16 WordPress Güvenlik Sorunu (Güvenlik Açıkları) ve Bunları Düzeltmek İçin İpuçları

Yayınlanan: 2022-04-22

WordPress, herkesin hızlı bir şekilde bir web sitesine sahip olmasını kolaylaştırır, ancak çevrimiçi ortamda ne kadar çok güvenlik sorunu olduğundan bahseden çok fazla gürültü var.

WordPress'in güvenlik sorunları var mı? Evet
aşılmazlar mı? Numara
WordPress ile web sitenizi oluşturmanızı engellemeli mi? kesinlikle değil

Muhafazakar bir tahmin, web sitelerinin sayısını yaklaşık 2 milyar olarak belirler ve WordPress bunların neredeyse %45'ine güç sağlar. Bunun nedeni, WordPress'in çok üretken olması ve birçok saldırıya maruz kalmasıdır. Bunun doğrudan bir sonucu olarak, WordPress çok güvenli bir sisteme dönüşmüştür. Aslında, WordPress'in yıllar içinde çözdüğü güvenlik sorunlarının çoğu, diğer CMS'de hala var.

Bu yazıda, hangi WordPress güvenlik sorunlarına dikkat etmeniz gerektiğini ve daha da önemlisi web sitenizi bunlardan nasıl koruyacağınızı açıklayacağız.

TL; DR: MalCare ile web sitenizi WordPress güvenlik endişelerinden koruyun. MalCare, kötü amaçlı yazılım tarayıcı, otomatik temizleyici ve güvenlik duvarını tek bir yerde birleştiren hepsi bir arada bir güvenlik eklentisidir. Bunun dışında web sitenizi güvenle güncelleyebilir ve bilgisayar korsanlarının güvenlik açıklarından faydalanmasını önleyebilirsiniz. WordPress güvenlik sorunları için uzman bir çözüm arıyorsanız, bunu MalCare ile buldunuz.

İçindekiler gizle
1 WordPress'in güvenlik sorunları var mı?
2 Web sitenizi etkileyebilecek 16 yaygın WordPress güvenlik sorunu
2.1 1. Güncel olmayan eklentiler ve temalar
2.2 2. Zayıf şifreler
2.3 3. WordPress web sitenizdeki kötü amaçlı yazılım
2.4 4. SEO spam kötü amaçlı yazılım
2.5 5. Kimlik avı dolandırıcılığı
2.6 6. Kötü amaçlı yönlendirmeler
2.7 7. Yeniden kullanılan şifreler
2.8 8. Boş yazılım
2.9 9. WordPress sitenizdeki arka kapılar
2.10 10. wp-vcd.php kötü amaçlı yazılım
2.11 11. Kaba kuvvet saldırıları
2.12 12. SQL enjeksiyonu
2.13 13. Siteler arası komut dosyası çalıştırma saldırıları
2.14 14. Web sitesi HTTPS'de değil HTTP'de
2.15 15. WordPress'ten gönderilen spam e-postalar
2.16 16. Hareketsiz kullanıcı hesapları
WordPress güvenlik endişelerini önlemek için en iyi 3 uygulama
WordPress sitelerindeki saldırıların en önemli 4 nedeni
4.1 Güvenlik Açıkları
4.2 Güvenliği ihlal edilmiş parolalar
5 Sonuç
6 SSS

WordPress'in güvenlik sorunları var mı?

Evet, WordPress ile ilgili güvenlik sorunları var, ancak bunlarla baş etmek artık zor değil. Tehditlere karşı koyabilmek için geliştirme deneyimine sahip olmanıza veya WordPress koduyla uğraşmaya alışmanıza gerek yoktur. Bu makalede ortaya konan basit düzeltmeleri takip edin ve güçlü, güvenli bir WordPress web sitesine sahip olacaksınız.

Web sitenizi etkileyebilecek 16 yaygın WordPress güvenlik sorunu

WordPress'in birçok güvenlik sorunu vardır, ancak iyi olan şey, hepsinin kolayca çözülebilmesidir. Hiç kimse, web sitesini büyütmek veya gelirini artırmak yerine web sitesinin güvenliğini yönetmek için zaman harcamak istemez.

WordPress güvenlik açıkları ve güvenliği ihlal edilmiş parolaların yanı sıra kötü amaçlı yazılımlar ve saldırılar da güvenlik sorunlarıdır. Kötü amaçlı yazılım ve WordPress saldırıları bazen birbirinin yerine kullanılsa da, bunlar farklıdır. Kötü amaçlı yazılım, bilgisayar korsanlarının web sitenize enjekte ettiği kötü amaçlı koddur; saldırılar ise kötü amaçlı yazılım enjekte etmek için kullandıkları mekanizmalardır. Aşağıdaki listede, 4 tür WordPress güvenlik sorununu ele aldık.

Bilmeniz gereken yaygın wordpress güvenlik sorunlarının listesi:

  • Güncel olmayan eklentiler ve tema
  • Zayıf şifreler
  • WordPress web sitenizdeki kötü amaçlı yazılım
  • SEO spam kötü amaçlı yazılım
  • Kimlik dolandırıcılığı
  • Kötü amaçlı yönlendirmeler
  • Yeniden kullanılan şifreler
  • Nulled yazılım
  • WordPress sitenizdeki arka kapılar
  • wp-vcd.php kötü amaçlı yazılım
  • kaba kuvvet saldırıları
  • SQL enjeksiyonu
  • Siteler arası komut dosyası çalıştırma saldırıları
  • Web sitesi HTTPS değil HTTP'de
  • WordPress'ten gönderilen spam e-postalar
  • Hareketsiz kullanıcı hesapları

1. Güncel olmayan eklentiler ve temalar

WordPress eklentileri ve temalarının tümü kodla oluşturulmuştur ve daha önce açıkladığımız gibi geliştiriciler zaman zaman kodda hata yaparlar. Hatalar, güvenlik açıkları olarak adlandırılan güvenlik açıklarına neden olabilir.

Güvenlik araştırmacıları, İnternet'i daha güvenli bir yer haline getirmek için popüler yazılımlarda WordPress güvenlik açıklarını arar. Güvenlik açıklarını keşfettiklerinde, bunları düzeltmeleri için geliştiricilere açıklar. Sorumlu geliştiriciler daha sonra güvenlik açığını gideren bir güncelleme biçiminde bir güvenlik düzeltme eki yayınlar. Yeterli zaman geçtikten sonra, güvenlik araştırmacıları bulgularını açıklayacak.

wordpress güncellemeleri

İdeal olarak, bu zamana kadar eklentiler ve temalar güncellenmiş olmalıdır. Ancak, çoğu zaman durum böyle değildir. Ve bilgisayar korsanları, web sitelerine saldırma ve güvenlik açığından yararlanma konusundaki bu eğilimi bilir ve buna güvenir.

Güncellemeler, dikkatli bir şekilde yapmadığınız sürece bazen siteyi bozabilir. Güncellemeleri yönetmek için BlogVault'u kullanın, böylece site güncellemelerden önce yedeklenir ve canlı siteye geçmeden önce her şeyin hazırlık aşamasında kusursuz çalıştığından emin olabilirsiniz.

Düzeltme: Web sitenizdeki güncellemeleri hemen yönetin.

2. Zayıf şifreler

Bilgisayar korsanları, bir web sitesine girmek için birçok kullanıcı adı ve şifre kombinasyonunu deneyerek, oturum açma sayfalarına saldırmak için bot adı verilen programları kullanır. Çoğu zaman botlar, sözlük kelimelerini ve yaygın olarak kullanılan şifreleri kullanarak dakikada yüzlerce kombinasyon deneyebilir. Başarılı olduklarında, bilgisayar korsanı web sitenize açık kapı erişimine sahip olur.

Öte yandan, güçlü parolaları hatırlamak zordur, bu nedenle yönetici evcil hayvan adları, doğum günleri ve hatta 'parola' kelimesinin permütasyonları gibi hatırlaması kolay olanları seçer.

wordpress güvenlik sorunu olarak zayıf parola

Ancak bu, site güvenliğini saldırılara karşı savunmasız hale getirir. Bu bilgiler yasal olarak sosyal medya ve diğer siteler aracılığıyla çevrimiçi olarak ve veri ihlalleri veya karanlık ağ aracılığıyla yasa dışı bir şekilde mevcuttur. Yapılacak en iyi şey, hesabınızı ve dolayısıyla web sitenizi güvende tutmak için güçlü, benzersiz bir şifreye sahip olmaktır.

Not: Kullanıcı hesabınızı ve barındırma hesabınızı içeren site hesaplarınız arasında güçlü parolalar belirlemeniz gerekir. Yönetici genellikle SFTP ve veritabanı kimlik bilgilerini değiştirmez, ancak değiştirdiyseniz, bunlar için de güçlü parolalar ayarladığınızdan emin olun.

Ek olarak, WordPress'te oturum açma girişimlerini sınırlayabilirsiniz. Bir kullanıcının çok fazla yanlış oturum açması varsa, geçici olarak kilitlenir veya bot olmadıklarını kanıtlamak için bir CAPTCHA doldurması gerekir. Bu önlem, botları dışarıda tutar ve insan hatasına izin verir.

kötü niyetli captcha

Düzeltme: Güçlü parolalar uygulayın ve botları engellemek için oturum açma girişimlerini sınırlayın.

3. WordPress web sitenizdeki kötü amaçlı yazılım

Kötü amaçlı yazılım, web sitenizde yetkisiz etkinliğe izin veren herhangi bir kodu tanımlamak için kullanılan her şeyi kapsayan bir terimdir. Sonraki noktalarda, arka kapılar ve kimlik avı dolandırıcılıkları gibi belirli durumlara da bakacağız.

WordPress güvenlik sorunlarını ele almaktan bahsettiğimizde amaç, kötü amaçlı yazılımları dışarıda tutmaktır. Ancak daha önce de söylediğimiz gibi hiçbir sistem %100 kurşun geçirmez değildir. Her şeyi doğru yapabilirsiniz ve akıllı bir bilgisayar korsanı savunmaları delmenin yeni bir yolunu bulacaktır. Nadirdir, ama olur. Peki, zaten web sitenizde varsa, kötü amaçlı yazılımlarla nasıl başa çıkıyorsunuz?

Her şeyden önce, kötü amaçlı yazılımın gerçekten web sitenizde olduğunu doğrulamanız gerekir. Kötü amaçlı yazılımlar dosyalarda, klasörlerde ve veritabanında gizlenebilir. Kötü amaçlı yazılım dosyalarının WordPress çekirdek dosyaları, görüntü dosyaları gibi göründüğünü ve hatta eklentiler olarak göründüğünü gördük. Web sitenize virüs bulaşıp bulaşmadığından emin olmanın tek yolu, onu günlük olarak derinlemesine taramaktır. Bunun için MalCare'i yüklemeniz gerekir.

saldırıya uğramış site taraması

MalCare, web sitenizdeki kötü amaçlı yazılımları tespit etmek için gelişmiş bir algoritma kullanır. Diğer tarayıcılar, kötü amaçlı yazılımları işaretlemek için dosya karşılaştırma ve imza eşleştirme gibi kısmen etkili teknikler kullanır. MalCare, kodun davranışını kontrol etmek için 100'den fazla sinyal kullanır ve ardından amaç kötü amaçlıysa onu kötü amaçlı yazılım olarak işaretler. Bunun iki büyük avantajı vardır: birincisi, özel kodun kötü amaçlı yazılım olarak işaretlendiği yanlış pozitifler yoktur; ve iki, en yeni kötü amaçlı yazılım türleri bile doğru bir şekilde algılanır.

MalCare, kötü amaçlı yazılım taraması yaparken %95+ doğrudur ve tamamen ücretsizdir. Tarama sonuçları web sitenizin saldırıya uğradığını gösteriyorsa, ancak o zaman siteyi temizlemek için yükseltme yapmanız gerekir. MalCare ile otomatik temizleme özelliği, kötü amaçlı yazılımları WordPress web sitenizden cerrahi olarak kaldıracak ve web sitenizi bir kez daha bozulmamış halde bırakacaktır.

kötü bakım oto temizleme

Düzeltme: Web sitenizi MalCare ile tarayın ve temizleyin.

4. SEO spam kötü amaçlı yazılım

SEO spam'ı, bilgisayar korsanları tarafından web sitenizin trafiğini web sitenizden gölgeli ve spam içerikli web sitelerine yönlendirmek için kullanılan, özellikle korkunç bir kötü amaçlı yazılımdır. Bunu, Google'daki arama sonuçlarınızı ele geçirerek, mevcut sayfalarınıza kod ekleyerek veya trafiği kendi web sitelerine yönlendirerek yaparlar. Bazen bunların hepsini yaparlar. Her durumda, her zaman kötü haberdir.

Japonca anahtar kelime hack ve ilaç hack gibi SEO spam kötü amaçlı yazılımlarının birkaç yaygın çeşidi vardır. Bu varyantların her ikisi de, semptomları arama sonuçlarında özellikle Japonca karakterler veya farmasötik anahtar kelimeler olduğu için kendi başlarına ün kazanmıştır.

japon anahtar kelime hilesi
Japonca anahtar kelime hilesi
ilaç hack sitesi
ilaç kesmek

Her türlü SEO spam kötü amaçlı yazılımının manuel olarak kaldırılması inanılmaz derecede zordur çünkü kolayca kaldırılması imkansız olan yüz binlerce yeni spam sayfası oluşturabilirler. Ayrıca, .htaccess dosyası gibi kritik WordPress çekirdek dosyalarına ve klasörlerine kötü amaçlı yazılım eklerler ve bu, site düzgün bir şekilde temizlenmezse siteyi bozabilir.

Bu kötü amaçlı yazılım türlerine sahip siteler her zaman Google Search Console'da işaretlenir, Google kara listesine girer ve web barındırıcısının barındırma hesabınızı askıya almasına neden olur. Bu nedenle, bu hack ile uğraşmanın anahtarı, bu durumda MalCare adlı bir WordPress güvenlik eklentisi olan uzmanlara bırakmaktır.

arama konsolu güvenlik sorunları.
Google Arama Konsolu güvenlik sorunları

MalCare yalnızca kötü amaçlı yazılımlardan kurtulmakla kalmaz, aynı zamanda sitenizin gelişmiş bir güvenlik duvarı ile korunmasını da sağlar.

Düzeltme: SEO spam kötü amaçlı yazılımını MalCare ile kaldırın.

5. Kimlik avı dolandırıcılığı

Kimlik avı kötü amaçlı yazılımı, kullanıcıları güvenilir markalar gibi görünerek gizli bilgilerini vermeleri için kandıran iki parçalı bir dolandırıcılıktır.

İlk kısım, şüphelenmeyen bir kullanıcıya, genellikle şifrelerini veya herhangi bir şeyi hemen güncellemezlerse korkunç bir şey olacağına dair korkunç bir uyarı içeren resmi görünümlü bir e-posta göndermektir. Örneğin, bir kimlik avı e-postası bir web barındırma müşterisini yanılttığında, sitenin kapatılma tehlikesiyle karşı karşıya olduğunu söyleyebilirler.

google kimlik avı dolandırıcılığı

Dolandırıcılığın ikinci yarısı bir web sitesinde gerçekleşir. Kimlik avı e-postasında genellikle, kullanıcıyı görünüşte resmi bir web sitesine götüren ve kimlik bilgilerini girmesini sağlayan bir bağlantı bulunur. Web sitesi açıkça sahte ve bu, kaç kişinin hesaplarını tehlikeye attığını gösteriyor.

Google kimlik avı sitesi
Terk edilmiş bir WordPress web sitesinde kimlik avı sayfası

WordPress web sitelerinde, dolandırıcılığın hangi bölümünün gerçekleştiğine bağlı olarak kimlik avı iki şekilde gelir. İlk durumda, WordPress yöneticisi, web siteleri için bir veritabanı güncellemesinin nasıl gerekli olduğu hakkında kimlik avı e-postaları alır ve oturum açma ayrıntılarını girmeleri için kandırılırlar.

Öte yandan, bilgisayar korsanları web sitenizi sahte sayfalar için kullanabilir. Web sitesi yöneticisi, orada olmak için hiçbir sebepleri olmasa da, web sitelerinde bankacılık logoları veya e-ticaret web sitesi logoları ile sıklıkla karşılaşmaktadır. Bunlar insanları kandırmak için kullanılır.

Google, kimlik avı dolandırıcılıklarını ve özellikle bu sayfaları barındıran web sitelerini çok hızlı bir şekilde çökertmektedir. Web siteniz kara listeye alınacak ve kimlik avı web sitesi tespit edildi bildirimi ile tokatlanacak ve bu, ziyaretçi güveni ve marka bilinci oluşturma için korkunç bir durum. Masum olsanız bile, web siteniz bir dolandırıcılığa ev sahipliği yaptı. Bu kötü amaçlı yazılımdan bir an önce kurtulmanız ve hasar kontrolüne yönelik adımlar atmanız zorunludur.

kimlik avı saldırısı uyarısı

Düzeltme: MalCare ile phishing kötü amaçlı yazılımını web sitenizden kaldırın ve kullanıcılarınıza e-postalardaki hiçbir bağlantıyı tıklamamalarını tavsiye edin.

6. Kötü amaçlı yönlendirmeler

En kötü WordPress hacklerinden biri kötü niyetli yönlendirme hackidir. Web sitenizi ziyaret etmek, yalnızca şüpheli ürün ve hizmetler satan başka bir spam veya dolandırıcı web sitesine sürüklenmek için inanılmaz derecede sinir bozucu. Çoğu zaman, WordPress yöneticisi, saldırıya uğramış yeniden yönlendirme kötü amaçlı yazılımı nedeniyle web sitelerine giriş bile yapamaz.

Bu kötü amaçlı yazılımın birçok çeşidi vardır ve web sitesinin dosyalarına ve veritabanına tamamen bulaşır. 500'den fazla gönderiye sahip bir sitenin her gönderisinde, saldırıya uğramış yönlendirme kötü amaçlı yazılımlarının örneklerini gördük. Bu bir kabustu ve yönetici anlaşılır bir şekilde hüsrana uğradı.

Kötü amaçlı yönlendirme kötü amaçlı yazılımlarından kurtulmanın tek yolu bir güvenlik eklentisi kullanmaktır. Aslında, muhtemelen eklentiyi yüklemek için yardıma ihtiyacınız olacak çünkü web sitenize giriş yapamazsınız. MalCare'in destek ekibinin yardım edebileceği yer burasıdır. Kurulum sürecinde size rehberlik edecekler ve gerekirse siteyi sizin için temizleyecekler.

Düzeltme: Saldırıya uğramış yönlendirme kötü amaçlı yazılımlarından MalCare ile kurtulun.

7. Yeniden kullanılan şifreler

Yeniden kullanılan parolalar, önceki bölümde bahsettiğimiz gibi güçlü parolalar olabilir, ancak benzersiz olmaları gerekmez.

Örneğin, sosyal medya hesabınız ve web sitesi hesabınız, bir şifre için aynı harf, karakter ve rakamlara sahiptir. Şifreyi yazmaya alıştınız ve tahmin edilemeyeceğini düşünüyorsunuz, bu yüzden iyi bir şifre.

Pekala, yarı haklısın. İyi bir şifre, ancak yalnızca bir hesap için. Temel kural, şifreleri hesaplar arasında asla yeniden kullanmamaktır. Bunun nedeni, potansiyel veri ihlali tehdididir.

GoDaddy, Eylül 2021'de, yalnızca Kasım 2021'de keşfettikleri bir ihlal yaşadı. O zamana kadar 1,2 milyon kullanıcının veritabanı ve SFTP kimlik bilgileri ele geçirildi. Bu kullanıcılardan herhangi biri bu şifreleri bir banka hesabı gibi başka bir yerde kullanmışsa, bu bilgi artık tamamen bilgisayar korsanının elindeydi. Diğer hesaplara girmek çok daha kolay hale geliyor.

Verilerimizin güvenliğini sağlamak için farklı hizmetlere ve web sitelerine güveniyoruz, ancak hiçbir sistem tamamen kurşun geçirmez değildir. İşler ara sıra bozulabilir ve kırılacaktır. Amaç, hasarı mümkün olduğunca kontrol altına almaktır. Her hesap için benzersiz ve güçlü parolalar oluşturmak bunu yapmanıza yardımcı olur.

Düzeltme: Benzersiz parolalar belirleyin ve bunları hatırlamak için bir parola yöneticisi kullanın.

8. Boş yazılım

Nulled eklentiler ve temalar, çevrimiçi olarak ücretsiz olarak sunulan crackli lisanslara sahip premium sürümlerdir. Geliştiricilerden çalmanın ahlaki boyutunun oldukça dışında, sıfırlanmış yazılımlar büyük bir WordPress güvenlik riskidir.

Çoğu boş tema ve eklenti, kötü amaçlı yazılımlarla dolu olarak gelir. Bilgisayar korsanları, birinci sınıf bir üründe iyi bir anlaşma istemek için insanlara güvenir ve onu yüklemelerini bekler. Web sitesi, kendisine elden teslim edilen bir doz kötü amaçlı yazılım alıyor ve site şimdi saldırıya uğradı. İlk etapta birinin premium yazılımı kırmaya zahmet etmesinin tek nedeni budur. Robin Hood, WordPress ekosisteminde yer almıyor.

Nulled temalar ve eklentiler üzerlerinde kötü amaçlı yazılım olmasa bile - ki bu çok nadirdir - onları güncelleyemezsiniz. Resmi sürümler olmadıkları için geliştiricilerden açıkça destek almıyorlar. Bu nedenle, bir güvenlik açığı bulunursa ve geliştiriciler bir güvenlik düzeltme eki yayınlarsa, geçersiz kılınan yazılım, üzerine kötü amaçlı yazılım yüklenmesine ek olarak bir güvenlik açığıyla güncelliğini yitirir.

Düzeltme: Boş eklentilerden ve veba gibi temalardan kaçının.

9. WordPress sitenizdeki arka kapılar

Arka kapılar, adından da anlaşılacağı gibi, web sitenizin koduna erişmenin alternatif ve yasadışı yollarıdır. Kötü amaçlı yazılımların yanı sıra, bilgisayar korsanları web sitenize arka kapı kodu enjekte eder, böylece kötü amaçlı yazılım keşfedilir ve kaldırılırsa, arka kapıyı kullanarak tekrar erişim sağlayabilir.

Arka kapılar, kötü amaçlı yazılımları web sitenizden manuel olarak temizlemeyi önermememizin başlıca nedenlerinden biridir. Kötü amaçlı yazılım komut dosyalarını bulabilir ve bunları kaldırabilirsiniz, ancak arka kapılar çok akıllıca gizlenebilir ve neredeyse görünmez hale gelebilir.

Web sitenizden arka kapıları kaldırmanın tek yolu MalCare gibi bir WordPress güvenlik eklentisi kullanmaktır. MalCare, otomatik temizleme özelliğiyle arka kapılardan ve kötü amaçlı yazılımlardan hızlı ve kolay bir şekilde kurtulur.

Düzeltme: Arka kapıları kaldırmak için bir güvenlik eklentisi kullanın.

10. wp-vcd.php kötü amaçlı yazılım

wp-vcd.php kötü amaçlı yazılımı, WordPress web sitenizde kullanıcıları diğer web sitelerine yönlendiren spam pop-up'larına neden olur. SEO spam hack ve kötü niyetli yönlendirmelerle aynı amaca sahiptir, ancak farklı şekilde çalışır. wp-tmp.php ve wp-feed.php gibi birkaç çeşidi vardır.

wp-vcd.php kötü amaçlı yazılım
Bir WordPress temasının functions.php dosyasında wp-vcd kötü amaçlı yazılımı

wp-vcd.php kötü amaçlı yazılımı, site her yüklendiğinde çalıştırılan kodla web sitelerine bulaşır. WordPress sitelerine bulaşan en sinir bozucu saldırılardan biridir, çünkü kaldırır kaldırmaz hemen geri geliyor gibi görünüyor; bazı durumlarda, anında. Tekmelemeyen, tekrarlayan bir virüse benzetilebilecek bir kötü amaçlı yazılım varsa, o da wp-vcd.php'dir.

wp-vcd.php kötü amaçlı yazılımı, web sitelerine esas olarak boş eklentiler ve temalar yoluyla bulaşır. Wordfence deyim yerindeyse “kendi sitenize yüklediğiniz kötü amaçlı yazılım”; biraz sert olduğunu düşünüyoruz, ancak sıfırlanmış yazılım tehlikesinin altını çiziyor.

Düzeltme: MalCare ile web sitenizdeki wp-vcd.php kötü amaçlı yazılımlarından anında kurtulun.

11. Kaba kuvvet saldırıları

Bilgisayar korsanları, erişim elde etmek için giriş sayfanızı kullanıcı adı ve şifre kombinasyonlarıyla bombalamak için botları kullanır. Bu yöntem kaba kuvvet saldırısı olarak bilinir ve parolalar zayıfsa veya bir veri ihlalinde bulunan parolalarla aynıysa başarılı olabilir.

MC'de trafik ve oturum açma günlükleri
MalCare kullanarak oturum açma koruması

Kaba kuvvet saldırıları yalnızca güvenlik için korkunç olmakla kalmaz, aynı zamanda sitenizin sunucu kaynaklarını da tüketir. Giriş sayfası her yüklendiğinde, bazı kaynaklar gerektirir. Normalde disk kullanımı ihmal edilebilir düzeydedir, bu nedenle performansı belirgin şekilde etkilemez. Ancak kaba kuvvet botları, oturum açma sayfasını dakikada birkaç yüz, hatta bin kez çarpıyor. Siteniz paylaşılan barındırmadaysa, gözle görülür sonuçlar olacaktır.

Kaba kuvvet saldırılarına karşı koymanın yolu, web siteniz için bot korumasına sahip olmanın yanı sıra hatalı oturum açma girişimlerini sınırlamaktır. MalCare, güvenlik eklentisinde yerleşik olarak bulunan bot korumasıyla birlikte gelir.

Giriş sayfanızda CAPTCHA'yı da etkinleştirebilirsiniz. Varsayılan URL'yi değiştirerek giriş sayfanızı gizlemeniz için öneriler görebilirsiniz, ancak bunu yapmayın. Bu URL kaybolursa geri almak inanılmaz derecede zordur ve bilgisayar korsanlarıyla birlikte web sitenize kilitlenirsiniz.

Düzeltme: Giriş denemelerini sınırlayın ve web siteniz için bot koruması alın.

12. SQL enjeksiyonu

Tüm WordPress web sitelerinde, web sitesi hakkında önemli bilgileri depolayan veritabanları bulunur. Kullanıcılar, şifreleri, gönderileri, sayfaları, yorumları gibi şeyler tablolarda saklanır ve web sitesi dosyaları tarafından düzenli olarak düzenlenir ve alınır. Veritabanına nadiren doğrudan erişilebilir ve güvenlik için web sitesi dosyaları tarafından kontrol edilir.

SQL enjeksiyonları özellikle tehlikeli saldırılardır, çünkü bilgisayar korsanları doğrudan veritabanıyla etkileşime girebilir. SQL sorguları eklemek için web sitenizdeki formları kullanırlar, bu da veritabanından işlemelerine veya okumalarına olanak tanır. SQL, veri ekleme, silme, değiştirme veya alma gibi veritabanında değişiklik yapmak için kullanılan programlama dilidir. Bu nedenle SQL enjeksiyon saldırıları çok tehlikelidir.

Çözüm, eklentilerinizi ve temalarınızı güncel tutmaktır, çünkü temizlenmemiş giriş gibi WordPress güvenlik açıkları başarılı SQL enjeksiyon saldırılarına yol açar. Ek olarak, iyi bir güvenlik duvarı, kötü oyuncuları web sitenizden uzak tutacaktır.

Düzeltme: Her şeyi güncel tutun ve bir güvenlik duvarı kurun.

13. Siteler arası komut dosyası çalıştırma saldırıları

Web sitelerine çapraz site komut dosyası çalıştırma veya XSS saldırıları, bilgisayar korsanının web sitesine kod eklemesi bakımından SQL enjeksiyonlarına benzer. Aradaki fark, kodun web sitenizin veritabanı yerine web sitenizdeki bir sonraki ziyaretçiyi hedeflemesidir.

Bir XSS saldırısında, kötü amaçlı yazılım web sitenize eklenir. Bir ziyaretçi gelir ve tarayıcıları kötü amaçlı yazılımın web sitenizin bir parçası olduğunu düşünür ve bu nedenle ziyaretçi saldırıya uğrar. Genel olarak, siteler arası komut dosyası çalıştırma saldırıları, şüpheli olmayan ziyaretçilerden veri çalmak için kullanılır.

Site ziyaretçilerinizi korumanın yolu, web sitenizde XSS güvenlik açıklarının bulunmadığından emin olmaktır. Bunu yapmanın en basit yolu, web sitenizin tamamen güncel olduğundan emin olmaktır. Bir WordPress güvenlik duvarı eklentisi de kurarak güvenliği bir üst seviyeye çıkarabilirsiniz.

Düzeltme: Bir WordPress güvenlik duvarı kurun ve web sitesindeki her şeyi güncel tutun.

14. Web sitesi HTTPS değil HTTP'de

Birçok web sitesinin artık URL çubuğunun yanında yeşil bir kilit olduğunu fark etmiş olabilirsiniz. Bu, ziyaretçinin web sitesinin SSL kullandığını söylemesi için bir güven rozetidir. SSL, bir web sitesinden gelen trafiği ileri geri şifreleyen bir güvenlik protokolüdür.

Bunun için iyi bir benzetme, bir telefon görüşmesini düşünmektir. Hatta iki kişi arasında geçen verilerin, aralarında özel bir konuşma olarak kalması amaçlanmıştır. Ancak, üçüncü bir kişi bu hatta erişebilseydi, verileri anlayacaktı ve bu nedenle artık özel değil. Ancak, asıl iki kişi, üçüncü kişinin ne kadar kulak misafiri olursa olsun, sadece kendilerinin çözebilecekleri bir şifre kullanacak olsa, bilginin gerçek anlamı onlardan gizlenir.

SSL web siteleri için bu şekilde çalışır. Hassas bilgilerin üçüncü şahıslar tarafından okunmaması ve hukuka aykırı olarak kullanılmaması için siteye ve siteden gönderilen verileri şifreler.

İnternet bir bütün olarak son on yılda veri güvenliği ve gizliliğine doğru ilerliyor ve SSL bu amaca ulaşmanın temel yollarından biri olarak ortaya çıktı. Google bile, SSL özellikli web sitelerini şiddetle savunur ve SSL olmayan web sitelerini arama sonuçlarında cezalandıracak kadar ileri gider.

Düzeltme: Web sitenize bir SSL sertifikası yükleyin.

15. WordPress'ten gönderilen spam e-postalar

E-postalar, dijital pazarlamanın temel taşıdır ve web sitesi ziyaretçileriyle etkileşim kurmanın bir yoludur. İnsanlar ayrıca almak istedikleri e-postalar konusunda giderek daha mantıklı hale geliyorlar, bu nedenle var olan bir güven var.

Güvenin hassas doğası göz önüne alındığında, bir bilgisayar korsanının web sitenize kötü amaçlı yazılım ekleyebileceğini ve ziyaretçilerinize spam e-posta gönderebileceğini düşünmek korkunç. Yine de, bazı kötü amaçlı yazılımların yaptığı tam olarak budur. Spam e-postalar göndermek için WordPress temel işlevi wp_mail()'i ele geçirir.

Kötü amaçlı yazılımlar normalde Google'ın kara listelerine ve web barındırıcısının askıya alınmasına neden olur, ancak spam e-postalar olması durumunda web barındırıcınız e-posta hizmetinizi de kara listeye alır ve bir sürü başka hata görürsünüz. Aslında, spam gönderici web sitenize e-posta adresleri de eklerse, e-postanızın tamamen kara listeye alınması tehlikesiyle karşı karşıya kalırsınız.

spam tuzağı eşiği aştı
Bir spam tuzağına düşen ve bir WordPress web sitesinin e-posta gönderme yetkisini tehlikeye atan spam e-postalar

Düzeltme: Spam e-posta kötü amaçlı yazılımını web sitenizden temizleyin ve bunun yerine bir e-posta pazarlama aracı kullanın.

16. Hareketsiz kullanıcı hesapları

Bir web sitesindeki kullanıcılar sürekli değişir. Örneğin, birden fazla yazar ve editör içeren bir blog çalıştırıyorsanız, eski yazarlar ayrılırken web sitesine sık sık yeni yazarlar eklenir.

Buradaki püf nokta, derhal kaldırılmayan eski kullanıcı hesaplarının zamanla bir WordPress güvenlik sorunu haline gelmesidir. Hesaplar var olduğundan, ancak parolalar düzenli olarak güncellenmediğinden saldırılara açıktır. Hareketsiz kullanıcı hesapları, güvenliği ihlal edilmiş parolaların aynı tehlikelerinden muzdariptir, bu nedenle aktif olarak kullanılmayan hesapların kaldırılması gerekli temizliktir.

Ek olarak, web sitenizde kimin ne yaptığını bilmek önemlidir. Olağandışı veya beklenmedik kullanıcı eylemleri, saldırıya uğramış hesapların erken bir işaretidir.

Düzeltme: Etkin olmayan kullanıcı hesaplarını kaldırın ve bir etkinlik günlüğü kullanın.

WordPress güvenlik endişelerini önlemek için en iyi uygulamalar

WordPress güvenlik sorunları sürekli gelişiyor ve bir web sitesini çalıştırmaya yönelik diğer tüm çalışmalara ek olarak bunların üstesinden gelmek zor. Bu nedenle, ekstra çaba harcamadan web sitenizi kötü amaçlı yazılımlardan ve bilgisayar korsanlarından korumanıza yardımcı olabilecek birkaç iyi güvenlik uygulaması burada.

  • Bir güvenlik eklentisi kurun: WordPress'inizin bilgisayar korsanlarına karşı sahip olduğu en iyi savunma, MalCare gibi iyi bir güvenlik eklentisidir. Bir WordPress güvenlik eklentisinin kötü amaçlı yazılım tarayıcısı ve temizleyicisi olmalıdır. İdeal olarak, bir güvenlik duvarı, kaba kuvvet koruması, bot koruması ve bir etkinlik günlüğü ile birlikte gelmelidir. MalCare tüm bunlara sahiptir ve güvenlik uzmanları her türlü yardıma hazırdır. Bu, müdahale gerektirmeyen bir çözümdür, yalnızca işlem gerektiğinde sizi uyarır ve pazarlıkta sunucu kaynaklarını tüketmez. Şimdi MalCare'i kurun ve rahat bir nefes alın.
  • Güvenlik duvarı kullanın: Bir web uygulaması güvenlik duvarı, web sitenizi her türlü kötü oyuncudan korur. Bilgisayar korsanları, diğer WordPress güvenlik sorunlarına ek olarak web sitenizdeki güvenlik açıklarından yararlanmak istiyor. Güvenlik duvarı, yalnızca meşru ziyaretçilere izin vererek bunu engeller. Web siteniz için olmazsa olmazdır ve güvenlik eklentinizle birlikte geliyorsa daha da iyidir.
  • Her şeyi güncel tutun : WordPress çekirdeğinin, eklentilerinin ve temalarının her zaman güncel olduğundan emin olun. Güncellemeler genellikle güvenlik açıkları için güvenlik yamaları içerir ve bu nedenle mümkün olan en kısa sürede güncelleme yapmak çok önemlidir. Ancak, güncellemeleri uygulamanın her zaman kolay olmadığını biliyoruz. Riski en aza indirmek için BlogVault'u kullanarak web sitenizi güvenle güncelleyin. Siteniz güncellemeden hemen önce yedeklenir ve canlı web sitenizi güncellemeden önce güncellemenin aşamalandırmada nasıl performans gösterdiğini görebilirsiniz.
  • İki faktörlü kimlik doğrulamaya sahip olun: Parolalar, özellikle güçlü değilse veya yeniden kullanılmışsa, kırılabilir. İki faktörlü kimlik doğrulama, kırılması çok daha zor olan parolalara ek olarak gerçek zamanlı bir oturum açma belirteci oluşturur. WP 2FA veya bu listeden başka bir eklenti kullanarak iki faktörlü kimlik doğrulamayı etkinleştirebilirsiniz.
  • Güçlü parola politikalarını zorunlu kılın: Güçlü ve benzersiz parolaların önemini yeterince vurgulayamayız. Bir şifre yöneticisi kullanmanızı öneririz. Web sitenizi kaba kuvvet saldırıları gibi güvenlik sorunlarından korumak için, güvenlik eklentiniz oturum açma girişimlerini de sınırlandırmalıdır.
  • Düzenli yedeklemeler: Bazen yedeklemeler, bir saldırı için son çaredir ve web sitenizin her zaman web sitesi sunucunuzdan uzakta saklanan bir yedeği olmalıdır. WordPress sitenizi nasıl yedekleyeceğiniz hakkında daha fazla bilgi edinin.
BlogVault yedekleme kontrol paneli
  • SSL Kullan: Web sitenizden gelen iletişimi şifrelemek için web sitenize bir SSL sertifikası yükleyin. SSL fiili bir standart haline geldi ve Google, daha güvenli bir tarama deneyimi için kullanımını aktif olarak destekliyor.
kuruluş doğrulama ssl sertifikası
  • Birkaç ayda bir güvenlik denetimi yapın: Bir etkinlik günlüğü ile kullanıcıları ve web sitesindeki eylemlerini gözden geçirin. Olağandışı etkinlik, kötü amaçlı yazılımın erken uyarı sinyali olabilir. Yönetici ve kullanıcı hesapları için en az ayrıcalık politikasının uygulanması da önerilir. Son olarak, web sitenizdeki kullanılmayan eklentileri veya temaları temizleyin. Devre dışı bırakılan temalar ve eklentiler, güncellemeler için göz ardı edilir ve WordPess güvenlik açıkları kontrol edilmez ve web sitelerinin saldırıya uğramasına neden olur.
  • Saygın eklentiler ve temalar seçin: Bu, bir güvenlik önlemi olarak biraz özneldir, ancak web sitenizdeki en iyi eklentileri ve temaları kullanmaya değer. Örneğin, geliştiricinin ürünlerini düzenli olarak güncelleyip güncellemediğini kontrol edin. Diğer kullanıcıların çevrimiçi incelemelerine ve destek deneyimlerine ek olarak, bu önemli bir ölçümdür. Ek olarak, premium yazılım genellikle genel olarak daha iyi bir bahistir. Ancak en önemlisi, hiçbir zaman boş yazılım kullanmayın. Genellikle bu nedenle kırılmış olan kodda kötü amaçlı yazılım taşır. Bu sadece değerli bir risk değil.

Ayrıca WordPress web sitenizi güçlendirebilir ve WordPress güvenliğinin nasıl çalıştığı konusunda kendinizi eğitebilirsiniz.

WordPress sitelerindeki saldırıların başlıca nedenleri

WordPress sitenizin güvenliğinde iki zayıf bağlantı vardır: güvenlik açıkları ve şifreler . Kötü amaçlı yazılımların %90'ı güvenlik açıkları, %5'i güvenliği ihlal edilmiş veya zayıf parolalar ve %1'den azı kötü web barındırma hizmetleri gibi diğer nedenlerle enjekte edilir.

Web sitesinin saldırıya uğramasının nedenleri

Güvenlik açıkları

WordPress'in kendisi güvenli olsa da, web siteleri temel WordPress'ten daha fazlasıyla oluşturulmuştur. Web sitelerimizin işlevselliğini genişletmek, özellikler eklemek, güzel bir tasarıma sahip olmak ve web sitesi ziyaretçileriyle etkileşim kurmak için eklentiler ve temalar kullanıyoruz. Bütün bunlar eklentiler ve temalar ile elde edilir.

WordPress gibi eklentiler ve temalar kodla oluşturulur. Geliştiriciler kod yazarken, boşluklara neden olan hatalar yapabilirler. Koddaki boşluklar, geliştirici tarafından amaçlanmayan eylemleri gerçekleştirmek için bilgisayar korsanları tarafından kullanılabilir.

Örneğin, web siteniz kullanıcıların bir profil resmi için resim yüklemesine izin veriyorsa, yükleme yalnızca bir resim dosyası olmalıdır. Ancak, geliştirici bu kısıtlamaları koymadıysa, bir bilgisayar korsanı bunun yerine kötü amaçlı yazılımlarla dolu bir PHP dosyası yükleyebilir. Web sitesine yüklendikten sonra, bilgisayar korsanı dosyayı çalıştırabilir ve kötü amaçlı yazılım sitenin geri kalanına yayılacaktır. Bu boşluklar güvenlik açıklarıdır. Elbette başka türler de var, ancak bunlar WordPress sitelerini etkileyen başlıcaları.

Güvenliği ihlal edilmiş şifreler

Bir bilgisayar korsanının hesap kimlik bilgileriniz varsa, web sitenizi hacklemelerine gerek yoktur. Bu yüzden güçlü şifreler çok önemlidir.

Parolaların WordPress güvenlik zincirindeki en zayıf halka haline gelmesinin iki temel yolu vardır. Bunlardan biri, bilgisayar korsanlarının ve onların botlarının tahmin etmesi kolay olan hatırlaması kolay şifreler kullanmaktır. İkinci yol, kullanıcıların web siteleri ve hizmetler arasında şifreleri yeniden kullanmasıdır.

Veri ihlalleri çok yaygındır. Örneğin, bir kullanıcı iki farklı hesap için aynı parolaya sahiptir: bir e-ticaret sitesi ve Twitter hesabı. E-ticaret web sitesinde, kullanıcı verilerinin çalındığı bir veri ihlali varsa, Twitter hesapları artık tehlikeye girer. Bilgisayar korsanı hesaba giriş yapabilir ve her türlü tahribata neden olabilir.

Hem güvenlik açıkları hem de güvenliği ihlal edilmiş parolalar, doğru araçlar ve doğru tavsiyelerle kolayca başa çıkabileceğiniz WordPress güvenlik riskleridir. Neyse ki, bu iki şey de burada.

Çözüm

WordPress güvenlik sorunları, deneyimsiz bir yönetici için göz korkutucu olabilir, ancak bu, onlara bir çözüm olmadığı anlamına gelmez. Güvenlik sorunları, uzman tavsiyelerini dinleyerek kolayca çözülebilir. MalCare'de, WordPress güvenliğinin, diğer şeyleri gönül rahatlığıyla yapmakta özgür olmanızı sağlayan, elden ele dolaşan bir mesele olması gerektiğine kesinlikle inanıyoruz.

Makalenin herhangi bir korkuyu gidermeye yardımcı olduğunu umuyoruz. Ele almadığımız bir şey varsa, lütfen bize bildirin. Sizden haber almak isteriz.

SSS

WordPress'in güvenlik sorunları var mı?

WordPress güvenli bir sistemdir, ancak diğer sistemler gibi mükemmel değildir. Eklentiler ve temalar, bir web sitesine işlevsellik ve karmaşıklık katar, ancak aynı zamanda güvenlik riskleri de getirir. Ancak, bunları başarıyla azaltmanın yolları vardır, bu nedenle WordPress web siteleri bilgisayar korsanlarından korunur.

WordPress kolayca saldırıya uğrar mı?

WordPress kolayca saldırıya uğramaz, ancak bazı eklentileri ve temaları o kadar güvenli olmayabilir. MalCare gibi entegre bir güvenlik duvarına sahip bir güvenlik eklentisi yüklemek, bir WordPress web sitesini çok daha güvenli hale getirecektir.

WordPress ticaret için güvenli mi?

Web sitesinde güvenlik duvarı yüklü bir güvenlik eklentisi varsa, WordPress ticaret için güvenlidir. Güvenlik eklentisi, kullanıcıları kötü amaçlı yazılımlara karşı uyarmak için günlük taramalar gerçekleştirir. MalCare, yalnızca web sitesini taramakla kalmayıp aynı zamanda 1 tıklamayla otomatik temizleme seçeneği de sunan harika bir güvenlik eklentisidir. MalCare ayrıca, web sitesini verileri kazıyan botlardan korumanın yanı sıra, ticaret web sitesindeki kötü trafiği uzak tutmak için bir güvenlik duvarı ile birlikte gelir.

Olması gereken WordPress güvenlik gereksinimleriniz nelerdir?

The must-have WordPress security requirements are:

  • Malware scanner
  • Malware cleaner
  • WordPress firewall
  • Brute force protection
  • Bot protection
  • Etkinlik günlüğü
  • İki faktörlü kimlik doğrulama

These features go a long way toward protecting websites from WordPress security issues.

Are outdated WordPress plugins a security risk for a site?

Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.