WordPress Sunucu Ve Site Koruması Nasıl Yapılmalıdır? 20-1

WordPress Sunucu Ve Site Koruması Nasıl Yapılmalıdır? 20-1

Konu, WordPress güvenliğe gelince, kendinizi güvence altına almak için birçok sebep var. Sitenize karşı yapılan DDOS saldırıları, yönetici şifresini öğrenmeye çalışan saldırılar ve diğer saldırılar. Web sitenizi çökertebilecek kadar güçlü saldırılar yapılıyor. WordPress sitenizin güvenliğini sağlamak, saldırılara karşı gelmek ve saldırıları nasıl engelleyebileceğinizi anlatacağız.

WordPress Güvenlik Zayıflığı

WordPress bazen güvenlik zaafı eğilimli ve mahiyetine göre değil, güvenli e-ticaret platformu olarak kullanılıyor. Fakat güvenlik yapılandırılması az olduğundan dolayı çoğu zaman yüksek dereceli saldırılar oluyor. Eski WordPress yazılımını kullanmanız daha kötü olacaktır. Çünkü, kötü amaçlı yazılımcılar her zaman eski yazılımı kullanır. Eski yazılımda buldukları açıkları yeni yazılıma geçiriyor ve kısa zamanda iki formata da saldırı düzenleniyor. Testler genellikle eski sürüm olduğu için yeni sürümde sadece saldırı alırsınız. Ancak eski sürüm kullanıcıysanız o zaman web siteniz çok fazla hata ile karşı karşıya kalacaktır. Hatta çoğu ajans ve şirketler önceliği güvenlik olmak üzere yüksek bütçeli korumalar alıyorlar.

2016 yılında WordPress kullanıcılarının % 84 web sitesi korunabilir durumdaydı. Yani herhangi bir saldırı olmamıştı. Ancak son yıllarda yani 2017-2018 yıllarında bu durum % 74’ün aşağısına indi. Bu o demek oluyor ki, artık WordPress tabanlı web siteler kolaylıkla ele geçirilebiliyor.

Önceden WordPress açıklarının % 31’den fazlası WordPress moderatör ve yöneticileri tarafından engellenmişti. Ancak WordPress yazılımının büyük kitleye hitap etmesi bu durumda değişiklikler oluşturuyor. WordPress güvenlik takımı liderliğini sürdürüyor. Bu o demek oluyor ki, WordPress üzerinde 25-den fazla güvenlik yöneticisi bulunuyor. Sorunların ve açıkların her ne kadar karşısı engellense de internet aleminde her zaman açık bulunuyor.

Web Sitelerimiz Nasıl Ele Geçiriliyor?

Arka Kapı Güvenliği

İsmi gibi net anlama geliyor. Arka kapı SFTP, FTP yolu ile kötü amaçlı yazılımcılar tarafından geliştirilen site ele geçirme taktiğidir. Bu taktik sayesinde gizli bir Yönetici hesabı oluşuyor ve bu hesapla siteye bağlanıyorlar. Arka kapı adlanmasının asıl nedeni ise girişi zor olması ve geç fark edilmesinden kaynaklanıyor. Arka kapı sayesinde kötü amaçlı yazılımcılar sizin web sitenize, hostinginize, sunucunuza büyük zarar verebilir. Eğer profesyonel bir şirketseniz ve sunucunuzda birkaç web site barındırıyorsanız o zaman sıkıntı büyük. Çünkü, siteden sunucuya erişim sağlayarak sunucuda bulunan tüm web sitelerini ve hostingleri ele geçirirler. Sitelerin % 73 de arka kapı bulunuyor. Tüm dünya genelinde ise bu durumda % 23 olarak belirlendi.

Arka kapı sık sık yasal WordPress sistem dosyaları gibi görünmeye ve platformun eski versiyonunda olan zayıf ve yanlış dosyaları kullanarak ele geçiriyorlar. Kötü amaçlı yazılımcılar ilk önce WordPress bilgi üslerine aracılığıyla site yolunu, daha sonra ise şifreyi ele geçiriyolar.

Sitemde Arka Kapı Açık Mı?

Arka kapının sitenizde olmasını görmek için Site Check eklentisini kullanabilirsiniz. Bu eklenti sayesinde artık web sitenizde arka kapı olup olmadığını görebilirsiniz.

Pirana Saldırısına Karşı WordPress Güvenliği

Pirana istismarı, WordPress web sitelerinin ve eklentilerinin eski sürümlerinde hileli kodları eklemek için kullanılır. Bu da, arama motorlarının, ele geçirilen bir web sitesi arandığında, reklamlı ürünler için reklam döndürmesine neden olur. Bu güvenlik açığı, geleneksel kötü amaçlı yazılımlardan daha fazla spam tehdididir. Arama motorlarına siteyi spam dağıtımı suçlamalarında engellemek için yeterli sebep verir.

Bir Pirana saldırısının hareket eden bölümleri hep veritabanında saklanıyor. Bununla birlikte, istismarlar genellikle veritabanların da gizlenmiş şifreli kötü amaçlı enjeksiyonların kısır türevleridir. Güvenlik açığını gidermek için kapsamlı bir temizleme işlemi gerektirir. Yine de, güncel WordPress barındırma sağlayıcılarını kullanarak ve WordPress kurulumlarınızı, temalarınızı ve eklentilerinizi düzenli olarak güncelleyerek Pirana saldırılarını kolayca önleyebilirsiniz.

 

Kaba Kuvvet Giriş Girişimleri

Brute-force girişimi, zayıf şifreleri kullanmak ve sitenize erişim kazanmak için otomatik komut dosyaları kullanmaya çalışır. İki adımlı kimlik doğrulama, giriş denemelerini sınırlama, yetkisiz girişleri izleme, IP’leri engelleme ve güçlü parola kullanma, kaba kuvvet saldırılarını önlemenin en kolay ve etkili yollarından bazılarıdır. Ancak maalesef, bir dizi WordPress web sitesi sahibi bu güvenlik uygulamalarını yerine getirmekte başarısız olurken, bilgisayar korsanları, kaba kuvvet saldırıları kullanarak tek bir günde 30.000 web sitesinden kolayca ödün verebiliyorlar.

 

Kötü Amaçlı Yönlendirmelere Karşı WordPress Güvenliği

Kötü amaçlı yönlendirmeler, FTP, SFTP, wp-admin ve diğer protokolleri kullanarak WordPress kurulumlarında arka planlar oluşturulur. Web sitesine yeniden yönlendirme kodları gönderir. Yönlendirmeler genellikle .htaccess dosyanıza ve diğer WP çekirdek dosyalarına kodlanmış formlarda yerleştirilir ve Web trafiğini kötü amaçlı sitelere yönlendirir. WordPress kullanıcıları, SiteCheck, Bots vs Browsers gibi kötü niyetli yönlendirmeleri etkin bir şekilde algılayan ve kullanıcı yorumlarını dinleyen ücretsiz tarayıcıları kullanabilir. Bunları WordPress güvenlik adımlarımızda aşağıda daha fazla önleyebileceğiniz bazı yolları inceleyeceğiz.

 

DDOS Güvenliği

Belki de bunların hepsinden en tehlikeli olanı, Hizmet Reddi (DDOS) güvenlik açığı, web sitesi işletim sistemlerinin belleğini bozmak için koddaki hataları kullanır. Hacker’lar, milyonlarca web sitesini tehlikeye attılar ve DDOS saldırılarıyla WordPress yazılımının güncel ve güncel sürümlerini kullanarak milyonlarca dolar harcadılar. Finansal olarak harekete geçirilen siber suçluların küçük şirketleri hedef alması daha az olası olsa da, büyük işletmelere saldırmak için botnet zincirleri oluşturmada modası geçmiş hassas web sitelerini tehlikeye atma eğilimindedirler.

WordPress yazılımının en son sürümleri bile, yüksek profilli DDOS saldırılarına karşı kapsamlı bir şekilde savunamaz, ancak en azından finansal kurumlar bunları engellemek için yüksek bütçe ayırıyorlar. 21 Ekim 2016’da unutma bir DNS DDOS saldırısı nedeniyle internetin düştüğü gündü. WordPress güvenliğinizi artırmak için neden üstün bir DNS sağlayıcısı ve yük devretme stratejisi kullanmanız gerektiğine dair daha fazla bilgi edinin.

WordPress Güvenlik Derslerimiz:

  1.  WordPress Hostinginizi Koruyun
  2.  PHP Sürümünüzü Güncel Tutun
  3. Güçlü Kullanıcı Adı Ve Şifre Kullanın
  4. Yeni Sürüm Kullanın
  5. WordPress Yönetici Paneli Düzenleme
  6. İki Faktörlü Kimlik Doğrulama
  7. HTTPS SSL Sertifikası
  8. WP-Config Dosyanızı Güvenliğini Sağlayın
  9. XML-RPC Devre Dışı Bırakın
  10. WordPress Sürümünü Gizleyin
  11. HTTPS Sertifikası Güvenliği
  12. WordPress Güvenlik Eklentileri Kullanın
  13. Veritabanı Koruması
  14. Bağlantı Güvenliği
  15. Dosya ve Sunucu Yönetimi
  16. Yönetici Paneli Düzenleme
  17. Kısa Link Kontrolü
  18. Düzenli Yedekleme Alma
  19. DDOS Koruması
Sosyal Medyada Paylaş

Peki Siz Bu Konuda Ne Düşünüyorsunuz?