlemler WordPress site sahipleri için yukarıda bahsettiğimiz gibi, eklenti üreticileri uygulamalarını güvenli hale getirmek için harekete geçmelidir. Ama ya yapmazlarsa? Hangi eklentilerin CSRF karşıtı eylemleri uyguladığını nasıl anlarsınız? WordPress nadiren tek başına durur. Eklentiler, web sitesinin işlevselliği ve tasarımında önemli bir rol oynar. WordPress sitesinin bir eklentiye ihtiyacı olsa da, bu eklentinin doğru güvenlik adımlarını attığına inanıyor musunuz? Değil!
Web sitesi sahibi, eklenti geliştiricisi bunu yapmasa da uyanık olmalı ve kendi güvenlik eylemlerini almalıdır. Kendinizi CSRF saldırılarından korumak için yapabileceğiniz şey budur: 1. CSRF saldırılarına adanmış WordPress depolarında mevcut olmayan çok fazla eklenti Anti -CSRF eklentisini kullanın. İşte bulduğumuz iki: (a) Bu WordPress CSRF Koruma Yorum Formu Yorum formunuza anti CSRF belirteçleri ekledi. Token, gizli tutulan ve tahmin edilmesi pratik olmayan benzersiz bir değere sahiptir. Kullanıcı bir form gönderirse, onunla gizli bir jeton gönderilecektir. Yalnızca eşleşirse, form gönderme talebi alınır. (B) Aynı site çerezi – Bu eklenti, Chrome, Firefox, IE ve Edge dahil olmak üzere desteklenen tarayıcılarda işlev görür. Bu, HTTP istekleri gönderildiğinde, gönderilen çerezlerin aynı siteden gelmesini sağlar. Bu, tüm çapraz durum isteklerini engeller ve bu nedenle tüm CSRF saldırılarını engeller. 2. Çok yönlü WordPress Güvenlik Eklentisi Yükle WordPress web siteleri için birçok güvenlik eklentisi mevcuttur. Bu eklenti, sitenizi CSRF türleri de dahil olmak üzere her türlü bilgisayar korsanından koruyabilir. Ancak tüm güvenlik eklentileri size aynı güvenlik seviyesi vermez. Ayrıca, CSRF saldırılarını bulmak zordur. Hacker, site sahibinden ve kullanıcıdan iyi gizlendi, bu yüzden bilinmiyordu. Gizli kötü amaçlı yazılımları algılayabilecek bir eklentiye ihtiyacınız var. Bir güvenlik eklentisi seçerken, CSRF saldırılarından korunmak için eklentinin aşağıdakileri yaptığından emin olmanız gerekir: tehlikeli komut dosyaları bulmak için web sitenizi düzenli olarak tarayın.
Tüm web sitesi dosyalarınızı ve veritabanlarınızı tarar.
Yeni, gizli veya gizlenmiş kötü amaçlı yazılımlar dahil olmak üzere her türlü kötü amaçlı yazılım türünü tanıma yeteneğine sahip olmak. (Bazı eklentiler yalnızca bulunan kötü amaçlı yazılım arıyor.)
Web sitenizde şüpheli etkinlik olup olmadığını size söyleyin.
Size koruma sağlayan eklenti ve bu tür özellikler Malcare. WordPress sitenize bir eklenti yükledikten sonra, herhangi bir CSRF saldırısından kurtulmanıza izin verir. Bu aynı zamanda bilgisayar korsanları tarafından hackleme sırasında sitenize eklenmiş olabilecek WordPress kötü amaçlı yazılımlarından da kurtulacaktır. Web siteniz, web sitenizi ziyaret etmeyecek şekilde tehlikeli IP adreslerini ve kötü botları engelleyecek proaktif bir güvenlik duvarı ile korunacaktır. Bir hacker, tehlikeli bir çapraz yer isteği kullanarak sitenizi hacklemeyi başarırsa, bu WordPress güvenlik eklentisi hemen size söyleyecektir. Daha sonra hemen aynı eklentiyi kullanarak harekete geçebilirsiniz. 3. Web siteniz WordPress, web sitenizi sertleştirmek için belirli adımlar atmanızı önerir. Bu, bir hacker’ın girilmesini çok zorlaştıracaktır. Kısaca birkaç adım tartıştık, ancak WordPress sertleştirme hakkında kapsamlı kılavuzumuzu okumanızı öneririz. Bu noktaların çoğu teknik olduğundan, ayrıntılı yönergeler daha iyi anlamanıza yardımcı olacaktır. Aşağıdakiler, diğerlerinin yanı sıra CSRF saldırılarının neden olduğu hasarı önlemek veya azaltmak için bazı sertleştirme önlemleri:
A. Kullanıcıya ek doğrulama katmanı ekleyen iki kimlik doğrulaması olan iki faktörün kimlik doğrulamasını kullanın. Bir kullanıcı, ikinci şifreye ihtiyaç duyulduktan sonra giriş kimlik bilgilerini girmelidir. Bu, kayıtlı bir e -postaya veya kullanıcı telefon numarasına gönderilen bir zaman parolası olabilir. Ayrıca Google Authenticator gibi uygulamalar tarafından yapılan bir kimlik doğrulama numarası da olabilir. B. Blok Blok Klasördeki PHP yürütme, CSRF saldırıları bilgisayar korsanlarının web sitesi dosyanıza erişmesine izin verirse, tehlikeli görevleri yerine getirmek için PHP işlevlerini yerine getirebilirler. (PHP işlevi bir programda yazılmış bir kod bloğudur). Ayrıca PHP’nin yürütülmesini gereksiz yerlerde devre dışı bırakabilirsiniz. C. Dosya Düzenleyicisi Devre Dışı Bırak Bir hacker WordPress Yönetici hesabınıza erişirse, web siteniz üzerinde tam kontrol sahibi olabilirler. Gösterge tablosunda, eklentinizin veya temanızın altındaki “düzenleyiciye” erişebilirler. Burada, içeriğini görüntülemek, sitenize zarar vermek, SEO spam kullanıcılarına vb. Kendi komut dosyalarını düzenleyebilir veya yükleyebilirler. D. Güvenlik anahtarınızı değiştirin, WordPress hesabınıza her erişmek istediğinizde oturum açma kimlik bilgilerinizi girmeniz gerekmediğini fark edebilir. Belirtilen alanda doldurulmuştur. Bu bilgilerin bilgisayar korsanlarından güvenli olduğundan emin olmak için WordPress, bu verileri şifreleyen ve depolayan güvenlik anahtarlarını kullanır. Hacker, CSRF saldırıları kullanarak sitenize girerse, bu bilgilere erişebilirler. Daha sonra bunu başka bir şeye dönüştürebilir ve istedikleri zaman web sitenizin yönetici hesabına kalmak için kullanabilirler.
Bu sertleştirme adımlarını önerdiğimiz yönergelerde açıklandığı gibi manuel olarak uygulayabilirsiniz. Veya Malcare’i yalnızca birkaç tıklamayla uygulamak için kullanabilirsiniz. Web sitenize yüklediğiniz daha fazla eklenti ve tema kullanılmayan tüm temaları ve eklentileri kaldırın, bilgisayar korsanları tarafından kullanılması gereken fırsatlar daha fazla fırsat. Kullanılmayan eklentileri ve temaları silmenizi ve yalnızca kullandığınızı kaydetmenizi öneririz. Ayrıca, sitenizi HTTP’den HTTPS’ye taşımak, bir güvenlik eklentisi yükleme ve giriş sayfasını koruma gibi birkaç güvenlik adımı daha da atabilirsiniz. CSRF saldırısının son zihninin kullanıcılar ve web siteleri üzerinde ciddi bir etkisi vardır. Bir hacker, komut dosyalarını HTTP istekleri aracılığıyla çalıştırmayı başarırsa, web sitenizi devralabilir. Bundan sonra kimse ne yapabileceklerini bilmiyor. Web sitenize kendi propagandalarını sergilemek veya yasadışı ürünler veya ilaç satmak için zarar verebilirler. Ayrıca ziyaretçileri web sitenize kendi web sitelerine yönlendirebilirler. Bu siteler genellikle yetişkin siteleri, yasadışı ürünler satan siteler veya ziyaretçileri kötü amaçlı yazılım indirmek için aldatan sitelerdir.
Bir web sitesi sahibi olarak, bu saldırıdan güvende kaldığınızdan emin olmak için harekete geçmeniz gerekir. WordPress sitenizde Active Malcare gibi güvenlik eklentilerini korumanızı tavsiye ediyoruz, çünkü size kapsamlı bir koruma sağlayacaktır.
Bilgisayar korsanlarının girmesini zorlaştırmak için web sitesini sertleştirmek için adımları uygulamak daha iyidir.
Son olarak, eklentileri ve temaları kullanırken önlem alın.WordPress depoları veya Themeforest ve CodeCanyon gibi pazarların güvenilir temalarını ve eklentilerini yükleyin. Bu adımları WordPress sitenize uyguladıktan sonra bilgisayar korsanlarından güvende olacağınızdan eminiz!WordPress sitenizi Malcare ile koruyun!
