WordPress güvenliğini artırmak için OWASP Top 10'u kullanma
Yayınlanan: 2018-08-23WordPress güvenliği, WordPress'te yeni olanlar ve bir web sitesine sahip olanlar için göz korkutucu bir konu olabilir. Ancak, OWASP Top 10 listesi gibi uyumluluk ve standartlarla, WordPress güvenliğine kolayca başlayabilirsiniz.
Bu makale, OWASP İlk 10 listesinin ne olduğunu açıklamaktadır. Ayrıca, WordPress site yöneticilerinin Owasp Top 10 uyumlu bir WordPress web sitesine nasıl sahip olabileceğini de açıklar.
OWASP İlk 10 Listesi nedir?
OWASP İlk 10, en kritik 10 web uygulaması güvenlik riskinin bir listesidir. Bu nedenle, kendi başına bir uyumluluk standardı değildir, ancak birçok kuruluş bunu bir kılavuz olarak kullanır. Open Web Application Security Project (OWASP) organizasyonu 2003 yılında ilk listeyi yayınladı. Şimdi ise her üç yılda bir güncellenen bir liste yayınlıyorlar.
OWASP İlk 10 güvenlik açığı ve güvenlik riski nelerdir?
OWASP, 2017'de en son OWASP İlk 10 listesini yayınladı. İçindeki güvenlik risklerinin listesi aşağıdadır:
A1: Enjeksiyon
A2: Bozuk Kimlik Doğrulama
A3: Hassas Verilere Maruz Kalma
A4: XML Dış Varlıkları
A5: Bozuk Erişim Kontrolü
A6: Güvenlik Yanlış Yapılandırması
A7: Siteler Arası Komut Dosyası Çalıştırma (XSS)
A8: Güvensiz Seriyi Kaldırma
A9: Bilinen güvenlik açıklarına sahip bileşenleri kullanma
A10: Yetersiz günlük kaydı ve izleme
WordPress'inize OWASP En İyi 10 Güvenliğini Uygulama
Bu bölüm, WordPress web sitenizin OWASP Top 10 güvenlik açıklarından ve güvenlik açıklarından herhangi birine karşı savunmasız olmadığından emin olmak için yapmanız gerekenleri açıklamaktadır.
A1 Adresleme: WordPress'te Enjeksiyon
SQL Injection , tipik olarak kullanıcı girdilerinin temizlenmemesi nedeniyle oluşan teknik bir uygulama güvenlik açığıdır. Kötü niyetli bilgisayar korsanları bunu kullanarak WordPress veritabanındaki verilere erişebilir.
WordPress çekirdek ekibi, enjeksiyon güvenlik açıklarını genellikle birkaç gün içinde düzeltir. Aynısı çoğu WordPress eklentisi geliştiricisi için de geçerlidir. Bu nedenle, duyarlı geliştiriciler tarafından geliştirilen bakımlı eklentileri kullanmak her zaman önemlidir.
WordPress çekirdeğinizin, eklentilerinizin ve temalarınızın bu tür güvenlik açığından etkilenmemesini sağlamanın tek yolu, tüm yazılımlarınızı güncel tutmaktır. Her zaman geliştiricilerin yayınladığı tüm güvenlik düzeltme eklerini yükleyin.
A2 Adresleme: WordPress'te Bozuk Kimlik Doğrulama
Bu tür güvenlik açıkları aynı zamanda teknik açıklardır. Bu güvenlik açıkları, web uygulamasının bozuk tasarımının, planlama eksikliğinin sonucudur. Saldırganlar, hassas verilere erişmek için bozuk kimlik doğrulama sorunlarından yararlanabilir.
Bu sorunları yalnızca geliştiriciler çözebilir. WordPress çekirdeğinin ve eklentilerinin en son sürümünü kullandığınız sürece web siteniz bu tür güvenlik açıklarına açık olmayacaktır. Tabii ki, her zaman bakımlı eklentiler kullandığınızı varsayarsak.
Kimlik doğrulama hakkında konuştuğumuz için, WordPress web sitenize iki faktörlü kimlik doğrulamayı uygulamanızı hatırlatmaya değer. Hangi eklentiyi kullanacağınızdan emin değilseniz, en iyi iki faktörlü kimlik doğrulama WordPress eklentilerinin bir listesi burada.
A3'ü Ele Alma: WordPress'te Hassas Verilere Maruz Kalma
GDPR'ye göre hassas ve kişisel veriler, tanımlanabilir bir kullanıcıyla ilgili tüm verilerdir. Bir e-ticaret web sitesi olması durumunda müşterilerinizin adı, fatura ayrıntıları ve kart sahibi verileri olabilir. Finansal hizmetler söz konusu olduğunda banka hesap detayları da olabilir veya sağlık hizmetlerinde tıbbi geçmişleri olabilir. Bir IP adresi hassas veriler olarak sınıflandırılabilse bile, web sitelerinizde olup biten her şeyi takip etmenizi sağlayan bir WordPress etkinlik günlüğü tutabileceğinizi unutmayın.
WordPress web sitenizin uyumlu olduğundan emin olmak için, WordPress web sitenizde hassas veriler depoluyorsanız, yalnızca verilere erişmesi gereken kullanıcıların bu verilere erişebildiğinden ve elbette verilerin şifrelenmesi gerektiğinden emin olun. Kullanıcıların ayrıcalıklarını ve hassas verilere erişimini daha iyi yönetmek için her zaman WordPress kullanıcılarını ve rollerini kullanın.
Hassas verileri WordPress web sitenizde saklamalı mısınız?
Kesin bir cevap yok. Her şey kuruluma ve kaynaklara bağlıdır. Küçük işletmeler, verileri üçüncü taraf sağlayıcıda depolamaktan genellikle daha iyi olsa da.
Örneğin, bir e-ticaret mağazası durumunda, kart sahibi verilerini işlemek ve depolamak için Stripe veya PayPal gibi ödeme sistemlerini kullanmak çok daha kolaydır. Zaten altyapıları hazır. Güvenli bir e-ticaret sitesinin nasıl tutulacağı ve çalıştırılacağı hakkında daha fazla bilgi için WordPress yöneticileri için e-ticaret güvenliği kılavuzumuza bakın.
Aynısı müşterinin e-posta adresleri ve haber bültenleri listeleri için de geçerlidir. İdeal olarak, bu tür verileri web sitenizde saklamamalısınız. Verileri WordPress web siteniz yerine daha güvenli ve güvenilir bir altyapıda depolamak için Mailchimp gibi bir üçüncü taraf hizmeti kullanın.
A4 Adresleme: WordPress'te XML Dış Varlıkları (XXE)
Bu teknik bir yazılım güvenlik açığıdır. Bu, uygulama XML dosyalarını ve verilerini yanlış işlediğinde olur. Hazır bir WordPress kurulumu, uzak XML dosyalarıyla pek ilgilenmez, ancak bunu yapan eklentileri kullanabilirsiniz.
WordPress web sitenizin bu tür güvenlik açığına karşı savunmasız olmadığından emin olmak için WordPress çekirdeğinin, eklentisinin ve diğer yazılımların en son sürümünü kullanın. Daima bakımı yapılan eklentileri kullanın. Bir yıldan uzun süredir güncellenmemiş kullandığınız herhangi bir eklentiyi değiştirmeyi düşünün.
A5 Adresleme: WordPress'te Bozuk Erişim Kontrolü
Bu teknik bir uygulama güvenlik açığıdır. Bu sorun, uygulama, kimliği doğrulanmış kullanıcılara gerekli kısıtlamaları uygulamadığında ortaya çıkar. Bu nedenle, saldırganlar bu tür güvenlik açıklarından yararlandıklarında hassas verilere erişebilirler.
Bu tür bir sorunu yalnızca geliştiriciler düzeltebilir. Web sitenizin savunmasız olmadığından emin olmak için WordPress çekirdeğinizi, eklentilerinizi ve web sitenizde kullandığınız diğer yazılımları güncel tutun.
A6'yı Ele Alma: WordPress Web Sitelerinde Güvenlik Yanlış Yapılandırması
WordPress web sitelerinde güvenlik yanlış yapılandırmaları çok yaygındır. Yamasız yazılım ve varsayılanlardan yararlanma, WordPress web sitelerine yapılan en yaygın başarılı saldırılardan ikisidir. Son birkaç yılda WordPress çekirdek ekibi, kullanıcıların bu tür sorunları ele almasına yardımcı olmak için çok şey yaptı. Örneğin, WordPress artık birçok WordPress hackinin suçlusu olan varsayılan bir yönetici kullanıcı adına sahip değil.
WordPress web sitenizde herhangi bir yanlış güvenlik yapılandırması olmadığından emin olmak için tüm varsayılanları değiştirin. Bu, WordPress, eklentiler ve kullandığınız diğer tüm yazılımlar ve cihazlar için geçerlidir. Örneğin, bir eklentinin varsayılan bir kimlik bilgileri kümesi varsa, hassas verileri parolayla korumazsa veya varsayılan bir konumda saklarsa, güçlü kimlik doğrulamayı yapılandırın ve varsayılan yolları değiştirin. Bu, genellikle varsayılan kimlik bilgilerine sahip olan internet ana yönlendiriciniz dahil, kullandığınız diğer tüm yazılımlar ve cihazlar için geçerlidir.
A7 Adresleme: WordPress'te Siteler Arası Komut Dosyası Çalıştırma (XSS)
XSS olarak da bilinen Siteler Arası Komut Dosyası Çalıştırma, teknik bir uygulama güvenlik açığıdır. Muhtemelen en yaygın teknik güvenlik açıklarından biridir. Güvenilmeyen veriler doğrulanmadığında ve kaçmadığında bir XSS güvenlik açığı oluşur. Kötü niyetli bir saldırgan, siteler arası komut dosyası çalıştırma güvenlik açığından yararlandığında, oturum açmış kullanıcıların tanımlama bilgisini çalabilir ve onları taklit edebilir. Ayrıca oturumlarını ele geçirebilirler.
WordPress çekirdek ekibi, yalnızca birkaç gün içinde çekirdekte bildirilen XSS sorunlarını giderir. Bu nedenle, WordPress web sitenizin çekirdeğinin, eklentilerinin ve temalarının bu tür güvenlik açıklarına karşı savunmasız olmadığından emin olmak için her zaman yazılımın en son sürümünü kullanın. Ayrıca, her zaman bakımlı eklentileri kullanın.
A8'i Ele Alma: WordPress'te Güvensiz Seriyi Kaldırma
Güvensiz Seriyi Kaldırma, teknik bir uygulama güvenlik açığıdır. Bu güvenlik açığı, uygulama bütünlük denetimleri yapmadan güvenilmeyen kaynaklardan serileştirilmiş nesneler kullandığında ortaya çıkabilir.
WordPress çekirdek ekibi genellikle bu tür sorunları birkaç gün içinde çözer. Bu nedenle, WordPress web sitenizin çekirdeğinin, eklentilerinin ve temalarının bu tür güvenlik açıklarına karşı savunmasız olmadığından emin olmak için her zaman yazılımın en son sürümünü kullanın.
A9'u Ele Alma: Bir WordPress Web Sitesinde Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma
Bilinen güvenlik açıklarına sahip yazılımları ve web uygulamalarını kullanmamak, kulağa bariz bir şey gibi gelebilir. Gerçi maalesef öyle değil. WordPress vakfı bu konuda çok şey yapıyor. WordPress çekirdeği için otomatik güncellemeleri var. WordPress eklentileri inceleme ekibi, depodaki bir süredir güncellenmemiş eklentileri güvensiz olarak etiketler.
Ancak işletmelerin bir yazılımın en son ve en güvenli sürümünü kullanması her zaman kolay değildir. Birçoğu, WordPress'in veya diğer eklentilerin en son sürümüyle uyumlu olmayan eski yazılımları ve web uygulamalarını kullanır. Bu yüzden WordPress'in ve eklentilerin eski ve savunmasız sürümlerini kullanmak zorundalar . Bu gibi durumlarda, mümkünse kodu güncellemek için geliştiricilerle iletişime geçin.
Web sitenizin uyumlu olduğundan emin olmak için şunu söylemeye gerek yok: Her zaman WordPress çekirdeğinin ve eklentilerinin en son sürümünü kullanın. Ayrıca, kullanılmayan eklentileri, komut dosyalarını ve temaları web sitenizden devre dışı bırakmanız ve kaldırmanız önemlidir. Örneğin, birçok site yöneticisi varsayılan WordPress temalarını ve eklentilerini silmez. Bunları kullanmıyorsanız silin.
Bu, yeni yazılımlar için de geçerlidir: yeni bir eklenti ararken her zaman araştırın. Yeni bir WordPress eklentisi ararken ne yapmanız gerektiği hakkında daha fazla bilgi için bir WordPress eklentisinin nasıl seçileceğine ilişkin kılavuzumuzu okuyun.
A10'un Adreslenmesi: WordPress'te Yetersiz Günlüğe Kaydetme ve İzleme
Günlüğe kaydetme ve izleme, WordPress web sitenizin ve çok siteli ağınızın güvenliği için hayati önem taşır. WordPress etkinlik günlükleri ayrıca web sitenizi daha iyi yönetmenize, şüpheli davranışları sorun haline gelmeden belirlemenize, kullanıcı üretkenliğini sağlamanıza ve çok daha fazlasına yardımcı olur. WordPress etkinlik günlüğü (denetim günlüğü) tutmanın faydaları hakkında daha fazla bilgi edinin.
WordPress web sitenizin uyumlu olduğundan emin olmak için , en kapsamlı WordPress aktivite günlüğü eklentisi olan WP Security Audit log'u yükleyin. Bir etkinlik günlüğünde WordPress web sitenizde ve çok siteli ağınızda olan her şeyin kaydını tutacaktır. OWASP İlk 10 listesinin bu bölümünün nasıl ele alınacağı hakkında daha ayrıntılı bilgi için bir WordPress etkinlik günlüğü eklentisiyle yetersiz günlük kaydının ele alınmasına bakın.
OWASP Top 10 ile OWASP Uyumlu Bir WordPress Web Sitesi Oluşturma
WordPress güvenliği, özellikle büyük kurulumlarla uğraşırken karmaşık olabilir. Bu makalenin vurguladığı gibi, başlamak ve temel bilgileri ele almak o kadar da zor değil. Aşağıdaki temel konulara dikkat ederek OWASP Top 10 uyumlu bir WordPress web sitesine sahip olabilirsiniz:
- WordPress çekirdeğinin, eklentilerinin ve temalarının en son sürümünü kullanın,
- WordPress çekirdeğinizdeki ve eklentilerinizdeki tüm varsayılanları değiştirdiğinizden emin olun,
- Güçlü parola politikaları uygulayın,
- İki faktörlü kimlik doğrulama WordPress eklentisi ile 2FA'yı etkinleştirin,
- WordPress kullanıcılarını ve rollerini uygun şekilde kullanın,
- Bir WordPress etkinlik günlüğünde web sitenizde olan her şeyin kaydını tutun .
Bu OWASP Top 10 listesini kılavuz olarak kullanarak WordPress web sitenizin güvenliğini artırın. Daha ayrıntılı bilgi için resmi OWASP İlk 10 sayfasına bakın.