Web Sitesi Güvenlik Kontrolü: Web sitenizi kötü amaçlı yazılım ve spam’den koruyun
Güvenliğin web geliştiricileri ve site sahipleri için önemli bir endişe haline gelmesi şaşırtıcı değildir. İnternet popülerlikte patladığında ve iletişim, araştırma ve yeni alışveriş yöntemi haline geldiğinde, kötü amaçlı yazılım ve spam yayılmasını hayal kırıklığına uğratmak için web sitesi güvenlik kontrolleri çok önemlidir.
Ücretsiz demoyu deneyin
İster küçük bir kişisel blog ister büyük bir çok uluslu çevrimiçi mağaza, hackleme tehdidi her zaman oradadır. Bazı kişiler sitenize zarar verecek ve içine kötü amaçlı yazılım yerleştirecek, verilerinizi veya müşterilerinizi çalmaya çalışacak ve sunucunuzdaki önemli içeriği silecektir. Kendinizi ve hassas bilgilerinizi korumanız gerekir.
Sitenizin şimdi ne kadar güvenli olduğunu öğrenelim. Ayrıca kötü amaçlı yazılım üreticileri tarafından kullanılan kötü amaçlı yazılımları kaldırmak için bazı ipuçları sunacağız. WordPress kutunun dışında güvenlidir, ancak tamamen yamalamak biraz iş gerektirir.
Web Sitesi Güvenliği Kontrolü: Neden önemli? Web sitenizin çok küçük ve önemli olmadığını düşünebilirsiniz, böylece hiç kimse onu hedeflemekle uğraşmak istemez. Ya da belki daha önce hiç güvenlik düşünmediniz ve rahatsız edilecek kadar önemli olmadığını düşündünüz. Böyle düşünmek, 2013’te WordPress kurulumlarının% 70’inden fazlası saldırılara karşı savunmasızdı. Bu saldırıların birçoğu eski yazılımlardan kaynaklanmaktadır – çünkü çoğu insan sitelerini güvence altına alacak kadar umursamıyor veya büyük bilgisayar korsanlarının dalgalarının WordPress kurulumlarını hedeflemesine neden oluyor.
Peki sitenizin istenmeyen bir bozukluğu varsa ne olabilir? Bu sadece şifrenizi değiştirerek kolayca tamamlanan basit bir bozukluk değildir. Sitenizde, ziyaretçilerin kendilerini yıkıcı yazılımlarla bulaşmasına neden olan ve bu şekilde bulunması çok zor olabilecek bir kod bulunabilir.
Önemli sayfalarınız hasar görebilir, boşaltılabilir veya yasadışı sitelere bağlantılarla doldurulabilir.
Bu, blog yayınları ve sayfalar gibi içeriğin kaldırılmasına neden olabilir.
Giriş bilgileriniz veya kredi kartı bilgileriniz, kullanıcılarınız veya müşterileriniz gibi hassas bilgiler çalınabilir ve çevrimiçi olarak satılabilir.
Saldırılar sunucunuzdaki diğer web sitelerine yayılabilir.
Google, sitenizdeki herhangi bir kötü amaçlı yazılım algılarsa, erişimini engeller ve arama sonuçlarından siler, arama motoru optimizasyon çabalarınızı yok eder.
Yönetici hesabının kullanıcı adı ve şifresi değiştirilebilir, böylece arka uç erişemezsiniz.
Bir E-Niaga dükkanı çalıştırırsanız, saldırıya uğrayan site büyük bir sorun olabilir.
Ve sitenizin yeterince önemli olmadığını söyleyebilmenize rağmen, tüm saldırılar hedeflenmez. Birçok otomatik WordPress saldırısı – BOT, sitenizin güvenlik açığını araştırır ve insan müdahalesi olmadan saldırılara başlar. Bu yüzden sitenizi güvence altına almak için adımlar atmanız gerekiyor, ne olursa olsun. WordPress neden saldırıya uğradı? Hacking yaygındır, ancak bilgisayar korsanları tarafından sitenize girmek için en sık hangi güvenlik açığı kullanılır? Bir web sitesine gitmenin günler veya haftalar için iş ve bilgisayarlar, kodlama ve sunucular hakkında geniş bilgi gerektiren zorlu bir süreç olduğunu hayal edebilirsiniz. Bu durum, iyi korunan büyük sitelerin savunmasına nüfuz etmek için hedeflenen çaba için geçerli olabilir, ancak küçük WordPress alanları söz konusu olduğunda hikaye çok farklıdır. WordPress saldırılarının çoğu başarılı olur çünkü insanlar kolayca tahmin edilebilir şifreleri kullanır ve temalarını ve eklentilerini güncellemeyin. Bilgisayar korsanları otomatik programlar kullanarak bu tür sitelerin çoğuna girer. Parola hack en basit hack şeklidir, ancak bu çok yaygındır çünkü başarılıdır. Birçok kişi WordPress’in “Yönetici” varsayılanına giriş yapmasına izin verir, yarım tahmini kaldırır ve ardından basit ve öngörülebilir bir şifre kullanır. Başarısız olduğunda, bilgisayar korsanları popüler eklentilerdeki veya eski WordPress sürümlerindeki genel güvenlik açığından yararlanacaktır. Bu yüzden her zaman her şeyi güncellemek çok önemlidir.
Web sitesine girmek için çok daha karmaşık ve daha karmaşık yollar var. Ancak, çoğu WordPress saldırısı, siteye girmeyi çok kolaylaştıran güvenli olmayan şifreler ve modası geçmiş yazılımlar kullanır. Web sitenizi güvence altına almanın ilk adımının web sitesi güvenliğini nasıl kontrol edilir: Web sitenizin ne kadar güvenli olduğunu belirleyin. Arka ucunuzda hemen yayınlamanız gereken çarpıcı bir güvenlik açığı mı yoksa şimdi yapabileceğiniz herhangi bir kolay iyileştirme var mı? Çevrimiçi araçları kullanın Sitenizi kötü amaçlı yazılım ve güvenlik açığından kontrol etmenin hızlı ve kolay yollarından biri çevrimiçi tarayıcılar kullanmaktır. Bu, sitenizi uzaktan tarayın ve ortak sorunları belirleyin. Bu çok rahat çünkü herhangi bir yazılım veya eklenti gerektirmiyor ve sadece birkaç saniye gerektiriyor. Çevrimiçi olarak seçilecek düzinelerce tarayıcı var ve aşağıdaki araçlarımıza birkaç tane ekleyeceğiz, ancak şimdilik popüler olanı seçelim Kullanımı kolay: Sucuri Sitecheck.
Sucuri sitesini kontrol edin.
Bu araç iyi bir seçimdir çünkü Sucuri eklentisini yükleyebilir ve hemen tespit edilen sorunu düzeltebilirsiniz. Sitenizi taradıktan sonra, Sucuri bir blok listesinden kontrol eder, spam enjekte edilmiş veya süresi dolmuş yazılım gibi net sorunları arar ve kötü amaçlı yazılım bulmak için erişilebilen herhangi bir kodu tarar. Ayrıca sitenizi saldırılardan güçlendirmek için bazı öneriler sunar.
Sucuri eklentileri ile web sitelerini tarayın.
Kendinizi eklemediğiniz garip bir web sitesine ani bir bağlantı
Yapmadığınız ayarlarda değişiklikler
Yeni kullanıcılar, özellikle yüksek seviyelerde ayrıcalıklara sahip olanlar, eklemezsiniz
Yüklemediğiniz eklentiler veya temalar
Kötü amaçlı yazılım genellikle dosyanıza tehlikeli bir kod enjekte edebilir. Eklenti dosyasını ve temasını, WP-Content/Uploads klasörünü, yanlış dizinde bulunan WordPress Core dosyasını, wp-config.php ve .htaccess’i kontrol edin. Hassas değişiklikler yapmadan önce sitenizi ayırmalı ve kodu anlamalısınız.
Sitenize FTP ile bağlıysanız, var olmaması gereken kodlar için değiştirilmiş dosyalara göre sıralayabilirsiniz. Sitenize düzenli olarak kötü amaçlı yazılım bulaşmışsa ve dosyada herhangi bir neden bulamıyorsanız, sorun olabilir. Sunucunuzda veya sunucunuzdaki diğer sitelerde olun. Bahsettiğimiz gibi her şeyin en son olduğundan emin olun, son kullanma yazılımı WordPress’teki en yaygın enfeksiyon vektörüdür. Sitenizin güvenliğini korumak için yapabileceğiniz tek bir şey varsa, WordPress’i güncellemeye devam etmelidir. Sitenizdeki tüm yazılımların durumunu kontrol etmenin en kolay yolu, çekirdeğinizin, temanızın veya eklentinizin sona ermediğini söyleyecek olan Dashboard> Güncellemeleri açmaktır.
WordPress Güncellemesi
WordPress, sürüm 5.5’ten beri otomatik bir güncellemeye sahip olduğundan, güncel olmayan bir WordPress sürümünüz olmadığı sürece güncel olmayan bir şey yoktur. Değilse, her şeyi bu ekrandan güncelleyebilirsiniz. WordPress’in yeni bir sürümü olduğunu biliyorsanız, ancak görünmüyorsa, geçerli sürümün altındaki kontrol düğmesini tekrar tıklayın. Güncellemeler için eklentiler sayfasını> yüklü eklentileri veya görünüm> temaları da kontrol edebilirsiniz.
Önemli
Özellikle 7.3’ten daha uzun bir sürüm kullanıyorsanız, her zaman PHP’yi güncellemek çok önemlidir, çünkü önemli güvenlik açığı getirebilir.
Ana hesabınızda zayıf olan hesap ve şifre güvenli şifreler, kimsenin zorunlu bir programla sitenize girmesini, yöneticiye erişimini ve herhangi bir şeyi değiştirme yeteneğini daha kolay hale getirir. Her ne kadar karmaşık şifrelerin hatırlanması zor olsa da, sitenizi hacklemeden kurtarmanız gerekiyorsa, giriş sürecini daha az rahat, daha da zahmetli hale getirin. Yazmanız gerekse bile daha güvenli bir şifre kullanmaya layık olmalıdır. Şifreniz, üst ve küçük harf, sayılar ve sembollerin bir karışımını kullanmalıdır. Aile üyesinin adresiniz veya adı gibi tahmin edilebilecek sözlük veya kişisel bilgilerin sözlerine dayanmazsanız daha iyi olurdu. En iyi senaryoda, şifreniz uzun ve karışık bir rastgele karakter dizesi olacaktır. Parola yöneticileri kullanmanızı şiddetle tavsiye ediyoruz. Güvenli ve öngörülemeyen bir şifre üretmek için 1Password veya LastPass gibi siteleri kullanın. LastPass ile güvenli bir şifre oluşturun.
WordPress’e yeni şifreyi ayarlayın
Kullanıcı sayfasındayken, tüm kullanıcılarınızı görün ve orada tanımadığınız veya uygunsuz izniniz olmadığından emin olun. Bilinmeyen kullanıcıları hemen yönetici izni ile silmeniz gerekir.
Bültenlere Kaydolun
Trafiğimizi%1000’den fazla nasıl artırdığımızı bilmek ister misiniz? Haftalık bültenimizi içerideki WordPress insanlar hakkında ipuçlarıyla alan 20.000’den fazla insana katılın!
SSL web sitesi sertifikasını kontrol edin.
Bu araç çok rahat olmasına rağmen, bu araç sitenizi bir şeye zarar vermek için hackleyen herkes için de uygundur, bu nedenle kapatmak isteyebilirsiniz. Bunu bu işlevi wp-config.php: define (‘dislax_file_dit’, true) adresine ekleyerek yapabilirsiniz; SQL enjeksiyonu, siteye girmenin yaygın bir yoludur. Başka kullanıcı formlarınız veya girişleriniz varsa, özel karakterlerin kullanımını sınırlayın ve yalnızca yüklenmesi güvenli olan genel dosya türlerine izin verin. Son olarak, ekstra koruma katmanları için dosya dizinini bir şifre ile koruyabilirsiniz. Web sitenizi nasıl güvence altına alabilirsiniz: Sitenizin kötü amaçlı yazılımı varsa, iyi güvenlik eklentileri silmek için hile yapmalıdır. Ve kontrol etmek istediğiniz bazı güvenlik açıklarını tartıştık. Web sitenizi güvence altına almak ve bu gerçekleşmeden önce enfeksiyonu önlemek için birkaç hızlı ipucumuz var. Bu ipuçlarının çoğunu birkaç dakika içinde uygulayabilirsiniz, böylece WordPress ve Web güvenliğine alışık olmasanız bile bu ipuçları kolayca hazırlanacaktır. Size rekabet avantajı sağlayan çözümler barındırma? Kinsta, olağanüstü hız, sofistike güvenlik ve otomatik ölçekte size yardımcı olur. Planımıza bakın
Sitenize girmenin yollarını aradığında, güvenli bir ana bilgisayar seçin, sömürü bulmak için genellikle sunucuya geçerler. Orada birçok ucuz barındırma var, ancak her zaman en güvenli sunucuya yatırım yapmazlar. Birlikte barındırma bir enfeksiyon vektörü olabilir. Bir web sitesine kötü amaçlı yazılım bulaşmışsa, sunucudaki her siteye yayılma potansiyeline sahiptir. Böylece virüs ve spam SEO ile dolu bir yer bulabilirsiniz ve bu sizin hatanız değildir. Bu nedenle, güvenliği önemseyen ve güvenli bir sunucuya yatırım yapan araştırma yapmak ve sunucuları seçmek çok önemlidir. Web sitenizi güvence altına almak için yine de iş yapmanız gerekiyor, ancak sunucu düzeyinde verileriniz güvenlidir. İki Adım Kimlik Doğrulama (2FA) Etkinleştirme İki adım kimlik doğrulaması (iki faktör veya 2FA kimlik doğrulaması olarak da bilinir) diğer giriş adımları ekler. Kullanıcı adlarına ve şifrelerine ek olarak, siz veya başka bilgilere de ihtiyacınız var: benzersiz ek kodlar. Bu, cep telefonunuza gönderilen sayısal bir kod olabilir, bu da WordPress hesabınızı şiddet yoluyla neredeyse çözülmez. Veya, yalnızca sizin bildiğiniz e -posta doğrulaması veya bilgileri gerektirebilir. İki faktör kimlik doğrulamasını etkinleştirmenin doğuştan bir yolu olmamasına rağmen, birçok eklenti WordPress’e işlevsellik ekler. Kinsta, tüm müşteriler için iki faktör kimlik doğrulaması sunar. Ancak, bir Kinsta kullanıcısı değilseniz, daha önce bahsettiğimiz WordFence güvenlik eklentisi 2 varsayılan ile birlikte gelir. Ayrıca, uygulama aracılığıyla iki faktör hazırlamak için e -posta kodları veya ikili için iki faktör eklentileri veya ikili gibi diğer web sitesi güvenlik araçlarını da deneyebilirsiniz.
Kimlik Doğrulama Eklentisi İki faktör Duobuat rezervi her gün siteniz onu girmeye çalışan kişilerden kurtaramaz, ancak bir şey olursa, yedeklemeye sahip olmak çok değerli olacaktır. Bu, haftaların kaybı veya hatta iş yılları arasındaki fark anlamına gelebilir ve sadece hacklemeden önce rezervlere geri yüklenir. Kinsta kullanırsanız, sizi iki hafta boyunca saklanan günlük otomatik rezervlerle koruyacağız (Kinsta Ajans Ortağı Programı için 30 gün). Buna ek olarak, haftada indirilebilen beş manuel yedekleme ve bir yedekleme yapabilirsiniz ve her saat rezerve etmek veya buluta dışa aktarmak için isteğe bağlı bir eklenti vardır. UpdraftPlus gibi eklentiler de yardımcı olabilir. Veri kaybını en aza indirmek için en azından her gün bir hizmet seçmenizi öneririz. Trafiği filtrelemek için katı kurallar kullanarak bir web uygulaması güvenlik duvarı veya WAF kullanın, hackleme veya DDOS saldırılarıyla ilgili bilinen IP’leri engelleyin. Bu, birçok saldırının sunucunuza ulaşmasını önler. WAF’ı sunucu düzeyinde uygulayabilmenize rağmen, Cloudflare veya Sucuri tarafından sağlanan bulut tabanlı hizmetler satın almanın en kolay. SSH veya SFTP aracılığıyla bağlayın Bazen dosyaları oraya eklemek veya değiştirmek için sitenize FTP ile bağlamanız gerekir. SFTP’yi FTP aracılığıyla kullanmak her zaman daha iyidir;
Fark basit: SFTP güvenli ve FTP değil. FTP ile verileriniz şifrelenmez. Birisi sizin ve sunucunuz arasındaki bağlantıyı başarıyla keserse, FTP giriş bilgilerinizden başlayan her şeyi yüklediğiniz dosyalara görebilir. Her zaman SFTP’ye bağlı. Ayrıca, komut istemine bağlanmanızı ve sitenizi daha doğrudan yönetmenizi sağlayan SSH Access’i kullanmayı da düşünebilirsiniz. Bu güvenli, güvenlidir ve basit görevleri uzaktan halledebilir. SSH kılavuzumuz, kilitlenmediyseniz yardımcı olabilir. DDOS saldırısını önlemek DDOS saldırısı, binlerce sahte istekle sunucunuza spam göndererek web sitenizi yavaşlatır, okuyucuların veya potansiyel müşterilerin buna erişmesini önler. İşte gerçekleşmeden önce durdurmak için bazı ipuçları: DDOS saldırısına saldırdığında bir plan yapın. Web ana bilgisayarınızı uyarmanız ve saldırıyı durdurmanız gerektiğinde panik yapmak istemezsiniz.
Sahte trafiği algılayabilecek bir web uygulaması güvenlik duvarı kullanın.
Sunucunuzu kullanarak üçüncü taraf uygulamalarını önlemek için xmlrpc.php devre dışı bırakın.
Brute Force saldırılarını önlemek, kaba kuvvet saldırıları DDOS saldırılarına benzer olabilir, ancak amaç, yöneticinizin şifresini tahmin etmek ve sunucunuzu bırakmak yerine siteye girmektir. Bu, sitenizi de yavaşlatabilir.
WAF bir kez daha bot trafiğini ve çarpıcı şiddet çabalarını filtreleyebilir.
Yönetici hesabınızda iki adımlı bir kimlik doğrulama kullanın.
Oturum Açma Sayfası URL’sini değiştirin ve giriş çabalarının sayısını sınırlayın. Giriş sayfanızı bir şifre ile koruyun.
Rastgele yapılan ve her yıl veya daha fazla değişen uzun bir şifre kullanın.
Bahsettiğimiz şeyin yanı sıra bilmeniz gereken web sitesi güvenlik araçları, web sitenizi kilitlemenize yardımcı olacak başka çevrimiçi güvenlik araçları:
Intruder.io: En son güvenlik açığını tarayın.
SSL Server Testi: SSL sertifikanızı analiz eden ve zayıflıkları tanımlayan bir geliştirici.
HTML Temizleyici: Tehlikeli bir kod/xss filtreleme, temizlenmesi gereken enfekte bir kodunuz varsa iyi.
Mozilla Gözlemevi: Genel güvenlik açığı kodunuzu temizlemek için takip edilebilecek öneriler.
SQLMAP: SQL kodunuzdaki istismarları tanımlamak için penetrasyon test aracı.
Tespit: Etik bilgisayar korsanlarının yardımıyla web uygulamanızı tarayın.
WPSCAN: CLI tabanlı WordPress tarayıcısı.
Sonarqube: Güvenlik güvenlik açığı içermeyen standardı eşleşen bir kod yazın.
Web Sitesi Güvenlik Kontrol Listesi Saldırılardan Güvenli Web Siteniz mi? Bu kontrol listesindeki neredeyse her şeyi kontrol ettiğinizden emin olun:
Güvenli ve kaliteli bir barındırma ortamı kullanıyor musunuz?
Virüsleri kontrol etmek için sitenizi eklentiler veya çevrimiçi tarayıcılarla taradınız mı?
Etkinlik günlüğünü yüklediniz ve olağandışı değişiklikler için izlediniz mi?
Siz ve güvenli şifreler ve iki faktör kimlik doğrulaması kullanan yüksek seviyeli ayrıcalıklara sahip herhangi bir kullanıcı mısınız? Tüm e -postalar doğru mu?
WordPress, temalar ve eklentiler ve en son PHP gibi temel sistemler mi?
SSL sertifikanız güvenli ve yukarı -dat mı?
Web sayfasına, ayarlara veya dosyanıza eklemediğiniz içeriği veya içeriği veya ekleyemeyen bağlantıları veya ekleyemeyen değişiklikleri kontrol ettiniz mi? Oturum açma sayfanız bir şifre ve sınırlı giriş çabaları ile korunuyor mu?
Eklemediğiniz yeni bir kullanıcıyı kontrol ettiniz mi?
Formlar, yorum kutuları ve diğer kullanıcı giriş kaynakları güvenli mi? (Özel karakterleri yasaklayın ve dosya yüklemelerini bilinen dosya türleriyle sınırlayın.)
DDOS saldırılarını önlemek için xmlrpc.php ve yangın dinlenmesini devre dışı bıraktınız mı?
Gösterge tablosundaki düzenleme temaları ve eklentileri devre dışı bıraktınız mı?
Günlük rezerv hizmetiniz var mı?
Bir web uygulaması güvenlik duvarı hazırladınız mı?
Web sitesinin güvenlik özeti küçük bir sorun değildir, bu yüzden ustalaşmadıysanız, şimdi bunu bir öncelik haline getirme zamanıdır. Hogging sadece müdahale etmekle kalmaz, hasarlı bir SEO, verileri yok etme kaybı, kullanıcı güven kaybı ve tekrar tekrar dönen kötü amaçlı yazılımlarla sona erebilir. Sitenizi güvence altına almak için bazı ek adımlar atmak için deneyimli bir geliştirici olmanıza gerek yoktur. Ve doğru web sitesi güvenlik kontrolü ile başlar. Daha iyi bir şifre seçmek veya daha güvenli bir ana bilgisayara dönüşmek gibi basit bir şey bile tüm farklılıkları yaratabilir. Daha fazla güvenlik ipucuna mı ihtiyacınız var? Sitenizi güvence altına almanın 19 yolunu öğrenin. Ve tavsiyenizi aşağıdaki yorumlarda paylaşmaktan çekinmeyin!
