WordPress güvenli mi?Verilerin söylediği bu
WordPress, şimdiye kadar, web siteleri oluşturmanın en popüler yoludur. Popülerlik olumsuz yan etkilere sahiptir, çünkü WordPress sitelerini dünyadaki kötü aktörler için çekici bir hedef haline getirir. Ve bu, WordPress’in saldırıyı ele alacak kadar güvenli olup olmadığını merak etmenizi sağlayabilir.
Ücretsiz demoyu deneyin
Birkaç kötü haberden birincisi: Her yıl, yüz binlerce WordPress sitesi ve e-Niaga siteleri de saldırıya uğruyor (bu yüzden E-Niaga sahtekarlığının önlenmesi hakkında derinlemesine bir rehberimiz var). Kulağa kasvetli geliyor, değil mi? Şey … hayır, çünkü iyi haberler de var:
Bilgisayar korsanları, en son WordPress Core yazılımında güvenlik açığı nedeniyle girmez. Tersine, çoğu site, güvenli olmayan şifrelerin güncellenmemesi veya kullanılmaması gibi önlenebilecek eksiksiz bir sorun nedeniyle hacklenir. Sonuç olarak, “WordPress Güvenli mi?” Sorusunu cevaplamak. Bazı tonlar gerektirir. Bunu yapmak için birkaç farklı açıyı tartışacağız:
WordPress sitesinin gerçekten nasıl saldırıya uğradığına dair istatistikler, böylece güvenlik güvenlik açığının nerede olduğunu anlıyorsunuz.
WordPress Core ekibi güvenlik sorunlarının üstesinden nasıl gelebilir, böylece kimin sorumlu olduğunu ve neyin güvenliğini sağlamaktan sorumlu olduklarını bilirsiniz.
WordPress en iyi uygulamayı takip ettiğinizde güvende ise, web sitenizin güvenli olup olmayacağını bilirsiniz.
WordPress sitesi nasıl saldırıya uğruyor (verilere dayalı) Tamam, her yıl birçok WordPress sitesinin hacklendiğini biliyorsunuz. Ama … bu nasıl oldu? Bu küresel bir WordPress sorunu mu? Yoksa web yöneticilerinin eylemlerinden mi geliyor?
Bu nedenle, sahip olduğumuz verilere göre çoğu WordPress sitesi hackleniyor … Çekirdek yazılım ve 2017 Sucuri Hacked web sitesi raporundan şok edici korelasyon. WordPress’in çekirdeği, olay sırasında süresi doluyor. Web sitüsü (görüntü kaynağı: Sucuri) Highculate Web sitesi.
Bilinen güvenlik açığından wpscan listesi
WordPress kullanımı sürüme dayalı. (Görüntü kaynağı: wordpress.org)
Otomatik güvenlik yamalarını devre dışı bırakmayan veya WordPress 4.7.2 SAFE’a hemen güncellenen tüm WordPress site sahipleri. Ancak güncelleme uygulamayanlar değildir. Takeaway: WordPress Güvenlik Ekibi, WordPress Core yazılımında sorunları hızlı bir şekilde çözmek için iyi bir iş çıkarır. Tüm güvenlik güncellemelerini hemen uygularsanız, sitenizin temel güvenlik açığı sonucunda herhangi bir sorun olması olası değildir. Ama değilse, riski vahşi doğaya sömürürsünüz. 2. Eklenti veya son kullanma teması, WordPress hakkında insanların sevdiği bir şey bir dizi eklenti ve mevcut temadır. Bunu yazarken, WordPress depolarında 56.000’den fazla var ve web boyunca yayılan binlerce ek prim var. Tüm seçenekler sitenizi genişletmek için iyi olsa da, her uzatma kötü aktörler için yeni bir potansiyel kapıdır. Ve çoğu WordPress geliştiricisi, kod standardını takip etmek ve bilinen güncellemeleri düzenlemek için iyi çalışırken, hala bazı potansiyel sorunlar vardır:
Bir eklenti veya tema bir güvenlik açığı vardır ve pek çok kişi WordPress Core yazılımı gibi dikkat etmediğinden, güvenlik açığı tespit edilmez.
Geliştirici uzatma üzerinde çalışmayı bıraktı, ancak insanlar hala kullanıyor.
Geliştiriciler sorunları hızla yamalalar, ancak insanlar yenilenmez.
Peki sorun ne kadar büyük?
Şimdi, WordFence’ın hacklenen web sitesi sahibi hakkındaki bir ankette, web sitesi sahibinin% 60’ından fazlası, bilgisayar korsanlarının eklentinin veya temanın güvenlik açığı ile nasıl girdiğini biliyor.
WordFence web sitesi anketi (görüntü kaynağı: wordFence) Benzer şekilde, 2016 Sucuri raporunda, sadece 3 eklenti gördükleri hacklenen web sitelerinin% 15’inden fazlasına katkıda bulunur.
Sucuri tarafından hacklenen eklentilerin listesi
Ayrıca, sadece birkaç dolar ile bir eklenti veya WordPress premium teması alabileceğiniz internette yüzen görebileceğiniz bu GPL kulübünden bahsetmeliyiz. WordPress, olağanüstü ve sevmemizin nedenlerinden biri olan GPL altında lisanslanırken, alıcılar dikkatli olun. Bu bazen nulled eklenti olarak da adlandırılır. GPL kulübünden bir eklenti satın almak, geliştiriciden en son güncellemeleri almak için üçüncü bir tarafa güvenmeniz anlamına gelir ve çoğu zaman destek alamayacaksınız. Geliştiriciden eklenti güncellemeleri almak en güvenli yoldur. Ayrıca, hepimiz geliştiricilerini ve sıkı çalışmaları desteklemek üzereyiz!
Trafiğimizi%1000’den fazla nasıl artırdığımızı bilmek ister misiniz? Haftalık bültenimizi içerideki WordPress insanlar hakkında ipuçlarıyla alan 20.000’den fazla insana katılın!
Şimdi abone olun
3. WordPress, FTP veya barındırma için sızan giriş kimlik bilgileri, bu aslında yanlış WordPress değildir. Ancak, önemsiz olmayan hackleme yüzdesi, WordPress giriş bilgileri alan kötü aktörden veya web yöneticisi barındırma veya FTP hesabı için kimlik bilgisi girişinden geliyor. Aynı WordFence anketinde, kaba kuvvet saldırıları, hacklenen sitenin ~% 16’sını oluşturdu. Şifreler, iş istasyonları, kimlik avı ve FTP hesaplarının hırsızlığı küçük bir görünüm kazandırır, ancak görünür.
Kötü aktör ön kapıya mecazi bir anahtar aldıktan sonra, WordPress sitenizin ne kadar güvenli olduğu önemli değildir. WordPress aslında otomatik olarak güvenli bir şifre üreterek bunu azaltmak için iyi bir iş çıkardı, ancak kullanıcılar hala şifreyi güvenli tutmalı ve aynı zamanda barındırma ve FTP için güçlü bir şifre kullanmalı. Takeway: Güvenli hesap kimlik bilgilerini korumak için temel adımlar atmak, kötü faillerin girmesini önleyebilir. Tüm WordPress hesapları için güçlü bir şifre kullanın/uygulayın ve kaba kuvvet saldırılarını önlemek için giriş çabalarını sınırlayın (Kinsta Hosting bunu varsayılan olarak yapın).
Hesapları barındırma için, varsa iki faktör kimlik doğrulaması kullanın ve FTP şifrenizi asla sıradan metinde kaydetmeyin (bazı FTP programları gibi). FTP ve SFTP (SSH dosya aktarım protokolü) arasında bir seçeneğiniz varsa, her zaman SFTP kullanın (nedenleri anlayabilmeniz için FTP ve SFTP arasındaki farkı öğrenin). Ev sahibiniz yalnızca FTP kullanıyorsa, SFTP desteği hakkında bilgi almalısınız veya SFTP’yi destekleyen ana bilgisayara geçmelisiniz. Bu, aktarılan açık bir metin şifresi veya veri dosyası olmamasını sağlar. Kinsta’da SFTP’yi yalnızca dosya aktarımı için destekliyoruz. 4. Son tedarik zinciri saldırıları, bilgisayar korsanlarının tedarik zinciri saldırısı adı verilen kötü bir numara aracılığıyla siteye eriştikleri birkaç örnek vardır. Temel olarak, Evil Actor: Daha önce WordPress.org adresinde kayıtlı yüksek kaliteli bir eklenti satın alacak
Eklenti koduna arka kapıyı ekleyin
İnsanların eklentiyi güncellemesini bekleyin ve ardından arka kapıyı enjekte edin
Eğer ilgileniyorsanız WordFence’ın daha derin bir açıklaması var. Bu tür bir saldırı hiç yaygın olmasa da, önlenmesi daha zordur çünkü yapmanız gereken bir şey yaparlar (eklentiyi güncel tutun). Bununla birlikte, WordPress.org ekibi genellikle bu sorunu hızlı bir şekilde bulur ve eklentiyi dizinden kaldırır.
Kesinti ve WordPress problemi ile kavga mı ediyorsunuz? Kinsta, zamanınızı korumak için tasarlanmış bir barındırma çözümüdür! Özelliklerimizi görün
Takeaway: Bunu önlemek zor olabilir, çünkü her zaman en son sürüme güncellemek iyi bir şeydir. Yardım etmek için, WordFence gibi güvenlik eklentileri, bir eklentinin WordPress.org’dan silindiğini, böylece hızlı bir şekilde üstesinden gelebilmeniz için hatırlatabilir. Ve iyi bir yedekleme stratejisi, kalıcı hasar olmadan geri dönmenize yardımcı olabilir. 5. WordPress sitenizde olanların dışında zayıf barındırma ortamı ve süresi dolmuş teknoloji, barındırma ortamınız ve kullandığınız teknoloji de bir fark yaratır. Örneğin, PHP 7, PHP 5’e kıyasla güvenlikte büyük bir artış sunsa da, PHP 7 veya daha yüksek PHP WordPress web sitelerinin kullanımı kullanan WordPress sitelerinin sadece ~% 33’ü. (Görüntü kaynağı: wordpress.org)
PHP 5.6 güvenlik desteği 2018’in sonunda resmi olarak sona erdi. Ve önceki PHP 5 sürümünün yıllardır güvenlik desteği yoktu. Bu, PHP 5.6 veya daha düşük kullanarak barındırma ortamının kullanılması, yakında PHP güvenlik açığı potansiyelini açacağı anlamına gelir. Bu gerçekliğin yanı sıra, WordPress sitesinin yaklaşık% 28’i hala 5.6’nın altındaki PHP sürümünü kullanıyor, bu da yakın zamanda bulunan PHP güvenlik açıklarının sayısı için bir yıllık kayıt gördüğümüzü düşündüğünüzde büyük bir sorun. En son teknolojiye erişim sağlamanın yanı sıra, güvenli bir WordPress barındırma kullanmak, diğer birçok güvenlik açığı potansiyelini otomatik olarak azaltmanıza yardımcı olabilir:
Cloudflare (Kinsta’daki tüm siteler Cloudflare entegrasyonumuzla korunuyor) ve Sucuri gibi web uygulaması güvenlik duvarları
Güvenlik sürümü için otomatik güncelleme
İki faktör kimlik doğrulaması
Otomatik rezerv
Tüm WordPress Core Basımallarına danışın
WordPress güvenlik ekibinin bir açıklama politikası var, yani hataları yamayı başardıktan ve güvenlik iyileştirmelerini yayınladıktan sonra, sorunu açıkça ortaya koydular (bu, 2017’de neden bu kadar çok sitenin hasar görmesinin bir parçası – hala bir güncelleme uygulamadılar. Takım güvenliği halka yönelik hatayı açıkladıktan sonra). WordPress Güvenlik Ekibi tarafından yapılmayan şey, WordPress.org adresindeki tüm temaları ve eklentileri kontrol etmektir. WordPress.org adresindeki temalar ve eklentiler gönüllüler tarafından manuel olarak gözden geçirilir. Ancak gözden geçirme “güvenlik açığı içermedikleri bir garanti değildir” değildir. Öyleyse – en iyi uygulamayı takip ederseniz WordPress güvenli midir? Yukarıdaki tüm verileri ve gerçekleri görürseniz, bu genel eğilimi göreceksiniz:% 100 güvenli içerik yönetim sistemi olmamasına rağmen, WordPress temel yazılım için kaliteli güvenlik ekipmanlarına sahiptir ve çoğu hack, pratik yapmayı takip etmeyen doğrudan bir Web yöneticisinin sonucudur En iyi temel güvenlik. Gibi şeyler yaparsanız … WordPress Core yazılımınızı, eklentilerinizi ve çekirdek temalarınızı güncelleyin.
Eklentileri ve temaları akıllıca seçin ve yalnızca önde gelen geliştiricilerden/kaynaklardan uzantıları yükleyin. GPL kulübüne ve iptal edilen eklenti/temaya dikkat edin.
FTP ve SFTP arasında bir seçeneğiniz varsa, her zaman SFTP kullanın.
WordPress, barındırma hesabınız ve SFTP (ve varsa kimlik doğrulama yapan iki faktör) için güçlü bir şifre kullanın.
Kullanıcı adınız için “Yönetici” kullanmayın.
Sitenizin önünde bir güvenlik duvarı hazırlayın. Tüm Kinsta siteleri, doğuştan gelen DDOS koruması olan şirket düzeyinde güvenlik duvarlarını içeren ücretsiz Cloudflare entegrasyonumuzla korunmaktadır. Kinsta’da işe alınmıyorsanız, Cloudflare veya WAF Sucuri eklemek sitenizi daha güvenli hale getirebilir. Kendi bilgisayarınızı virüslerden uzak tutun.
For-for-forcing’i azaltmak için WordPress Oturum Açma URL’nizi değiştirin.
WordPress sitenizle (gösterge tablonuza girme gibi) tüm iletişimin şifrelenmesi için TLS sertifikasını (HTTPS) kullanın. Kinsta ücretsiz bir HTTPS sertifikası sunuyor!
SSH anahtarını kullanın. Bu, sunucuya girmek ve şifre ihtiyacını ortadan kaldırmak için daha güvenli bir yol sağlar.
Güvenli bir ortama sahip ana bilgisayarları seçin ve PHP 7+ gibi en son teknolojiyi kullanın.
… O zaman WordPress güvenlidir ve siteniz şimdi hem de gelecekte hacklemekten özgür kalacaktır. Eğer bir Kinsta müşterisiyseniz, endişelenmenize gerek yok. Şans eseri siteniz saldırıya uğradıysa, ücretsiz olarak düzelteceğiz!
