En Yaygın 5 WordPress Saldırısı ve Nasıl Önlenir?

Bilgisayar korsanlarının WordPress web sitenize saldıracağından endişeleniyor musunuz? Keşke size endişelenmemenizi söyleyebilseydik ama gerçek şu ki, WordPress web siteleri sürekli olarak bilgisayar korsanları tarafından hedef alınır. Bu, esas olarak, WordPress'in internetteki tüm web sitelerinin üçte birini desteklediği için popülerliğinden kaynaklanmaktadır.

WordPress'in kendisi güvenli bir web sitesi oluşturma platformu olsa da, tek başına çalışmaz. Bir WordPress sitesini çalıştırmak için eklentilere ve temalara ihtiyacınız var. Eklentiler ve temalar genellikle bilgisayar korsanlarının bir web sitesini hacklemek için yararlandığı güvenlik açıkları geliştirir.

Web sitenize eriştikten sonra, hassas bilgileri çalmak, müşterileri dolandırmak ve yasa dışı içerik görüntülemek gibi her türlü kötü niyetli faaliyeti yürütürler. Bu arada, siteniz arama sonuçlarında uyarı ile işaretlenebilir veya Google tarafından kara listeye alınabilir, hatta web barındırıcınız tarafından askıya alınabilir. Bütün bunlar ziyaretçi ve gelir kaybına yol açar.

WordPress geliştiricileri platformu olabildiğince güvenli tutarken, WordPress site sahiplerinin de kendi önlemlerini alması gerekiyor. Bu yazıda, WordPress sitelerine yapılan en yaygın saldırıları ve bunlara karşı alabileceğiniz önleyici tedbirleri tartışıyoruz.

TL;DR: Bilgisayar korsanlarının WordPress web sitenize saldırmasından endişe ediyorsanız, web sitesi koruma önlemlerini hemen alabilirsiniz. WordPress güvenlik eklentimiz MalCare'i kurabilirsiniz. Sitenizi her gün tarayacak ve izleyecek ve bilgisayar korsanlarının girmeye çalışmasını engelleyecektir.

[lwptoc jumpHeadingLevel=”h1,h3,h4,h5,h6″ jumpHeadingText=”Son Düşünceler”]

WordPress Neden Bilgisayar Korsanları İçin Popüler Bir Hedef?

WordPress, herkesin kodlama bilmeden web siteleri oluşturmasına olanak tanıyan bir web sitesi oluşturma platformudur. Ayrıca, WordPress ücretsizdir.

Sonuç olarak, platform bugün 1,3 milyardan fazla aktif siteye güç sağlıyor.

Tüm bunların dezavantajı, WordPress web sitelerinin diğer herhangi bir platformda oluşturulmuş web sitelerinden daha fazla hedeflenmesidir.

Artık bilgisayar korsanlarının sitenize girebileceği birden çok yol var. En yaygın 5 tanesine kadar daralttık. Ne olduğunu ve WordPress sitenizi buna karşı nasıl koruyabileceğinizi açıklayacağız.

WordPress Web Sitelerinde En Yaygın 5 Saldırı

1. Savunmasız Eklentiler ve Temalar

Bir WordPress sitesi üç öğe kullanılarak oluşturulur – temel kurulum, temalar ve eklentiler. Her üç unsur da bir siteyi bilgisayar korsanlarına karşı savunmasız hale getirme potansiyeline sahiptir.

Uzun yıllar boyunca, WordPress çekirdeğinde herhangi bir büyük güvenlik açığı olmamıştır. Son derece deneyimli ve kalifiye geliştiricilerden oluşan bir ekip tarafından sürdürülür. Platformun tamamen güvenli olmasını sağlamak için çok çalışıyorlar, bu yüzden orada endişelenecek bir şey yok.

Bununla birlikte, WordPress eklentileri ve temaları, üçüncü taraf geliştiriciler tarafından oluşturulur ve bunlar, WordPress güvenlik açıklarını oldukça sık geliştirme eğilimindedir.

Geliştiriciler herhangi bir güvenlik açığı keşfettiklerinde, hemen düzeltirler ve güncellenmiş bir sürüm yayınlarlar.

Site sahibi olarak sizin en son sürüme güncellemeniz gerekiyor ve siteniz güvende olacak. Bu tür güvenlik güncellemelerini hemen yüklemek önemlidir. Bunun nedeni, geliştiricilerin bir güncelleme yayınladığında, güncellemenin nedenlerini de yayınlamalarıdır. Böylece güvenlik açığı kamuoyuna duyurulmaktadır.

Bu, bilgisayar korsanlarının artık bir güvenlik açığı olduğunu bildiği anlamına gelir. Ayrıca, tüm site sahiplerinin sitelerini hemen güncellemediğini de biliyorlar. Dolayısıyla, bir eklentinin veya temanın savunmasız olduğunu öğrendiklerinde, botları ve tarayıcıları interneti taramak ve bunları kullanan siteleri bulmak için programlarlar. Güvenlik açığının tam olarak ne olduğunu bilmek, wp feed kötü amaçlı yazılımı vb.

Sitenizi Güvenlik Açığı Olan Eklenti ve Temalara Karşı Nasıl Korursunuz?

1. Yalnızca WordPress deposunda veya ThemeForest ve Code Canyon gibi pazar yerlerinde bulunan güvenilir temaları ve eklentileri kullanın.
2. Eklenti listenizi düzenli olarak kontrol edin ve yalnızca kullandıklarınızı saklayın. İhtiyacınız olmayan veya etkin olmayanları silin.
3. Temanızı düzenli olarak tarayın ve İdeal olarak, yalnızca aktif olarak kullandığınız temayı tutmalısınız.
4. Asla korsan temalar ve eklentiler kullanmayın. Genellikle web sitenize bulaşacak kötü amaçlı yazılım içerirler.
5. Sitenizdeki tüm eklentileri ve temaları tanıdığınızdan emin olun. Bazen bilgisayar korsanları, web sitesi arka kapılarının kurulu olduğu kendi eklentilerini ve temalarını kurarlar. Bu onlara sitenize gizli bir erişim sağlar.

2. Kaba Kuvvet Saldırıları

WordPress sitenize giriş yapmak için, oturum açma kimlik bilgilerinizi, yani bir kullanıcı adı ve şifre girmeniz gerekir.

Çoğu zaman, WordPress site sahipleri hatırlaması kolay kullanıcı adları ve şifreler kullanır. Birçok WordPress kullanıcısı varsayılan kullanıcı adı olan 'admin'i korur. Yaygın parolalar arasında "password123" veya "1234567" bulunur.

Bilgisayar korsanları bunun gayet iyi farkındadır ve WordPress sitelerinin giriş sayfasına saldırır.

Yaygın olarak kullanılan kullanıcı adları ve parolalardan oluşan bir veritabanı oluştururlar. Daha sonra, botları WordPress sitelerini hedeflemek ve veritabanlarında bulunan farklı kombinasyonları denemek için programlarlar.

Oturum açma kimlik bilgileriniz zayıfsa, botların bunu tahmin etme ve sitenize girme şansı yüksektir. Bu, 'Kaba Kuvvet Saldırıları' olarak bilinir ve %10 başarı oranına sahip oldukları tahmin edilmektedir!

Sitenizi Brute Force'a Karşı Nasıl Korursunuz?

Sitenizi kaba kuvvet saldırılarına karşı korumak için atabileceğiniz birkaç adım vardır:

1. Varsayılan olarak, WordPress kullanıcı adınız yöneticidir. Yöneticiden daha benzersiz bir şeye değiştirebilirsiniz.
2. Güçlü bir WordPress şifresi kullanın. Birdsofafeather123$ gibi rakamlar ve simgelerle birlikte bir parola kullanmanızı öneririz.
3. Diğer web sitelerinde kullanmadığınız benzersiz kimlik bilgilerini kullanın.
4. Sitenizdeki giriş denemelerinin sayısını sınırlayın. Bu, bir WordPress kullanıcısının 3 deneme veya 5 deneme gibi doğru kimlik bilgilerini girmek için yalnızca sınırlı şansı olacağı anlamına gelir. Bundan sonra, 'şifremi unuttum' seçeneğini kullanmaları gerekecek. MalCare güvenlik eklentimizi sitenize yükleyebilirsiniz ve siteniz bu oturum açma korumasını sizin için otomatik olarak uygulayacaktır.
5. Bir WordPress kullanıcısının, akıllı telefonlarında oluşturulan veya kayıtlı e-posta adreslerine gönderilen tek seferlik bir parola ile birlikte kimlik bilgilerini girmesi gereken iki faktörlü kimlik doğrulama kullanın.

3. Enjeksiyon Saldırıları

Hemen hemen her web sitesinde iletişim formu, site arama çubuğu veya ziyaretçilerin veri girmesini sağlayan yorumlar bölümü gibi bir giriş alanı bulunur. Bazı web siteleri, ziyaretçilerin belge ve resim dosyaları yüklemesine de izin verir.

Genellikle bu veriler kabul edilir ve işlenmek ve saklanmak üzere veritabanınıza gönderilir. Bu alanlar, verileri veritabanınıza gitmeden önce doğrulamak ve sterilize etmek için uygun yapılandırmaya ihtiyaç duyar. Bu, yalnızca geçerli verilerin kabul edilmesini sağlayacaktır. Bu önlemler eksikse, bilgisayar korsanları bundan yararlanır ve kötü amaçlı kod girer.

Üzerinde iletişim formu bulunan bir WordPress sitesi örneğini ele alalım. İdeal olarak bu form bir isim, bir e-posta adresi ve bir telefon numarası kabul etmelidir.

1. İsim alanı sadece alfabedeki harfleri kabul etmelidir.
2. E-posta adresi alanı, [email protected] gibi geçerli bir e-posta adresi biçimini kabul etmelidir.
3. Telefon numarası alanı sadece rakam içermelidir.

Artık bu yapılandırmalar yerinde değilse, bir bilgisayar korsanı aşağıdakiler gibi kötü amaçlı komut dosyaları ekleyebilir:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Bu, veritabanına belirli işlevleri yürütmesi için komut verecek bir koddur. Bu şekilde, bilgisayar korsanları, sitenizin tam kontrolünü ele geçirmek için kullanabilecekleri kötü amaçlı komut dosyalarını sitenizde çalıştırabilir.

WordPress sitelerine yönelik en popüler enjeksiyon saldırıları arasında SQL enjeksiyon saldırıları ve Siteler Arası Komut Dosyası Çalıştırma yer alır.

Web Sitenizi Enjeksiyon Saldırılarına Karşı Nasıl Korursunuz?

1. Birçok enjeksiyon saldırısı, sitenizde ziyaretçi girişi sağlayan temalardan ve eklentilerden kaynaklanır. Yalnızca güvenilir temaları ve eklentileri kullanmanızı öneririz. Ardından, eklentilerinizi ve temanızı her zaman güncel tutun.
2. Kontrol alanı girişleri ve veri gönderimleri. Bu tekniktir ve bir geliştiricinin yardımını gerektirir.
3. Bir WordPress güvenlik duvarı kullanın. MalCare'i sitenize yüklediyseniz, sitenizi bilgisayar korsanlarına karşı korumak için otomatik olarak sağlam bir güvenlik duvarı kurar.

4. Kimlik Avı ve Veri Hırsızlığı

Ziyaretçiler web sitenizle farklı şekillerde etkileşime girer. Bazıları sadece blog yazılarınızı okur, diğerleri sizinle iletişim kurduğunuz yerden iletişim kurar vb. Bir e-ticaret sitesi işletiyorsanız, birçok ziyaretçi web sitenizden ürün satın alır. Bu, web sitenize giriş yapmaları ve kredi kartı bilgilerini girmeleri gerektiği anlamına gelir.

Birisi sitenize kredi kartı bilgilerini girdiğinde, bilgileri site sunucunuza aktarır ve depolar. Bu bilgiler aktarılırken ele geçirilebilir. Ayrıca, kredi kartı verileri çalınabilir.

Ayrıca web sitenize girebilir ve sizin gibi görünebilirler. E-postalar gönderirler veya ziyaretçileri başka web sitelerine yönlendirirler ve kişisel verileri ve ödeme bilgilerini vermeleri için onları kandırırlar.

Sitenizi Kimlik Avı ve Veri Hırsızlığından Nasıl Korursunuz?

1. Bir SSL sertifikası kullanın. Bu, sitenizden ve sitenize aktarılan verileri şifreleyecektir. Bir hacker onu ele geçirse bile deşifre edemeyecekleri için kullanamazlar. SSL ve HTTPS kullanımıyla ilgili kılavuzumuza bakın. Ayrıca, sitenizdeki WordPress sitesi güvenli değil uyarısını da kaldıracaktır.
2. Web sitenizde herhangi bir şüpheli etkinlik olması durumunda uyarı almak için bir WordPress Güvenlik Eklentisi kullanın. Eklenti ayrıca hack girişimlerini de engelleyecektir.

5. Çerez Çalma

Bir siteye giriş yaptığınızda tarayıcınızın 'beni hatırla' veya 'şifreyi kaydet' isteğinde bulunduğunu fark ettiniz mi? Bu, bir web sitesine her erişmek istediğinizde oturum açma kimlik bilgilerinizi girmek zorunda kalmamanız için yapılır. Tarayıcının oturum açma ayrıntılarınızı kaydetmesine izin vermeyi seçebilirsiniz.

Tarayıcılar, çerezler sayesinde bu tür verileri kaydedebilir. Çerezler, bir ziyaretçinin bir web sitesiyle etkileşimini kaydeden küçük veri parçalarıdır. Örneğin, bir çevrimiçi mağaza işletiyorsanız, siteniz müşterinin hangi ürünü aradıkları ve ne satın aldıkları gibi yolculuğunu izleyebilir. Bu veriler analitikte kullanılır ve ayrıca reklamverenler, reklamları ziyaretçinin tercihine göre düzenler. Çerezler artık banka detaylarını ve kişisel bilgileri de saklayabilir.

Bir bilgisayar korsanı web sitenizin çerezlerini çalabilirse işletmenizin ve ziyaretçilerinizin hassas verilerine erişebilir. Kredi kartı bilgilerini kullanarak müşterileri dolandırmak gibi kötü niyetli eylemlerini gerçekleştirmek için bu verileri kullanabilirler.

Çerez Çalma ve Oturum Ele Geçirme ile ilgili kolay kılavuzumuzda bununla ilgili daha fazla bilgi edinebilirsiniz.

Sitenizi Çerez Çalma ve Oturum Hırsızlığından Nasıl Korursunuz?

• WordPress anahtarlarınızı ve tuzlarınızı düzenli olarak değiştirin. Anahtarlar ve tuzlar, tarayıcının çerezlerinde depolanan bilgilerin güvenli bir şekilde şifrelenmesini sağlar. Bu önlem doğası gereği tekniktir. Anahtarlarınızı ve tuzlarınızı değiştirmek için MalCare'in WordPress sertleştirme özelliğini kullanmanızı öneririz. MalCare panosundan, Güvenlik > WordPress sağlamlaştırma > WordPress Güvenlik Anahtarlarını ve Tuzlarını Değiştir'e erişin.

• Burada da web sitenizin verilerini korumak için bir SSL sertifikası kurmanızı öneririz.

Bu, bizi en yaygın WordPress Saldırılarının sonuna getiriyor. Bitirmeden önce, sitenizi bu tür saldırılara karşı daha güçlü hale getirecek birkaç WordPress güçlendirme önlemi göstermek istiyoruz.

WordPress Sitenizi Saldırılara Karşı Nasıl Sertleştirirsiniz ?

Web sitenizi belirli saldırılara karşı korumak için belirli önlemler alabilirken, daha iyi koruma için sitenizde uygulayabileceğiniz bazı genel güvenlik önlemleri vardır. Bunlara WordPress sertleştirme önlemleri denir. Burada kısaca açıkladık, ancak daha ayrıntılı açıklamalar için WordPress Sertleştirme hakkındaki ayrıntılı kılavuzumuzu okuyabilirsiniz.

1. Dosya düzenleyiciyi devre dışı bırakma

WordPress, tema ve eklenti dosyalarını doğrudan panodan düzenlemenizi sağlayan bir özelliğe sahiptir. Birçok web sitesi sahibi bu özelliğe ihtiyaç duymaz, çoğunlukla geliştiriciler tarafından kullanılır. Ancak bir bilgisayar korsanı wp-admin kontrol panelinize girerse, temanıza ve eklenti dosyalarınıza kötü amaçlı kod ekleyebilir. Böylece, bu özelliğe ihtiyacınız yoksa devre dışı bırakılabilir.

2. Eklenti veya tema kurulumlarını devre dışı bırakma

Bilgisayar korsanları sitenize erişebildiklerinde kendi eklentilerini veya temalarını kurarlar. Bu eklentiler ve temalar genellikle kötü amaçlıdır ve arka kapılar içerir. Bu, bilgisayar korsanlarına sitenize gizli bir giriş sağlar.

Ayrıca, belirttiğimiz gibi, savunmasız temalar ve eklentiler, saldırıya uğrayan sitelerin başlıca nedenlerinden biridir. Web sitenizde birden çok kullanıcı varsa, güvenli olmayan bir eklenti veya tema yükleyebilirler. Bu, sitenizi bilgisayar korsanlarına açabilir. Bunun önüne geçmek istiyorsanız sitenizdeki eklenti ve tema kurulumlarını devre dışı bırakabilirsiniz.

Sitenize düzenli olarak eklenti ve tema yüklemiyorsanız, yükleme seçeneğini devre dışı bırakabilirsiniz.

3. Giriş denemelerini sınırlama

Daha önce de belirttiğimiz gibi, bir WordPress kullanıcısının siteye girmek için doğru oturum açma kimlik bilgilerini girme şansını sınırlayabilirsiniz. Bu, kaba kuvvet saldırıları riskini ortadan kaldırır.

4. Güvenlik anahtarlarını ve tuzlarını değiştirme

Anahtarlar ve tuzlar, tarayıcınızda saklanan bilgileri şifreler. Yani bir bilgisayar korsanı çerezlerinizi çalmayı başarsa bile şifresini çözemez. Ancak, bir bilgisayar korsanı bu anahtarlara ve tuzlara erişirse, çerezlerin şifresini çözmek için kullanabilir. Anahtarlarınızı ve tuzlarınızı düzenli olarak değiştirmek, çerez hırsızlığını önlemeye yardımcı olabilir.

5. Bilinmeyen klasörlerde PHP yürütmesini engelleme

WordPress sitenizde kod yürüten yalnızca belirli dosya ve klasörler vardır. Diğer klasörler, yalnızca resimleri ve videoları depolayan Yüklemeler klasörünüz gibi bilgileri depolar.

Ancak, bir bilgisayar korsanı web sitenize erişim kazandığında, rastgele klasörlere php kodu ekler ve hatta kendi klasörlerini oluşturur.

Bilinmeyen klasörlerde PHP yürütmelerini devre dışı bırakarak bu tür etkinlikleri engelleyebilirsiniz.

Bu önlemlerin uygulanması teknik uzmanlık gerektirir. Bunu manuel olarak yapmanızı önermiyoruz. Bunu sadece birkaç tıklamayla yapmanızı sağlayan MalCare gibi bir eklenti kullanmak çok daha güvenli ve kolaydır.

Bununla, WordPress web sitenizin güvenli olduğundan ve bilgisayar korsanlarına karşı korunduğundan eminiz.

Son düşünceler

Bilgisayar korsanlarının WordPress sitenize girmenin çok sayıda yolu vardır ve sık sık yenilerini bulurlar!

Web sitenizi korumak ve hack saldırılarına karşı güvenli olduğundan emin olmak için güvenlik önlemlerinizi almanız gerekir.

WordPress sitenizin güvenliğini sağlamak için MalCare Güvenlik Eklentimizi kullanmanızı öneririz. Bilgisayar korsanlarının ve kötü amaçlı botların sitenize erişmesini engeller. Sitenizin izlendiğinden ve korunduğundan emin olabilirsiniz.

MalCare Güvenlik Eklentimizle Hack'leri Önleyin !