• Anasayfa
  • Nesne
  • Güvenlik
  • İstatistikler, WordPress güvenlik açıklarının en büyük kaynağını vurgular

İstatistikler, WordPress güvenlik açıklarının en büyük kaynağını vurgular

Yayınlanan: 2020-10-08

Her yıl birçok WordPress sitesinin saldırıya uğradığını biliyoruz. WordPress güvensiz bir sistem olduğu için mi? Küresel bir WordPress sorunu mu yoksa bu web yöneticilerinin eylemlerinden mi kaynaklanıyor? Nasıl ve neden oluyor?

WordPress'te kişisel bir blog, iş web sitesi veya bir e-ticaret sitesi çalıştırıyor olsanız da, web sitenizin güvenliği bir öncelik olmalıdır. Sitenizin güvenliğinin tehlikeye girmesinin birçok nedeni olabilir. En yaygın nedenler zayıf parolalar, kullanıcı hataları, güncel olmayan yazılımlar ve eksik güvenlik güncellemeleridir.

Bu makalede, en savunmasız WordPress bileşenlerinin hangileri olduğunu vurgulamak ve güncel yazılımları çalıştırmanın ve gerekli güvenlik yamalarını yüklemenin önemini vurgulamak için WPScan güvenlik açığı veritabanındaki en son istatistikleri kullanıyoruz.

Ayrıca, birkaç önerinin yanı sıra WordPress güvenlik açıkları hakkında bazı ilginç istatistikler ve gerçekler de bulabilirsiniz. Hemen dalalım.

İçerik tablosu

  • WPScan güvenlik açığı veritabanı nedir?
  • WordPress, eklentiler ve tema güvenlik açıklarına genel bakış
    • Neden bu kadar çok WordPress temel güvenlik açığı var?
    • WordPress çekirdeği, eklentileri ve temalarındaki güvenlik açıkları türleri
    • WordPress temel güvenlik açıklarının istatistikleri
    • En savunmasız 10 WordPress eklentisi
    • En savunmasız 10 WordPress teması
  • Bu WordPress güvenlik açıkları bize ne söylüyor?
  • WordPress Güvenliği Nasıl Sağlanır (en iyi güvenlik uygulamaları)

WPScan güvenlik açığı veritabanı nedir?

İstatistiklere geçmeden önce bu sayıları nereden aldığımızı açıklayalım. Tüm veriler, WPScan'ın veri dosyalarının çevrimiçi olarak göz atılabilir bir sürümü olan WPScan güvenlik açığı veritabanından alınır.

WPScan, açık kaynaklı otomatik bir WordPress kara kutu güvenlik tarayıcısıdır. Bu tarayıcı, WordPress web sitelerindeki bilinen WordPress çekirdeğini, eklentileri ve tema güvenlik açıklarını tespit etmek için bu verileri kullanır.

Bugüne kadar WPScan güvenlik açığı veritabanı, 4,154'ü benzersiz güvenlik açığı olan 21.755 güvenlik açığı içeriyor.

WordPress, eklentiler ve tema güvenlik açıklarına genel bakış

WPScan Güvenlik Açığı Veritabanına göre, kaydettikleri bilinen güvenlik açıklarının ~%80'i WordPress çekirdek yazılımındadır. Ama işin püf noktası şu: En fazla güvenlik açığına sahip sürümlerin tamamı WordPress 3.X'te.

Şu ana kadar WPScan güvenlik açığı veritabanında 17.467 WordPress çekirdek yazılım güvenlik açığı var. Ardından 3.846 (%17) WordPress eklentisi güvenlik açığı ve 442 (%3) WordPress teması güvenlik açığı var.

WPScan güvenlik açığı veritabanındaki WordPress çekirdek yazılım güvenlik açıkları.

Neden bu kadar çok WordPress temel güvenlik açığı var?

WordPress çekirdeğindeki güvenlik açıklarının sayısı, WordPress'in birçok sürümü nedeniyle güvenlik açığı veritabanında şişirilmiştir. Aşağıda bunun neden olduğuna dair bir açıklama bulunmaktadır;

WordPress 5.4.2 sürümündeki bir bileşende siteler arası komut dosyası çalıştırma güvenlik açığı bulundu. Bu bileşen WordPress'te 3.7 sürümünden beri kullanılmaktadır. Bu nedenle, WordPress'in önceki tüm sürümleri de savunmasızdır.

Bu nedenle WPScan güvenlik açığı veritabanında benzersiz bir güvenlik açığı ve 256 güvenlik açığı olacaktır!

Bu nedenle, WordPress çekirdeği güvensiz değildir. WordPress çekirdeğinin çok uzun bir yol kat ettiğini ve şimdiye kadar olduğundan çok daha iyi ve daha güvenli bir yazılım olduğunu belirtmek çok önemlidir.

WordPress çekirdeği, eklentileri ve temalarındaki güvenlik açıkları türleri

WordPress çekirdeği, eklentileri ve temalarındaki en popüler güvenlik açığı türleri Siteler Arası Komut Dosyası Çalıştırma ve SQL Enjeksiyonu'dur.

Bu 2 güvenlik açığının, başlangıcından bu yana en yaygın web güvenliği sorunlarının yer aldığı OWASP İlk 10 listesinde listelendiği göz önüne alındığında, bu şaşırtıcı değildir.

Güvenlik açığı türleri

WordPress temel güvenlik açıklarının istatistikleri

Aşağıdaki grafik, her biri 92 güvenlik açığıyla paketin başında gelen 3.7.1 ve 3.8.1 sürümleriyle en savunmasız 10 WordPress çekirdek sürümünü vurgulamaktadır. İkinci sırada, 91 güvenlik açığı ile WordPress sürüm 3.9.

En iyi 10 WordPress temel güvenlik açığı

Ancak, o zamandan beri WordPress kesinlikle daha güvenli hale geldi. WordPress'in son 5 sürümündeki güvenlik açıklarının sayısına bir göz atalım. Gördüğünüz gibi fark oldukça büyük.

WordPress'in son sürümlerindeki güvenlik açıklarına genel bakış

En savunmasız 10 WordPress eklentisi

İşte en savunmasız 10 WordPress eklentisi hakkında bazı gerçekler:

NextGEN Gallery, NinjaForms ve WooCommerce, her biri 22 güvenlik açığıyla paketi yönetiyor.

En savunmasız 10 eklenti

En savunmasız 10 WordPress eklentisinde bir WordPress güvenlik eklentisi olan All In One WP Security & Firewall'u görünce şaşırdık. Bu tür eklentilerin kurşun geçirmez olduğunu söylemiyorum. Güvenlik görevlileri tarafından yazılan bir eklentinin daha az güvenlik açığına sahip olmasını veya en azından ilk 10 listesinde olmamasını beklerdim.

En savunmasız 10 WordPress teması

Aşağıdaki grafik, en savunmasız 10 WordPress temasını vurgulamaktadır. En yüksek olanın adı altında sadece 5 güvenlik açığı var.

WordPress'teki en savunmasız 10 tema

Temalar, işlevsellik açısından çok daha az şey yaptıkları için eklentilerden çok daha az güvenlik açığına sahip olma eğilimindedir. Örneğin, çoğu eklenti verileri işlerken, kullanıcı girişini yaparken ve kullanıcı verilerini değiştirirken, temalar çoğunlukla WordPress web sitelerinin görünümünü ve hissini değiştirir.

Bu WordPress güvenlik açıkları bize ne söylüyor?

İnsanlar, çok çeşitli eklentiler ve temalar nedeniyle WordPress'i sever. Bunu yazarken, WordPress deposunda 57.000'den fazla eklenti ve 7.000'den fazla tema ve web'e dağılmış binlerce ek premium tema var.

Tüm bu seçenekler sitenizi daha iyi hale getirmek için harika olsa da, WordPress web sitenize bir eklenti veya tema yüklemeden önce her zaman biraz araştırma yapmalısınız. Çoğu WordPress geliştiricisi, kod standartlarını takip etme ve bildirilen güvenlik sorunlarını öğrendikten sonra yamalama konusunda iyi bir iş çıkarsa da, yine de birkaç olası sorun vardır:

  • Eklenti veya tema artık korunmuyor,
  • Geliştiricilerin bir güvenlik düzeltme eki yayınlaması uzun zaman alıyor veya yanıt vermiyor,
  • Bununla birlikte, bir eklenti veya temanın bir güvenlik açığı vardır, çünkü bu güvenlik açığının fark edilmediğine fazla dikkat edilmez.

Bu konuyla ilgili daha fazla ayrıntı için gereksinimleriniz için en iyi WordPress eklentisini nasıl seçeceğinize ve bir eklentinin WordPress web siteniz için iyi bir seçim olup olmadığını nasıl belirleyeceğinize bakın.

Peki paket servis nedir?

Kısacası, tüm yazılımlarınızı güncel tutun!

WordPress, dünyadaki en popüler CMS'lerden biridir ve en iyi güvenlik uygulamalarını izler ve güncel tutarsanız, web sitenizin herhangi bir sorun yaşaması pek olası değildir.

Bu WordPress güvenlik açıkları istatistikleri doğru mu?

Bu istatistikler, WPScan Güvenlik Açığı Veritabanında depolanan bilgilere dayanmaktadır. Sık sık güncellenmesine rağmen, hiçbir şekilde eksiksiz değildir.

Burada listelenmeyen birçok savunmasız WordPress eklentisi ve teması vardır. Ancak, bu bize WordPress güvenlik açıklarının durumu hakkında iyi bir genel bakış sağlar.

Bilinen WordPress güvenlik açıklarını gönderin

WPScan ekibi, WordPress çekirdek, eklenti veya tema güvenlik açıkları hakkında bilgisi olan herkesi ayrıntıları kendilerine göndermeye teşvik eder.

Yeni bir güvenlik açığı göndermeden önce, sorunun daha önce gönderilmediğinden emin olmak için veritabanında arama yapın. Bu, tek bir merkezi ve güvenilir bilgi kaynağına sahip olmamızı sağlayacaktır.

WordPress Güvenliği Nasıl Sağlanır (en iyi güvenlik uygulamaları)

Artık tüm olası ve bilinen güvenlik açıklarını ele aldığımıza göre, web sitenizi güvence altına almanın farklı yollarına bir göz atalım.

İlk şey, WordPress sürümünüzü düzenli olarak güncellemektir. WordPress sürümünüzü güncelleme pratiğini kesinlikle geliştirmelisiniz ve ayrıca eklentilerinizi ve temalarınızı güncellemeyi unutmayın.

WordPress web sitenizin güvenliğini sağlamak için yapabileceğiniz bazı ek işlemler şunlardır:

  • Ortak Parolalar Kullanmaktan Kaçının

Güçlü bir parolanız olduğunda, herhangi bir bilgisayar korsanlığı girişiminden kaçınılabilir veya en azından geciktirilebilir.

  • İki faktörlü bir kimlik doğrulama oturumu ayarlayın

WordPress web sitenize giriş yapmak isteyen herkes, hesabınıza erişmeden önce bir adım daha atmalıdır.

  • Nulled eklentiler ve temalar kullanmayın

Neredeyse herkesi cezbeder, ancak premium eklentilerin ve temaların bu ücretsiz kopyaları çoğu zaman kötü amaçlı kötü amaçlı yazılımlarla yüklenir. Premium sürümü satın alarak kullandığınız eklentilerin geliştiricilerini destekleyin. Ürünü daha da geliştirmeye, yeni özellikler eklemeye ve güvenliğini sağlamaya yardımcı olur.

  • WordPress Güvenlik Eklentilerini Kullanın

Günümüzde web sitenizi çeşitli saldırılardan korumak için oluşturulmuş çok çeşitli güvenlik eklentileri bulunmaktadır. En iyileri düzenli olarak güncellenir, bu da onları herhangi bir bilgisayar korsanlığı girişimini ve kodunuza yapılan herhangi bir eklemeyi tespit edebilir hale getirir. Bir dizi WordPress güvenlik ve site yönetimi eklentisi geliştiriyoruz. Onları kontrol et!

sarmak için

Web sitenizin güvenliğini sağlamak çok önemlidir. Olası saldırılarla başa çıkmak için kullanabileceğiniz tehditler ve araçlar hakkında net bir görüşe sahip olmak çok önemlidir. İlk ve en önemli önceliğiniz, güvenli bir web sitesine sahip olmak ve sürdürmek olmalıdır.

Popülerliğinin bir sonucu olarak WordPress, bilgisayar korsanları için büyük bir hedeftir. Bu yüzden sitenizin güvenliğini sağlamak için fazladan bir yol kat etmelisiniz. Güvenli bir site, potansiyel müşterilerinize kesinlikle güven verecek ve bu nedenle işinizin büyümesine yardımcı olacaktır.

Web sitenizi koruyun ve güvende kalın!