WordPress Güvenlik İstatistikleri: WordPress Gerçekten Ne Kadar Güvenli?

WordPress gerçekten güvenli mi? Bu muhtemelen pek çok yeni kullanıcının aklında olan bir sorudur, özellikle de bunun açık kaynaklı bir proje olduğunu duyduklarında. Peki, WordPress güvenliğiyle ilgili cevap verebilecek herhangi bir istatistik var mı?

Aslında var ve bu yazımızda bu konuyla ilgili mümkün olduğu kadar anlamlı rakamları derlemeye çalıştık. Aşağıda WordPress çekirdeğinin, temaların ve eklentilerin, oturum açma bilgilerinin ve barındırma ortamlarının güvenliğine ilişkin sektör raporlarını ve istatistiklerini inceleyeceğiz.

Sonunda, yalnızca WordPress'in güvenlik durumu hakkında iyi bir fikre sahip olmanızı değil, aynı zamanda risklerin tam olarak nerede olduğunu da bilmenizi ve böylece bunlara çözüm bulmanızı istiyoruz.

İstatistiksel Olarak WordPress Bilgisayar Korsanlarının En Popüler Hedefidir

WordPress güvenliğinden bahsederken önemli olan ilk veri noktası %43'tür. W3Techs'e göre bu, WordPress üzerinde çalışan web sitelerinin dünya çapındaki payıdır. Bunun içerik yönetim sistemlerindeki (daha yüksek olan) pazar payının değil, İnternet'teki toplam web sitelerinin pazar payı olduğunu unutmayın.

Bu oldukça büyük bir rakam. Ve bu önemli çünkü WordPress hayranları olarak bu gurur duyulacak bir şey olsa da, aynı zamanda bir dezavantajı da beraberinde getiriyor: maruz kalma.

WordPress üzerinde çalışan çok sayıda web sitesi, platformun bilgisayar korsanları için birincil hedef olduğu anlamına geliyor. Aslında Sucuri'nin 2022 tehdit araştırma raporuna göre, WordPress siteleri tüm virüslü web sitelerinin %96,2'sini oluşturuyordu.

Kulağa Gerçekten Güvenli Gelmiyor, Değil mi?

Bunun gibi istatistikleri tek başına gördüğünüzde ilk düşünceniz WordPress'in gerçekten bir güvenlik sorunu olduğu olabilir. Aksi halde neden başarılı saldırıların bu kadar büyük bir çoğunluğunu açıklasın ki?

Bu yüzden ilk sayıyla başladık. WordPress çok daha belirgin ve kazançlı bir hedeftir. Çok daha küçük bir kullanıcı tabanına sahip bir sistem yerine, kelimenin tam anlamıyla yüz milyonlarca web sitesine saldırıp denemenize olanak tanıyan bir sistemi tercih etmek çok daha ekonomik ve verimlidir. Görünüşe göre hackerlar da aynı şeyi düşünüyor.

Kötü haber şu ki çoğu zaman başarılı oluyorlar. Her yıl yüz binlerce WordPress web sitesi başarıyla saldırıya uğruyor. İyi haber şu ki, aşağıda göreceğiniz gibi, bunun nedeni WordPress'in doğası gereği güvensiz olması değil. Aslında bu başarılı saldırıların çoğu tamamen önlenebilir. Sadece kendinizi nasıl koruyacağınızı bilmeniz yeterli.

WordPress Çekirdek Güvenlik Açığı İstatistikleri

WordPress'in güvenli olup olmadığına cevap ararken WordPress çekirdek yazılımının güvenliğine ilişkin istatistiklerle başlayalım.

Saldırıya Uğrayan Web Sitelerinin Çoğu Güncellenmedi

Sucuri raporuna göre saldırıya uğrayan WordPress web sitelerinin çoğu güncel değil. 2022'de kötü amaçlı yazılım bulaşanların yarısından fazlası WordPress'in en son sürümünü kullanmıyordu.

Bu bir sürpriz değil. CMS'nin bazı eski sürümlerinde, kamuya açıklanan, iyi bilinen güvenlik sorunları vardır. Dolayısıyla, web sitenizi bunlardan birinde çalıştırmaya devam ederseniz, yalnızca birini bundan yararlanmaya davet etmiş olursunuz.

Aslına bakılırsa, en fazla güvenlik sorununa sahip olan WordPress sürümlerinin tümü sürüm 4.0'a kadardır. O zamandan bu yana güvenlik açıklarının sayısı giderek azaldı.

Sucuri raporu da bunu yansıtıyor. Önceki rakamlarla karşılaştırıldığında, güncellenmediği için saldırıya uğrayan WordPress sitelerinin payı azaldı.

Aslında WordPress, karşılaştıkları tüm CMS'ler arasında güncel olmayan sürümler nedeniyle en düşük enfeksiyon oranına sahipti.

Bu durum iki yıl üst üste böyle oldu ve bu süre zarfında WordPress'in payı biraz düştü. Karşılaştırma için işte 2021.

Bu Bir WordPress Sorunu Değil, Kullanıcı Sorunudur

Peki WordPress kullanıcılarının web sitelerini güncel tutma durumları nasıl? Pek çok kişi bunu yapmıyor. Burada, WordPress.org tarafından izlenen, vahşi web sitelerinde çalışan WordPress sürümleri bulunmaktadır.

Gördüğünüz gibi yalnızca %%60 civarında en son sürümde. Ancak iyi haber şu ki, en azından büyük çoğunluk WordPress 4.0 veya üzerini kullanıyor ve burada güvenlik açığı durumu çok daha iyi hale geliyor. Ayrıca dörtte üçü en son ana sürüme güncellendi; bu da öncekine göre bir gelişme. 2016 yılında bu pay yalnızca %50 civarındaydı.

Bunun nedenlerinden biri muhtemelen 5.6 sürümünde sunulan otomatik güncellemelerdir. Artık Güncelle düğmesini manuel olarak tıklamak için kullanıcılara güvenmeniz gerekmiyor. Bunun yerine, web siteleri yeni WordPress sürümlerini otomatik olarak yükleyebilir ve bu da görünüşe göre bu olumlu eğilime katkıda bulunmuştur.

WordPress Güvenlik Altyapısı Çalışmaları

Kullanıcıların web sitelerini güncelleme konusundaki isteksizliğine rağmen, WordPress çekirdeğinin güvenlik sistemi işini çok iyi yapıyor. WordPress güvenlik ekibi, her yeni WordPress sürümündeki sorunları hızla bulur ve yamalar.

2023'te zaten 20-30 potansiyel güvenlik açığını gideren üç güvenlik sürümümüz vardı. WordPress 6.0.3 tek başına 16 güvenlik düzeltmesi içeriyordu. Ayrıca projede 2022 yılında toplam 26 güvenlik hatasını gideren dört güvenlik sürümü de yayınlandı.

Ayrıca bu dikkat ekosistemin diğer kısımlarına da yayılıyor. Elementor, hızla yamalanan kritik bir güvenlik açığıyla karşılaştı, Ninja Forms, WordPress.org'dan zorunlu bir güncelleme aldı ve BackupBuddy de yüksek önemdeki bir güvenlik açığını yamaladı ve güncellenmiş sürümü kullanıcılarına sundu.

Dolayısıyla, WordPress'in diğer tüm yazılımlar gibi güvenlik sorunları olsa da, bunlara hızlı bir şekilde yanıt veren arıza korumaları da mevcuttur. Geriye kalan en büyük engellerden biri kullanıcıların çözümleri uygulamasını sağlamaktır.

WordPress Teması ve Eklenti Güvenliği İstatistikleri

En popüler CMS olan WordPress, çoğu ücretsiz olan çok sayıda uzantıyla birlikte gelir. Bu yazının yazıldığı sırada, yalnızca WordPress dizininde neredeyse 60.000 eklentinin yanı sıra 11.000'den fazla tema bulunmaktadır.

Bu, web'in diğer bölümlerinde çoğunlukla premium çözümler olarak bulunan diğer binlerce eklentiyi bile saymıyor. WordPress'in harika yanı da bu; aradığınız ne olursa olsun, büyük ihtimalle orada bir çözüm var.

Aynı zamanda sitenize yüklediğiniz her uzantı, saldırgan için potansiyel bir giriş noktasıdır. Temalar ve eklentiler bireysel geliştiricilerin sorumluluğundadır. WordPress çekirdeği kadar sıkı bir şekilde test edilmemişlerdir ve bu nedenle güvenlik kusurları içerme olasılıkları daha yüksektir. Ek olarak, bazen geliştiriciler çalışmalarını desteklemeyi bırakırlar ve çalışmalar geçerliliğini yitirir.

Bu nedenle WordPress güvenlik istatistiklerinde, özellikle de eklentilerde büyük rol oynamaları şaşırtıcı değil. Aslında WPScan.com'a göre WordPress'teki güvenlik açıklarının büyük çoğunluğunu içeriyorlar.

Patchstack da benzer rakamlara ulaştı.

Görünüşe göre özellikle ücretsiz eklentiler bir sorun. Sucuri, premium temaların ve eklentilerin tüm üçüncü taraf güvenlik açıklarının %8,62'sini oluşturduğunu, ücretsiz uzantıların ise %91,38'ini oluşturduğunu bildirdi.

Burada da sık karşılaşılan bir sorun, web sitesi sahiplerinin bilinen güvenlik sorunları olan eski sürümleri kullanmasıdır. Sucuri ayrıca, güvenliği ihlal edilen tüm web sitelerinin %36'sının düzeltilirken en az bir savunmasız eklenti veya temaya sahip olduğunu bildirdi.

Popüler Uzantılar Hacklerin Çoğunun Hesabını Veriyor

Hangi eklentilerin ve temaların sorun yarattığının dağılımı da ilginç. Sucuri'ye göre en sık tespit edilen savunmasız bileşenler arasında İletişim Formu 7'nin (%27,44), Freemius Library'nin (%20,85) ve WooCommerce'in (%14,51) güncel olmayan sürümleri yer alıyor. Birkaç tane daha var.

Peki, güvenlik konusunda bu kadar kalitesiz bir iş yapıyorlarsa neden bu eklentilerin var olmasına izin veriyoruz? Burada genel olarak WordPress için de aynı şey geçerli. Bu eklentilerin daha güvensiz olması şart değil, sadece çok popülerler. Yalnızca İletişim Formu 7'nin beş milyondan fazla yüklemesi var.

Ayrıca, bu geliştiriciler güvenlik sorunlarını ortaya çıktıklarında çözme konusunda gerçekten iyi bir iş çıkarıyorlar. Sorun yalnızca kullanıcılar bunları uygulamadığında ortaya çıkar. Ayrıca eklentilerdeki eksikliklerin giderilmesine yönelik çalışmalar da sürüyor. Tema kontrolü eklentisine benzer bir Eklenti Denetleyicisi için yakın zamanda üzerinde çalışılan bir teklif vardı.

Peki bundan ne öğreniyoruz? Temalarınızı ve eklentilerinizi tıpkı WordPress sitenizin geri kalanı gibi güncel tutun.

Giriş Güvenlik Açıkları

Giriş kimlik bilgileri, başarılı bir hack deneyimi yaşayan web sitelerinde başka bir faktördür. Zayıf kullanıcı adları ve şifreler ciddi bir güvenlik riski oluşturur. Kaba kuvvet saldırıları ve kimlik bilgileri doldurma yoluyla kolayca tehlikeye atılırlar.

Böyle bir şey olduğunda sitenizin ne kadar güncel olduğu veya eklentilerinizin ve temalarınızın güvenliğinin pek önemi yoktur. Birisi sitenize tam erişime sahip olduğunda yapabileceklerinin çok az sınırı vardır.

Örnek olarak Sucuri, virüslü web sitelerinin %32,69'unda kötü niyetli WordPress yönetici kullanıcıları buldu. Sadece eğlence olsun diye, en çok kullandıkları kullanıcı adlarını ve e-posta adreslerini burada bulabilirsiniz.

Öte yandan kullanıcıların doğrudan kontrolü en fazla olan kısımlardan biridir. Örneğin, WordPress otomatik güvenli şifre oluşturucuyla birlikte gelir. Neden bundan faydalanmıyorsunuz?

Ancak, web sitenizle ilgili barındırma ve FTP kimlik bilgileri gibi diğer hesaplar için de aynısını yapmanız gerekir. Ayrıca, giriş sayfanızı korumaya yönelik, giriş denemelerini sınırlama ve iki faktörlü kimlik doğrulama gibi ek önlemler de vardır.

Barındırma Güvenliği İstatistikleri

Barındırma ortamı ve içinde bulunan teknolojiler, özellikle WordPress'in üzerinde çalıştığı PHP sürümü de güvenlikte rol oynar. Örneğin PHP 7, önceki PHP 5'e göre daha iyi güvenlik özellikleri sunuyordu.

Ayrıca, PHP geliştiricilerinin eski sürümleri için oldukça katı bir kullanım ömrü sonu politikası vardır. Bu yazının yazıldığı sırada, 8.0'dan önceki sürümler artık destek veya güvenlik düzeltmesi almamaktadır ve bu nedenle uzun vadede kaçınmak daha iyidir.

Burada WordPress o kadar da harika görünmüyor. WordPress web sitelerinin büyük çoğunluğu en az PHP 7.0 ve neredeyse yarısı 7.4 üzerinde çalışırken, yalnızca dörtte birinden biraz fazlası aktif olarak desteklenen sürümleri kullanıyor.

Hatta %6'sı hala PHP 5.x sürümlerinde çalışıyor ve yıllardır herhangi bir destek görmemiş durumda. Henüz yapmadıysanız PHP sürümünüzü güncelleyin.

Özetle WordPress Güvenlik İstatistikleri

Hiçbir CMS %100 güvenli değildir; hatta internete bağlı hiçbir şey güvenli değildir. Başka yerlerde duyabileceklerinize rağmen, WordPress'in güvenlik istatistikleri genel olarak çok iyi. Evet, düzeltilmesi gereken sorunlar var ama bunların çoğu aktif olarak ele alınıyor.

Rakamların daha da iyileştirilmesine yardımcı olmak istiyorsanız aşağıdaki en iyi uygulamaları takip ederek bunu yapabilirsiniz:

• WordPress'i, eklentilerini ve temalarını güncel tutun
• Yalnızca saygın kaynaklardan gelen uzantıları kullanın
• Web sitenizle ilgili her şey için güçlü şifreler ve kimlik bilgileri kullanın
• Güvenlik Duvarı ve/veya CDN kullanmayı düşünün
• Giriş denemelerini sınırlayın
• Kontrol paneliniz de dahil olmak üzere web sitenizdeki trafiği şifrelemek için bir SSL sertifikası kullanın
• PHP sürümünüzü güncel tutmanıza olanak tanıyan bir ana bilgisayar seçin

Bunları uygularsanız en azından kendi WordPress siteniz için olumlu güvenlik istatistiklerine sahip olmalısınız.

WordPress güvenliğinin durumuyla ilgili hangi istatistikleri en ilginç buluyorsunuz? Aşağıdaki yorumlarda bize bildirin!