7 WordPress Güvenlik Efsanesi: Tamamen Çürütüldü ve Çürütüldü
Yayınlanan: 2023-10-21Dünyadaki en popüler içerik yönetim sistemi olmasına rağmen WordPress platformunun güvenliğiyle ilgili efsaneler dolaşmaya devam ediyor. Açık kaynak yapısı nedeniyle deneyimsiz kullanıcılar onu ticari bir üründen daha az güvenli görebilir. Ayrıca, haberlerde WordPress güvenlik sorunlarına ilişkin raporlar nedeniyle cesaretleri kırılabilir.
Efsane #1: Güvenlik, Hosting Sağlayıcınızın İşidir
Yeni başlayan veya ilk kez web sitesi sahibi olarak, web sitenizi güvende tutmanın, onu çevrimiçi tutmak için para ödediğiniz kişilerin alanı olduğunu düşünebilirsiniz. Ve bu bir bakıma doğrudur; web barındırma sağlayıcınız gerçekten de ilk savunma hattıdır. Web sunucunuza erişimin kolay olmadığından emin olmak ve sitenizin bulunduğu fiziksel varlığı korumak onların görevidir. Eğer bunu yapmazlarsa, onlar sadece kötü bir ev sahibidirler.
Web Sitesi Güvenliği Temel Olarak Sizin Sorumluluğunuzdur
Ancak bunun dışında, barındırma sağlayıcınızın WordPress web sitenizin güvenliğine ne kadar dahil olduğu gerçekten planınıza bağlıdır. Paylaşılan bir ana bilgisayarda, VPS ana bilgisayarında ve hatta özel bir sunucuda, temelde yalnızca sunucu alanını kiralarsınız. Bununla ne yapacağınız size kalmış.
Bu, barındırma sağlayıcısının WordPress web sitenizi güvende tutma konusunda size hiçbir şekilde yardımcı olmadığı anlamına gelir. Bu senin işin.
Elbette bazı sağlayıcılar güvenlik duvarı veya CDN gibi ek güvenlik özellikleri sunacaktır. Ayrıca sunucularını kötü amaçlı yazılımlara, virüslere vb. karşı izleyecek ve sitenizde bir şey tespit etmeleri durumunda harekete geçeceklerdir. Ancak çoğu zaman bu aynı zamanda sitenizi devre dışı bırakıp sizden düzeltmenizi istedikleri anlamına da gelir. İdeal bir çözüm değil, özellikle de yeni başlayan biriyseniz.
Yönetilen Barındırma Yardımcı Olabilir
Barındırma sağlayıcınızın WordPress web sitenizin güvenliği konusunda daha aktif bir rol almasını istiyorsanız, yönetilen barındırma seçeneğini seçmelisiniz. Buna böyle adlandırılmasının nedeni, yönetilen barındırma sağlayıcısının, sunucu alanı sağlamanın yanı sıra, bir web sitesini çalıştırmanın getirdiği bazı günlük görevleri de üstlenmesidir. Hız optimizasyonu, site güncellemeleri ve uzman desteği gibi güvenlik de bunlardan biridir.
Elbette bu tür bir hizmet ekstra ücrete tabidir, ancak sitenizin güvenliğini sağlama konusundaki beceri seviyenize olan güveninize bağlı olarak genellikle buna değer. Büyük bir gönül rahatlığı sağlayabilir.
Ancak genel olarak bu WordPress güvenlik efsanesini kesin olarak ortadan kaldıralım: Rezervasyon yaptığınız hizmetin bir parçası olmadığı sürece, barındırma sağlayıcınız web sitenizin güvenliğinden ve sitenizin ihlal edilmesini ve saldırıya uğramasını önlemekten sorumlu değildir. Bu sorumluluk sizindir.
Efsane #2: WordPress'in Kendisi Bir Güvenlik Riskidir
Şimdi şöyle düşünüyor olabilirsiniz: "Tamam, eğer barındırma sağlayıcısı bunu benim için yapmazsa, ücretsiz bir yazılıma güvenmek riskli değil mi? Bir grup gönüllünün boş zamanlarında yaptığı bir şey ne kadar iyi olabilir ki? Ayrıca Wix çalışanlarının bana TV'de WordPress'in de güvenli olmadığını söylediğini görüyorum."
Tamam, hadi bunu daha sonra ele alalım.
Anlamanız gereken ilk şey, internete bağlı hiçbir şeyin tamamen güvenli olmadığıdır. Her gün en büyüğünden en küçüğüne kadar binlerce web sitesi saldırıya uğruyor. Hayat gibidir, sonuçta sadece farklı seviyelerde güvensizlik vardır ve kötü bir şeyin olmasını mümkün olduğu kadar düşük bir ihtimal haline getirdiğinizden emin olursunuz.
WordPress Kapsamlı Güvenlik Önlemlerine Sahiptir
Burada WordPress diğerlerinden daha kötü durumda değil. Aslında platform, yıllar geçtikçe temel üründeki güvenlik endişelerini keşfetmek ve gidermek için güçlü bir sistem uygulamaya koydu.
Lider geliştiriciler, güvenlik araştırmacıları ve diğer web güvenliği profesyonelleri de dahil olmak üzere yaklaşık 50 uzmandan oluşan özel bir güvenlik ekibi bulunmaktadır. Birçoğu, tüm işlerinin dayandığı yazılımın arızalara karşı korunmasında çıkarı olan bir şirket olan WordPress.com için çalışıyor.
Ayrıca ekip, diğer barındırma şirketlerinin ve hatta içerik yönetim sistemlerinin güvenlik ekiplerine danışır.
Görevleri, WordPress'i güvenlik açıklarına karşı aktif olarak izlemek ve ortaya çıkan her şeye hızlı bir şekilde yanıt vermektir. Bildirilen herhangi bir şey yeterince ciddiyse, anında bir yama oluşturup gönderme olanağına sahipler. Bu özelliği özellikle kapatmadığınız sürece, 3.7 sürümünden daha yüksek herhangi bir WordPress web sitesine otomatik olarak yüklenecektir.
Bunun yanı sıra, WordPress genellikle sık sık güncellemeler görür; yılda yaklaşık iki ila üç yeni ana sürüm ve bunların arasında küçük, bakım ve güvenlik güncellemeleri bulunur. Her biri olası güvenlik sorunlarına yönelik düzeltmeler ve kapsamlı bir test süreciyle birlikte gelir.
Topluluğu Ana Varlığıdır
Yukarıdakilere ek olarak, bu "gönüllüler grubunun" gerçekte neye benzediğine dair yanlış bir imaja sahip olabilirsiniz. Birçoğu, işleri için WordPress kullanan milyon dolarlık şirketlerin çalışanlarıdır. Ayrıca hepsinin oyunda geçimlerini sağlayan yazılımı güvende tutacak bir dış görünümü var.
Genel olarak WordPress'in açık kaynak yapısı onun gücünün bir parçasıdır. Kaynak kodu ücretsiz olarak mevcuttur ve herkesin incelemesine ve güvenlik açıklarını bulup raporlamasına açıktır. Ve birçok insan bunu yapıyor. Demek istediğim, WordPress 6.3'e katkıda bulunanların sayısına bakın.
Son olarak, WordPress web sitelerinin güvenliğini daha da artırmak için birçok özel barındırma sağlayıcısı ve güvenlik eklentisi bulunmaktadır. Kullanıcıların güvenlik önlemlerini uygulamalarına yardımcı olan binlerce blog yazısı ve eğitimden de bahsetmiyoruz bile.
Peki bu WordPress güvenlik efsanesine ne diyeceğiz? Bu doğru değil. WordPress'in temel ürününün güvenliğini ve zaptedilemezliğini sağlamak için uygulanan sistemler, ticari kuruluşlarınkine eşit veya ondan daha fazladır.
Efsane # 3: WordPress En Çok Saldırıya Uğrayan Platformdur
WordPress'i kullanma konusundaki tedirginliğinize katkıda bulunabilecek bir şey de WordPress'in en çok saldırıya uğrayan CMS olduğunu söyleyen istatistiklerdir. Platformun geçmişte bazı yüksek profilli güvenlik sorunlarıyla gündeme geldiği doğrudur. Demek istediğim, şu grafiğe bir bakın, WordPress'i ciddi bir şey için kullanma konusunda şüpheci davranmanıza neden olmuyor mu?
WordPress’in Boyutunu Düşünün
Bu noktada girişte ilk söylediğimiz şeylerden birine tekrar dönmemiz gerekiyor. WordPress, mevcut en popüler içerik yönetim sistemidir.
Ne kadar popüler?
W3techs'e göre internetteki tüm web sitelerinin %43'ünden fazlasına güç sağlıyor.
Mutlak sayılarla bu 470 milyondan fazla site anlamına gelir. Bu bir sürü web sitesi. Üstelik yukarıdaki grafikten de görebileceğiniz gibi başka hiçbir sistem bu istatistiklerin yanına bile yaklaşamıyor.
Peki WordPress neden en çok saldırıya uğrayan platform? Çünkü hacklenecek çok daha fazla WordPress sitesi var.
Bir düşünün, geçimini sağlamak için başkalarının sitelerine giren biri olsaydınız hangi sistemi hedef alırdınız? Sonsuz potansiyel kurban arzına sahip olan ve birisinin yan kapıyı açık bırakma ihtimalinin daha yüksek olduğu yer mi, yoksa hedeflerin çok uzakta olduğu yer mi? Muhtemelen cevabı biliyorsunuzdur.
WordPress Çekirdeği Sorun Değil
Son olarak, istatistiklerin derinliklerine inerseniz, başarılı WordPress saldırılarının yalnızca çok küçük bir yüzdesinin WordPress'in kendisinden kaynaklandığını hemen anlarsınız. Ve bu durumlarda bile çoğu zaman web sitesi eski bir sürümü çalıştırdığı için.
Güvenlik açıklarının büyük bir kısmı WordPress uzantılarından, özellikle de eklentilerden kaynaklanmaktadır.
Yani evet, WordPress gerçekten de en çok ihlal edilen platform, yani bu güvenlik efsanesinin çoğu doğru. Ancak bunun arkasındaki neden çok daha incelikli.
Efsane #4: O halde WordPress Eklentileri Güvenli Değildir
Dikkatli bir gözlemci (ki kesinlikle öylesinizdir) tüm tartışmamızı orada otobüsün altına attığımızı fark etmiş olabilir. Görünüşe göre WordPress eklentilerinin büyük bir güvenlik sorunu olduğunu kabul ettik.
Bunlar WordPress ekosisteminin ve deneyiminin merkezi bir parçası olduklarından (çünkü herkes bunları web sitelerine daha fazla özellik eklemek için kullanır), bu, WordPress ile güvenli olmayan web siteleri oluşturmaktan başka seçeneğiniz olmadığı anlamına gelmelidir.
Ah hayır, yakalandım!
Eklentilerle İlgili Sorun
Doğal olarak burada da daha incelikli olmanız gerekiyor.
Evet, açıkçası WordPress eklentileriyle ilgili bir sorun var. Bunlar web sitelerine ortak bir giriş noktasıdır.
Ancak bunu perspektife koymak için öncelikle mevcut eklentilerin çokluğuna bakmanız gerekir. Yalnızca WordPress deposunda 60.000 civarında var. Ayrıca, web'deki diğer mağazalarda çok daha fazlası mevcuttur.
Ancak WordPress ekosisteminin bir varlığı olan şey aynı zamanda bir sorumluluk da olabilir. Bu eklentilerin yazarları farklı beceri düzeylerine sahiptir ve tüm eklentiler aktif olarak korunmaz ve güncellenmez. Bu nedenle farklı düzeylerde kod kalitesi ve güvenliğine sahip olabilirler.
WordPress topluluğu bunun farkındadır ve bu soruna yanıt vermek için elinden geleni yapmaktadır. Bilinen sorunlara sahip eklentilerin eklenti dizininden kaldırıldığı durumlar olmuştur. Ayrıca, WordPress eklentilerinin genel kalitesini artırmak için Tema kontrolü eklentisine benzer bir eklenti denetleyicisi üzerinde çalışan kişilerimiz var.
Bu nedenle, bu güvenlik riskini ortadan kaldırmanın ilk kuralı, a) saygın kaynaklardan gelen ve b) aktif destek ve bakım alan eklentileri kullandığınızdan emin olmaktır.
Önemli Olan Sadece Eklentilerle İlgili Değil, Onları Nasıl Kullandığınızla İlgili
Ancak eklentilerin kendileri denklemin sadece bir kısmıdır. Çoğu durumda sorun, insanların bunları sitelerinde kullanma şekliyle de ilgilidir. Yukarıda bahsettiğimiz aynı raporda, saldırıya uğrayan sitelerin %36'sının eski bir eklentiye sahip olduğu da belirtiliyor.
Yani, tıpkı WordPress çekirdeğinde olduğu gibi, sorun mutlaka yazılımda değil, çünkü güvenlik sorunları gerçekten çözülüyor, kullanıcıların bu düzeltmeleri uygulamamasından kaynaklanıyor.
Ayrıca eklenti sayısında da sıklıkla sorun yaşanıyor. Yukarıda açıklandığı gibi, uzantılar bazı riskleri de beraberinde getirir. Bu nedenle, ne kadar çok sayıda yan kapıya sahipseniz sitenize o kadar fazla potansiyel yan kapı katarsınız.
Çözüm: Yalnızca işi tamamlamak için ihtiyaç duyduğunuz kadar eklenti yükleyin. Bir eklentiyi aktif olarak kullanmıyorsanız silin. Eskimekten ve potansiyel olarak güvenlik riski sunmaktan başka bir işe yaramayacak şekilde web sitenizde kalmasına izin vermeyin.
Efsane #5: Siteniz Hedef Değil, Kimsenin Umurunda Değil
Bu, WordPress'in dışında bile web sitesi güvenliği mitleri arasında bir klasiktir. Pek çok kişi, özellikle de hobi veya küçük web siteleri işletenler, bir bilgisayar korsanının saldırmaya ilgi duyması için yeterince karlı bir hedef sunduklarını düşünmüyorlar. Yani, eğer sadece evcil hamsterinizin resimlerini yayınlıyorsanız, birinin web sitenizi ihlal etmesinden ne gibi bir kazanç elde edilebilir?
Hacking Kişisel Değildir
Burada anlamanız gereken iki şey var. Öncelikle web sitesi hackleme filmlerde gördüğünüze hiç benzemiyor. Dizüstü bilgisayarın önünde oturan, sitenizi tek tek seçen ve zamanını manuel olarak siteye girmenin yollarını arayarak geçiren kapüşonlu bir kişi yok.
Hayır, saldırıların büyük çoğunluğu otomatik olarak gerçekleşir. Web sitelerindeki bilinen güvenlik açıklarını bulmak için sürekli olarak web'i tarayan ve eğer bulurlarsa bundan yararlanan bir otomatik bot ordusu vardır. Çoğu zaman sadece bir fırsatın kurbanı olursunuz.
Sitenizi ele geçirmek aslında amaç değil
İkinci olarak, bir web sitesini hacklemek genellikle finansal verileri veya diğer hassas bilgileri çalmakla ilgili değildir. Çoğu durumda, bilgisayar korsanları sitenizi kendi çıkarları için kullanmak amacıyla sitenizin bazı bölümlerini ele geçirmeye çalışırlar:
- DDoS saldırıları gibi şeylerde kullanmak için onu bir botnet'in parçası olarak kullanın
- Posta sunucunuzdan spam gönderin
- Ziyaretçilerinizin bilgisayarlarına kötü amaçlı yazılım yayın
- Sitenizde dolandırıcı web sitelerine bağlantılar yayınlayın
Bazı insanlar bunu sitenizi tahrif etmek ve becerilerini kanıtlamak için de yaparlar.
Yani bunu aklınızda bulundurun. Bu seninle ilgili değil. Bu sadece istismar edilebilecek bir hedef olmakla ilgilidir ve bundan kaçınmak için elinizden gelenin en iyisini yapmalısınız.
Efsane #6: Güçlü Şifreler Kullanmak Sitenizi Güvende Tutacaktır
Güvenli giriş bilgilerini kullanmak kesinlikle WordPress güvenliğinin bir parçasıdır, bu bir efsane değildir. Zayıf şifrelerin ve kullanıcı adlarının sizi ısırmasına neden olabilecek birçok yol vardır:
- Kaba kuvvet saldırıları – Bir programın, bir şeyler yolunda gidene kadar rastgele farklı kullanıcı adı ve şifre kombinasyonlarını denediği anlamına gelir.
- Kimlik bilgisi doldurma – Bu, kaba kuvvet saldırılarına benzer, ancak daha hedeflidir. Bu durumda, bir bilgisayar korsanı, örneğin başka bir siber saldırıda açığa çıkmış olan, halihazırda güvenliği ihlal edilmiş olan kimlik bilgilerini kullanır. Bu saldırı, birçok kişinin kullanıcı adı ve şifrelerini yeniden kullanmasına dayanmaktadır.
Bunun bu kadar kötü olabileceğine inanmıyorsanız, işte size bilgisayar korsanlarının şifrenizin karmaşıklığına bağlı olarak şifrenizi ortalama ne kadar hızlı kırabildiğini gösteren bir infografik.
Bu nedenle güçlü şifreler sitenizin korunmasına yardımcı olur. Peki bu nokta neden WordPress güvenlik efsaneleri listesinde yer alıyor?
Çünkü güçlü şifreler tek başına bunu başaramaz. Web sitesi güvenliği, bunların yalnızca bir parçası olduğu bir yapbozdur. Gerisini ihmal ederseniz, saldırganların web sitenize sızması için önemli yolları açık bırakmış olursunuz.
Ayrıca şifreler sadece başlangıçtır. Giriş sayfanızı gerçekten kilitlemek için, giriş yapma girişimlerini sınırlamanız, çok faktörlü kimlik doğrulamayı kullanmanız ve bir güvenlik duvarı oluşturmanız en iyi tavsiyedir. Ayrıca, güçlü kimlik bilgileri yalnızca site için değil aynı zamanda barındırma ve FTP hesaplarınız gibi siteyle ilgili her şey için de önemlidir.
Efsane #7: Sadece Bir Güvenlik Eklentisi Kurun, İş Bitti
WordPress güvenliği hakkında fazla bilgisi olmayan yeni başlayanların çoğu, sitelerini güvende tutmak için eklentilere güveniyor. WordFence, MalCare veya Sucuri gibi WordPress güvenlik eklentileri de bunun için bir nimettir. Deneyimsiz kullanıcıların sitelerini yalnızca birkaç tıklamayla saldırganlara karşı güçlendirmelerine yardımcı olma konusunda çok faydalıdırlar.
Ancak yine de bu, sitenizi güvende tutmanın kesin bir yolu değildir. Bu eklentilerin etki alanının sınırları vardır; gerçekte yalnızca sitenin kendisini kilitleyebilirler ancak daha geniş çevresi üzerinde hiçbir güçleri yoktur.
Siteniz güvenli olmayan bir sunucuda bulunuyorsa veya barındırma hesabınız zayıf bir şifreyle ihlal edilirse, güvenlik eklentiniz sitenizi buna karşı savunma konusunda güçsüz olacaktır. Tekrar ediyorum, WordPress güvenlik eklentileri bir efsane değil, sadece bu işi kendi başlarına yapamazlar.
Son Efsane: WordPress Güvenliği Karmaşıktır
WordPress web sitenizi güvende tutmanın zor olduğu düşüncesi, insanları kendi sitelerini kurmaktan alıkoyan başka bir efsanedir. Bu önemli bir konu olmasına rağmen roket bilimi de değildir. Sonuçta, web sitesi güvenliğinin çoğunluğu birkaç en iyi uygulamanın izlenmesine bağlıdır:
- Uygun bir barındırma sağlayıcısı kullanın, güvenlik konusunda yardım istiyorsanız yönetilen barındırmayı tercih edin
- WordPress'i ve tüm eklentileri ve temaları güncel tutun
- Sitenizde yalnızca minimum sayıda uzantı bulundurun, aktif olarak kullanmadıklarınızı devre dışı bırakın ve silin ve sitenizde bulunanların iyi durumda olduğundan emin olun.
- Oturum açma kimlik bilgilerinizin güçlü olduğundan emin olun ve bunları güvende tutun, oturum açma girişimlerini sınırlayarak ve çok faktörlü kimlik doğrulama yoluyla güvenliği artırın
- Daha önceki bir sürüme geri dönebilmek için web sitenizi düzenli olarak yedekleyin
- Yardım için WordPress güvenlik eklentilerini kullanın ancak kontrollerinin olmadığı parçaları da göz önünde bulundurun
Bunlar uygulandığında, sitenize herhangi bir şey olma olasılığı hiçbir zaman sıfır olamasa bile büyük ölçüde azaltılacaktır.
Düzenli olarak hangi WordPress güvenlik efsanesini duyuyorsunuz veya abone olmak için kullandınız mı? Yorumlarda bize bildirin!