Binlerce WordPress Sitesi Potansiyel Olarak Savunmasız Bir Eklenti Kullanıyor: İşte Sitenizi Nasıl Güvende Tutacağınız
Yayınlanan: 2024-05-06Mart 2024'te WordPress eklentisi WordPress Otomatik'te kritik bir güvenlik açığı keşfedildi. Code Canyon pazarında mevcut olan WordPress Otomatik, makaleleri, videoları, ürünleri, resimleri ve diğer içerik türlerini harici kaynaklardan alan ve bu içeriği web sitenizde otomatik olarak yeniden yayınlayan otomatik bir içerik kazıyıcıdır.
Araştırma firması Patchstack, kötü niyetli aktörlerin savunmasız web sitelerinin tam kontrolünü ele geçirmek için SQL enjeksiyon saldırılarını kullanmasını mümkün kılan güvenlik açığını keşfetti. E-sigara mağazalarından kişisel bloglara kadar tüm web sitesi türleri, eklentinin yamasız sürümünü kullanmaları durumunda saldırıya karşı savunmasızdı.
Eklenti hemen yamanmasına rağmen, bazı web sitesi sahipleri sorunun ciddiyetinden habersiz oldukları için yamayı yüklemediler. WordPress Otomatik eklentisine yönelik son kullanıcı incelemeleri, güvenlik açığı nedeniyle en az birkaç web sitesinin tamamen kaybolduğunu gösteriyor.
Hiçbir web sitesi bilgisayar korsanlığına karşı tamamen bağışık değildir ve dünyadaki tüm web sitelerinin yüzde 43'üne güç veren WordPress, kötü niyetli aktörlerin öncelikli hedefidir.
Ancak iyi haber şu: Bir web sitesi saldırıya uğradığında, bunun nedeni genellikle bilgisayar korsanının o siteyi özel olarak hedeflemesi değildir. Çoğu zaman web siteleri, otomatik tarayıcıların kullanımıyla keşfedilen savunmasız WordPress temalarını veya eklentilerini çalıştırdıkları için saldırıya uğrar.
Başka bir deyişle, sitenizde tarayıcıyla kolayca bulunabilen ve otomatik araçlarla istismar edilen bilinen bir güvenlik açığı yoksa bilgisayar korsanları genellikle sitenize devam eder.
Bunu akılda tutarak, birkaç sağduyulu güvenlik uygulamasını takip ederek WordPress sitenizi oldukça güvende tutabilirsiniz. Bu kılavuzda, güvenli olmayan bir eklentinin sitenizin zamansız kapanmasına neden olma riskini en aza indirmek için tam olarak ne yapmanız gerektiğini açıklayacağız.
Temanızı ve Eklentilerinizi Derhal Güncelleyin
WordPress'te oturum açtığınızda, sitenizin teması veya eklentileri için güncellemeler mevcutsa her zaman kenar çubuğunda bir bildirim görürsünüz. Bazı durumlarda, güncellemesi bekleyen bir eklenti sayfanın üst kısmında bir mesaj bile görüntüleyebilir. Sitenizde çok sayıda eklenti varsa, neredeyse her giriş yaptığınızda güncelleme bildirimleri görebilirsiniz ve bazen bu güncellemeleri indirip yüklemeyi erteleme eğiliminde olabilirsiniz. Ancak bunu tehlikeye atarak yaparsınız çünkü bir güncellemenin ne zaman kritik bir güvenlik sorununa yönelik bir düzeltme içerebileceğini asla bilemezsiniz.
WordPress Otomatik eklentisi, yaratıcısına güvenlik açığı bildirildiğinde hemen güncellendi. Ancak, bir gizlilik anlaşmasının, eklentinin yaratıcısının, Patchstack tarafından kamuya açıklanana kadar kusuru tartışmasını engellediği bildirildi. Bu nedenle bazı kullanıcılar güncellemeyi görmezden geldi.
Tam Site ve Veritabanı Yedeklemelerini Koruyun
Web barındırıcılarının tam otomatik web sitesi ve veritabanı yedeklemeleri sunması daha yaygın hale geliyor; bu da güvenlik açısından harika bir şey. Web siteniz saldırıya uğradıysa, bir yedeğin mevcut olması, siteyi bazen tek bir tıklamayla önceki durumuna geri yükleyebileceğiniz anlamına gelir. Barındırıcınız bu hizmeti sunmuyorsa, birkaç WordPress eklentisi bu işi sizin için yapabilir. Bununla birlikte, zaman içinde birkaç farklı noktadan alınan yedeklemelerden oluşan bir kitaplığın sürdürülmesi önemlidir. Web siteniz saldırıya uğradıysa, farkına varmanız biraz zaman alabilir.
Bir Güvenlik Eklentisi Çalıştırmayı Düşünün
Web siteniz sizin işletmenizse, bir tür güvenlik çözümüne sahip olmamanın hiçbir mazereti yoktur. Bir güvenlik eklentisi, erişim girişimlerini otomatik olarak izleyebilir ve kötü niyetli görünen kullanıcıları engelleyebilir. Bazı içerik dağıtım ağları da bu hizmeti sağlar. Bir güvenlik eklentisi ayrıca sitenizin dosyalarını ve ham kodunu izleyebilir ve beklenmedik bir değişiklik olması durumunda sizi bilgilendirebilir. Sunucunuzda aniden yeni dosyalar görünmeye başlarsa siteniz büyük olasılıkla saldırıya uğramıştır.
Temalarınızı ve Eklentilerinizi Güvenilir Bir Kaynaktan Alın
WordPress Deposu, sitenize yönelik temaları ve eklentileri bulmak için her zaman en güvenilir yerdir. WordPress.org web sitesindeki her şey ücretsiz ve açık kaynak olduğundan, buradaki tüm eklentiler ve temalar çok geniş bir WordPress gönüllü topluluğu tarafından izlenmektedir. Ancak çoğu durumda ücretsiz bir temada veya eklentide bulunmayan işlevlere ihtiyacınız olabilir ve bu durumda premium yazılım için ödeme yapmanız gerekir. Birinin kodu denetlediğinden ve güvenli olduğunu beyan ettiğinden emin olun.
Kullanılmayan Temaları ve Eklentileri Kaldır
WordPress web sitenize yüklenen her tema ve her eklenti, potansiyel bir güvenlik açığı olarak değerlendirilmelidir çünkü bilgisayar korsanlarının yaptığı tam olarak budur; sürekli olarak var olan WordPress kodunun her bir parçasını inceliyorlar ve yararlanabilecekleri güvenlik açıklarını arıyorlar. Sitenizden bir temayı veya eklentiyi her kaldırdığınızda potansiyel bir giriş noktasını ortadan kaldırmış olursunuz. Sitenizin eklentilerini ve temalarını inceleyin ve kullanmadığınız her şeyi kaldırın. Ayrıca aktif eklentilerinize göz atmak ve hepsine gerçekten ihtiyacınız olduğundan emin olmak da iyi bir fikirdir.
Terk Edilmiş Eklentilerin Yenilerini Bulun
Belirli bir eklenti için güncelleme bildirimini en son gördüğünüzden bu yana bir süre geçti mi? Öyleyse, en son ne zaman güncellendiğini belirlemek için eklentinin değişiklik günlüğünü kontrol etmek isteyebilirsiniz. Bir eklentinin işlevselliği son derece basit olmadığı sürece, bir yıldan fazla bir süredir güncellenmemişse, yazar tarafından terk edildiğini düşünmelisiniz. Bu durumda, aynı işlevselliği sağlayan ve hala aktif olarak güncellenen bir eklenti aramalısınız. Güvenlik açıkları, keşfedilmeden önce eski eklentilerde uzun süre gizlenebilir ve açıklığı olan bir eklenti artık yazar tarafından güncellenmezse, güvenlik açığı hiçbir zaman düzeltilmeyecektir.
Eski Eklentileri ve Temaları Denetlemek İçin Bir Geliştirici İşe Alın
Web sitenizin, geliştirici tarafından terk edilen ve artık güncellenmeyen, görev açısından kritik bir eklentiye sahip olduğunu varsayalım. Bu durumda, eklentinin güvenli olduğundan ve herhangi bir güvenlik açığı bulunmadığından emin olmak konusunda kendi başınızasınız. Bu durumda, bir geliştiriciyi işe almak ve o kişinin eklentiyi sizin için denetlemesini sağlamak çok iyi bir fikir olacaktır. Eklentinin bakımı, siz onun yerine yenisini bulana kadar devam eden bir masraf haline gelebilir.