WordPress'te XSS Saldırıları Nasıl Onarılır ve Önlenir

Yayınlanan: 2022-06-14
How to fix and prevent xss attacks

Web sitenize saldıran bilgisayar korsanları konusunda endişeli misiniz?

XSS olarak da adlandırılan siteler arası komut dosyası oluşturma, WordPress sitelerine yapılan en yaygın saldırılardan biridir. Bilgisayar korsanları sitenizdeki güvenlik açıklarını bulur ve bunları bilgi çalmak ve web sitenizi kötüye kullanmak için kullanır.

Daha da kötüsü, bunu hemen düzeltmezseniz, bu saldırılar daha ciddi hasarlara yol açabilir – bu tür zararlardan kurtarılması gerçekten zordur.

WordPress sitenize bir güvenlik duvarı kurarak bu saldırıları önleyebilirsiniz.

Web siteniz zaten saldırı altındaysa, başlangıç ​​seviyesindeki basit bir dilde bunu nasıl hemen düzelteceğinizi göstereceğiz. Bu eğitimde siber güvenlik jargonunu minimumda tutacağız. Ayrıca gelecekteki saldırıları nasıl önleyeceğinizi de göstereceğiz.

İlk olarak, bir XSS saldırısında ne olduğunu hızlıca anlayalım, böylece onu daha iyi idare edebilecek donanıma sahip olursunuz.

WordPress'te XSS Saldırısı Nedir?

XSS, bilgisayar korsanlarının bir web sitesine kötü amaçlı komut dosyaları enjekte ettiği bir tür enjeksiyon saldırısı olan Siteler Arası Komut Dosyası'nın kısaltmasıdır.

Bu komut dosyaları, güvenilir bir web sitesinde iyi kod olarak gizlenir. Daha sonra, bir kullanıcı bu web sitesine girdiğinde, tarayıcıları kötü amaçlı komut dosyası da dahil olmak üzere tüm kodu yürütür, çünkü bunların tümünün güvenilir talimatlar olduğunu düşünür.

Daha basit bir ifadeyle, bir casus olduğunuzu ve hükümetten çok gizli bir görev hakkında resmi bir e-posta aldığınızı hayal edin. T'ye kadar takip etmeniz gereken tüm talimatları içerir.

Bilmediğiniz şey, birisinin bu e-postayı ele geçirip kendilerine ait birkaç talimat daha eklemiş olmasıdır. Hükümetin bu konuda hiçbir fikri yok ve kaynağa güvendiğiniz için tekrar kontrol etmeye zahmet etmiyorsunuz.

Bazıları mantıklı değil ama görevinize ulaşmak için her emre uymak üzere eğitildiniz.

Bu senaryoda, hükümet sizin web siteniz, casus ise kullanıcının tarayıcısıdır. Tarayıcı, web sitenizdeki talimatları takip eder ve iyi ve kötü komut dosyaları arasında ayrım yapamaz.

Bu betikler genellikle en popüler ve yaygın olarak kullanılan programlama dillerinden biri olan Javascript'tedir. Bununla birlikte, bu saldırılar herhangi bir istemci tarafı dili kullanılarak gerçekleştirilebilir.

Artık bir XSS saldırısı gerçekleştirmenin birçok yolu var. Bir yol, şüpheli olmayan kullanıcılara tıklamalarını sağlamak için bir bağlantı göndermektir. Üzerine tıkladıklarında, saldırı muhtemelen aşağıdakilerden birini veya birkaçını yapabilir:

  • Kullanıcıları kötü amaçlı bir siteye yönlendirin
  • Kullanıcının tuş vuruşlarını yakalayın
  • Web tarayıcısı tabanlı açıklardan yararlanmaları çalıştırın
  • Bir hesaba giriş yapan kullanıcının çerez bilgilerini çal

Bilgisayar korsanı çerez bilgilerini çalabilirse, kullanıcının hesabını tamamen tehlikeye atabilir. Örneğin, web sitenizin wp-admin panelinde oturum açtıysanız, bilgisayar korsanı kimlik bilgilerinizi çalabilir ve sitenize giriş yapabilir.

Bu saldırıları önlemek için yapmanız gereken, tüm kullanıcı verilerinin web sitenize girmeden önce doğrulandığından ve sterilize edildiğinden emin olmaktır. Bu şekilde, hiçbir kullanıcı girişi kötü amaçlı Javascript kodu olamaz. Buna ek olarak, sitenizde bir bilgisayar korsanının saldırmasına izin verebilecek hiçbir XSS güvenlik açığı olmadığından emin olmanız gerekir.

XSS saldırılarının yüzeyini zar zor çizdik, ancak bir WordPress XSS saldırısının nasıl çalıştığını yeterince anladığınızı umuyoruz. Şimdi sitenizin saldırıya uğradığından şüpheleniyorsanız, aşağıdaki kolay adım adım öğreticimizi izleyin.

WordPress'te Bir XSS Saldırısı Nasıl Bulunur ve Onarılır

Sitenizde herhangi bir türde kötü amaçlı yazılım veya saldırı bulmak için, dosyaları ve veritabanı da dahil olmak üzere web sitenizin tamamında derin bir tarama yapmanız gerekir.

Saldırıya uğramış sitenizi taramak ve temizlemek için Sucuri'yi kullanacağız. Sucuri size bir güvenlik duvarı, kötü amaçlı yazılım tarayıcı ve kötü amaçlı yazılım temizleyici dahil olmak üzere sağlam bir güvenlik kurulumu sunar.

Sucuri, Eklentiler » Yeni Ekle sekmesine giderek WordPress sitenizin içine yükleyebileceğiniz ücretsiz bir web sitesi kötü amaçlı yazılım tarayıcısı sunar.

Premium sunucu tarafı tarayıcıyı kullanmanızı öneririz. Bu, herhangi bir kötü amaçlı yazılım izini bulmak için web sitenizi tersine çevirecektir.

Buna ek olarak, işte öne çıkanlarından birkaçı:

  • İstenmeyen postaları ve kötü amaçlı komut dosyalarını izler
  • Bilgisayar korsanları tarafından oluşturulan gizli arka kapıları kontrol eder
  • DNS (alan adı sistemi) ve SSL'de yapılan değişiklikleri algılar
  • Arama motorları ve diğer yetkililerle kara listeleri kontrol eder
  • Web sitesi çalışma süresini izler
  • E-posta, SMS, Slack ve RSS yoluyla anında uyarılar

Daha fazla ayrıntı için Sucuri İncelememizi okuyun.

Sucuri, yıllık 199,99 $ fiyat etiketi ile geliyor. Bu bütçenizi aşıyorsa, diğer güvenlik eklentilerini deneyebilirsiniz. Listemize bakın: Karşılaştırılan En İyi 9 WordPress Güvenlik Eklentisi.

Bir güvenlik eklentisi seçerken, kötü amaçlı yazılım bulaşmalarını bulup düzeltmek ve web sitenizi korumak için ihtiyacınız olan tüm siber güvenlik özelliklerini sağladığından emin olun.

Adım 1: Web Sitenizi Tarama

Başlamak için Sucuri ile bir plana kaydolmanız gerekir. Ardından, sitenizi ekleyebileceğiniz Sucuri panosuna giriş yapın.

Add site in Sucuri

Burada, FTP kimlik bilgilerinizi girerek web sitenizi bağlamanız gerekecek. FTP kimlik bilgilerinizi bilmiyorsanız, bunları web barındırıcınızdan alabilirsiniz.

Connect site to Sucuri

Siteniz bağlandığında, Sucuri otomatik olarak web sitenizi kapsamlı bir şekilde tarar. Tamamlandığında, 'Sitelerim' sekmesi altında size ayrıntılı bir rapor gösterecektir.

Sucuri dashboard site infected

Artık uyarı mesajının yanındaki 'Ayrıntılar' düğmesine tıklayabilirsiniz. Bu, hack veya enfeksiyonun ayrıntılarını görebileceğiniz İzleme sayfasını açacaktır.

2. Adım: Kötü Amaçlı Yazılım Temizleme İsteği

İzleme sayfasında, sitenize ne tür kötü amaçlı yazılım bulaştığını görebilirsiniz. Sucuri, risk seviyesini belirtmek için bir derecelendirme ekler. Bu nedenle, kritik veya yüksek bir riskse, hemen düzeltmeniz gerektiğini bilirsiniz. Buna ek olarak, sitenizin herhangi bir arama motoru tarafından kara listeye alınıp alınmadığını da size gösterecektir.

Clean up site with Sucuri

Artık sitenize virüs bulaştığını bildiğinize göre, onu temizlemeniz gerekiyor ve Sucuri bunu sizin için gerçekten kolaylaştırıyor. İşleme başlamak için 'Sitemi Temizle' düğmesini tıklayın.

Malware removal request in Sucuri

Bir sonraki sayfada, Yeni Kötü Amaçlı Yazılım Temizleme Talebi düğmesine tıklayın ve sitenizin ayrıntılarını girebileceğiniz bir form görünecektir.

Malware removal request form in Sucuri

Sadece formu doldurun ve gönderin. Tamamlandığında, Sucuri'nin güvenlik uzmanları sitenizi sizin için temizleyecektir. Form için ihtiyacınız olan herhangi bir ayrıntıyı bilmiyorsanız, bunları web barındırıcınızdan isteyebilirsiniz.

Şimdi sitenizi temizlemenin ne kadar süreceğini merak ediyor olabilirsiniz.

Sucuri, İş planında kullanıcılara ilk tercihi verir. 6 saatlik bir geri dönüş süresi sağlarlar. Diğer planlar için, sitenize bulaşmanın ne kadar karmaşık olduğuna ve sıradaki isteklerin hacmine bağlıdır.

Saldırıdan hemen sonra, güvenli tarafta olmak için tüm kullanıcıların sitenizden çıkış yapmasını ve oturum açma kimlik bilgilerinizi değiştirmenizi şiddetle tavsiye ederiz.

WordPress Sitenizde XSS Saldırılarını Nasıl Önlersiniz?

Web sitenizi korumak ve sitenize bu tür kötü amaçlı yazılım saldırılarını önlemek her zaman en iyisidir. Saldırıya uğramış bir web sitesini düzeltmeye çalışmaktan çok daha kolay ve ucuzdur. Sitenize XSS saldırılarını önlemek için önerilen en önemli adımlarımızı burada bulabilirsiniz.

1. Bir Web Uygulaması Güvenlik Duvarını (WAF) etkinleştirin

Sucuri, WordPress siteleri için en iyi güvenlik duvarlarından birine sahiptir. Yalnızca XSS saldırılarını değil, DDoS, Brute Force, Phishing ve SQL enjeksiyonları gibi her türlü diğer kötü amaçlı yazılım saldırılarını da engeller.

Güvenlik duvarı web sitenizin önüne oturacak ve gelen her kullanıcıyı tarayacaktır. Kötü botları sitenize ulaşmadan önce belirleyecek ve engelleyecektir.

Sucuri güvenlik duvarını etkinleştirmek için Sucuri panonuzdaki Güvenlik Duvarı sekmesine gidin.

Sitenizi seçin ve takip edebileceğiniz kurulum talimatlarını göreceksiniz. Sucuri, güvenlik duvarını kurmanız için size 2 seçenek sunar:

1. Otomatik Entegrasyon: cPanel veya Plesk kullanarak barındırma kimlik bilgilerinizi girmeniz yeterlidir. Bu yöntem, sitenizde güvenlik duvarını otomatik olarak kurmak için Sucuri'ye web sitenizin sunucusuna erişim izni vermenizi gerektirir.

Sucuri firewall waf

2. Manuel Entegrasyon: Güvenlik duvarını Sucuri'ye dahili erişim izni vermeden kendi başınıza kurabilirsiniz. Başlamak için dahili alan bağlantısını tıklayın ve yüklendiğinden emin olun.

check internal domain link

Ardından, DNS'nizi web trafiğinizi Sucuri güvenlik duvarına yönlendirecek şekilde yapılandırabilirsiniz. Bunun için barındırma hesabınızdaki DNS kayıtlarına erişmeniz gerekir. Burada sitenizin 'A' kaydını değiştirebilir ve Sucuri'nin sağladığı IP adreslerini girebilirsiniz.

sucuri dns ip addresses

Bunun çok karmaşık olduğunu vurguladıysanız, web barındırıcınızdan yardım isteyebilirsiniz ve süreç boyunca size rehberlik edeceklerdir. Buna ek olarak, Sucuri ile bir destek bileti oluşturabilirsiniz ve onların destek ekibi DNS kayıtlarını değiştirmenize yardımcı olacaktır.

Bilet açmak için, aynı sayfadaki manuel talimatların içinde bir bağlantı bulacaksınız.

open a ticket sucuri

Güvenlik duvarını kurmayı bitirdikten sonra, değişikliklerin yansıması genellikle birkaç saat sürer. En fazla 48 saat bekleme süresi bekleyebilirsiniz.

Güvenlik duvarını etkinleştirdiğinizde, sitenizi XSS saldırılarından korumak için sitenize otomatik olarak güvenlik başlıkları ekler.

Bir XSS saldırısı girişimi varsa, Sucuri bunu engeller ve Raporlar sekmesinde size bildirir.

Şimdi, Sucuri güvenlik duvarı hakkında sevdiğimiz şey, yeni başlayanlar da dahil olmak üzere herkesin kullanmasının çok kolay olmasıdır. Siber güvenlik uzmanı olmanıza veya herhangi bir kodlama bilmenize gerek yok.

Ayarlar » Güvenlik sekmesinde tek bir tıklama ile her türlü koruma özelliğini etkinleştirebilirsiniz.

Örneğin, bilgisayar korsanlarının sitenize saldırmasını zorlaştırmak için DDoS korumasını ve coğrafi engellemeyi etkinleştirebilirsiniz.

Emergency ddos protection

Burada bir güvenlik özelliğini etkinleştirmek için tek yapmanız gereken kutuyu işaretlemek ve ayarlarınızı kaydetmek. Devre dışı bırakmanız gerektiğinde, kutunun işaretini kaldırmanız yeterlidir.

Bunun dışında, Sucuri eklentisi şunları yapacaktır:

  • İstenmeyen posta ve kötü amaçlı kod için düzenli olarak tarayın ve izleyin
  • Siteler arası komut dosyası çalıştırma güvenlik açığı konusunda sizi uyarır
  • Kötü botları ve bilgisayar korsanlarını engelleyin
  • Arama motorları ve diğer yetkililerle kara listeleri kontrol edin
  • Web sitesi çalışma süresini izleyin
  • DNS (alan adı sistemi) ve SSL'de yapılan değişiklikleri tespit edin
  • Size e-posta, SMS, Slack ve RSS yoluyla anında güvenlik uyarıları gönderin

Böylece siteniz her zaman korunacaktır.

2. Güvenli Formlar Kullanın

Güvenlik açığı bulunan bir web sitesinde formlar, bilgisayar korsanlarının en yaygın hedeflerinden biridir. Formunuz güvenli değilse, bu, herhangi birinin form alanlarınıza kötü amaçlı kod girebileceği anlamına gelir.

Web sitenizin formlarını güvence altına almak için önerimiz WPForms'dur. Formlarınızın en başından itibaren korunması için yerleşik güvenliğe sahip 1 numaralı WordPress form oluşturucusudur.

anti spam protection in WPForms

Varsayılan olarak, formlarda istenmeyen posta önleme koruması açıktır. Ayrıca, spam botlarını engellemek için formlarınıza CAPTCHA bile ekleyebilirsiniz.

Advanced noCaptcha and Invisible Captcha

Görünmez bir captcha'yı veya kullanıcının insan olduklarını kanıtlamak için küçük bir bulmacayı çözmesi veya bir kutuyu işaretlemesi gereken türü etkinleştirebilirsiniz.

3. Kullanıcı Rolü İzinlerini Ayarlayın

Web sitenizde çalışan birden fazla kişi olduğunda, herkese yönetici erişimi vermek akıllıca değildir. Onlara ihtiyaç duydukları izinlere göre roller atamak daha iyidir.

WordPress, aşağıdakiler için roller oluşturmanıza olanak tanır:

  • Süper Yönetici
  • yönetici
  • Editör
  • Yazar
  • katkıda bulunan
  • Abone

Artık bir bilgisayar korsanı bir kullanıcının hesabını kontrol altına alırsa, sitenizde yapabilecekleri sınırlı olacaktır.

4. Otomatik Oturumu Kapat Etkin Olmayan Kullanıcılar

Bilgisayar korsanları, tarayıcı oturumlarını ele geçirerek ve çerezleri çalarak kullanıcı hesaplarına erişebilir.

Etkin olmayan WordPress kullanıcılarının oturumunu kapatarak bu riski en aza indirebilirsiniz.

Birçok güvenlik eklentisinin boşta oturum kapatma özelliği vardır veya Etkin Olmayan Çıkış eklentisini kullanabilirsiniz.

5. Web Sitenizi Düzenli Olarak Güncelleyin

WordPress eklentileri, temaları ve hatta WordPress kurulumunuz düzenli olarak güncelleme alır. Kullanılabilir olduklarında bunları WordPress kontrol panelinizde göreceksiniz:

updates in wordpress

Birçok web sitesi sahibi, güncellemeleri uzun süre görmezden gelir, ancak bu, web sitenizi bilgisayar korsanlarına maruz bırakabilir. Güncellemeler genellikle yazılımda hata düzeltmeleri, yeni özellikler ve iyileştirmeler içerir. Ayrıca güvenlik yamaları da olabilir. Güncellemenin ayrıntılarını görüntüleyerek bir güncellemenin güvenlik düzeltme eki taşıyıp taşımadığını görebilirsiniz.

view version details of update

Bu, bilgisayar korsanlarının sitenize saldırmak için kullanabileceği yazılımda bir güvenlik açığı bulunduğu anlamına gelir. Geliştiriciler güvenlik sorunları bulduğunda, bunları düzeltir ve yazılımın yeni bir sürümünü yayınlar.

Tek yapmanız gereken sitenizdeki yazılımı güncellemek.

Bu nedenle, bunun bir güvenlik düzeltme eki olduğunu görürseniz, herhangi bir saldırıya uğrama riskinden kaçınmak için hemen güncelleyin.

security update

Site sahiplerinin güncellemeleri görmezden gelmesinin ana nedenlerinden biri, bazen sitenizi bozabilmeleri veya uyumsuzluk sorunlarına neden olabilmeleridir. Güncellemeyi hazırlama sitesinde test etmenizi ve ardından canlı sitenizde çalıştırmanızı öneririz.

Bununla, WordPress sitenizdeki XSS saldırılarını nasıl düzelteceğinizi ve önleyeceğinizi öğrendiniz.

Bitirmeden önce, size bir güvenlik ipucu daha vereceğiz. Her zaman web sitenizin düzenli yedeklerini alın.

Sitenizdeki en güçlü güvenlik önlemleriyle bile yanlış gidebilecek birçok şey var. Örneğin, bir kullanıcı web sitenizi çökerten basit bir insan hatası yapabilir.

UpdraftPlus gibi bir yedekleme eklentisi kullanarak otomatik yedeklemeler oluşturabilirsiniz. Daha fazla seçenek için en iyi WordPress yedekleme eklentileri listemize bakın.

SSS

1. WordPress, siteler arası komut dosyası çalıştırma saldırılarına karşı savunmasız mı?

WordPress çekirdek yazılımı, dünyanın en iyi uzmanlarından bazıları tarafından geliştirilir ve sürdürülür. Yazılımları oldukça sağlamdır ancak hiçbir yazılımın güvenlik açıklarından arınmış olmadığını unutmayın.

WordPress web sitelerinin sık sık saldırıya uğramasının nedeni, platformun çok popüler olmasıdır. Ve çoğu kullanıcı tonlarca üçüncü taraf teması ve eklentisi yükler. Bu öğelerin herhangi birinde güvenlik açıkları gelişebilir ve bilgisayar korsanları sitenizi hacklemek için bunları kullanabilir.

2. Farklı türde siteler arası komut dosyası çalıştırma saldırıları var mı?

Evet. 3 ana XSS saldırısı türü vardır:

  • Depolanmış XSS (kalıcı XSS ​​olarak da bilinir): Saldırganlar, yüklerini güvenliği ihlal edilmiş bir sunucuda depolayarak web sitesinin diğer ziyaretçilere kötü amaçlı kod göndermesine neden olur.
  • Yansıyan XSS: Yük, tarayıcıdan sunucuya gönderilen verilerde saklanır.
  • DOM XSS: Burada, XSS'ye karşı savunmasız olan sunucunun kendisi değil, sayfadaki JavaScript'tir.
  • Kendi kendine siteler arası komut dosyası oluşturma: Saldırganlar, gerçekten özel bağlam ve manuel değişiklikler gerektiren bir güvenlik açığından yararlanabilir. Buradaki kurban sadece kendin olabilirsin.
  • Kör siteler arası komut dosyası çalıştırma: Bu saldırılarda, güvenlik açığı genellikle yalnızca yetkili kullanıcıların erişebileceği bir sayfada bulunur. Saldırgan, bir saldırının sonucunu göremez.

3. Sitemde başka güvenlik sorunu olmadığından nasıl emin olabilirim?

Web sitenizde her zaman bir güvenlik eklentisinin kurulu olduğundan emin olun. Bu, WooCommerce, bloglar ve küçük işletme siteleri dahil olmak üzere her türlü web sitesi için bir zorunluluktur. Sucuri'yi öneriyoruz, ancak Wordfence, MalCare ve SiteLock'a da göz atabilirsiniz. En iyi önerilerimizden daha fazlasını burada görün: Karşılaştırılan En İyi 9 WordPress Güvenlik Eklentisi.

Bugün sizin için sahip olduğumuz tek şey bu. Umarız bu yazı size web sitenizi güvence altına almak için ihtiyacınız olan her şeyi vermiştir.

Web sitesi güvenliği hakkında daha fazla bilgi için kaynaklarımıza bakın:

  • Eksiksiz WordPress Güvenlik Kılavuzu (Başlangıç ​​Dostu)
  • Tehditleri Bulmak İçin En İyi 5 WordPress Güvenlik Açığı Tarayıcısı
  • WordPress Sitenizi İzlemek ve Denetlemek için En İyi 9 Etkinlik Günlüğü Eklentisi

Bu gönderiler, güvenlik açıklarını kapatmak ve web sitenizi tüm risklerden korumak için size daha fazla yol sağlayacaktır.