En Önemli WordPress Güvenlik Hataları ve Nasıl Düzeltilir - MalCare

WordPress Güvenlik Hataları: WordPress web sitelerinde her dakika 90.978 saldırı girişimi yapıldığını biliyor muydunuz? Siteniz saldırıya uğradığında, bilgisayar korsanları onu spam e-postalar göndermek (okuma - kimlik avı hack), diğer web sitelerine saldırmak, spam bağlantıları enjekte etmek, ziyaretçileri yeniden yönlendirmek vb. gibi her türlü kötü amaçlı etkinliği gerçekleştirmek için kullanır.

Bu nedenle, sizin gibi WordPress site sahipleri güvenlik endişelerini ciddiye almalıdır. Tüm güvenlik ihtiyaçlarınızı çözmek için kullanabileceğiniz sihirli değnek yoktur, bunun yerine pek çok şeyi doğru yapmanız gerekir. İnternette, sitenizi nasıl güvenli ve emniyetli tutacağınıza dair sayısız tavsiye var. Bazıları çelişkili tavsiyeler ve bazıları sadece modası geçmiş. Bir site sahibinin ne yapması ve ne yapmaması gerektiği konusunda kafa karışıklığına yol açan sayısız görüş ve tüm bu karmaşanın ortasında hatalar kaçınılmazdır.

Bir sitenin güvenliğini sağlamak, özellikle kendilerini yaygın hack saldırılarına karşı savunmasız bırakabilecek hatalar yapmaya eğilimli yeni site sahipleri için kolay bir iş değildir. Web sitesi sahiplerinin yaptığı yaygın güvenlik hatalarını bilmek, bunlardan kaçınmanıza yardımcı olacaktır. İşte bu yüzden, çoğu WordPress sitesi sahibinin yaptığı hataları yapmayı bırakabilecek bu listeyi oluşturduk.

Site Sahiplerinin Yaptığı En İyi WordPress Güvenlik Hataları:

Aşağıdaki önlemlerden herhangi birini almadan önce bir WordPress güvenlik denetimi yapmanızı öneririz –

1. WordPress Çekirdeğini, Eklentisini ve Temalarını Güncellememek

WordPress çekirdeğini ve eklentilerini (ör. temalar ve eklentiler) güncel tutmak iyi bir güvenlik önlemidir. Bunları güncellemek, siteye yalnızca daha fazla özellik eklemekle kalmaz, aynı zamanda güvenlik açıklarının düzeltilmesine de yardımcı olur. WordPress'in çalıştığı ekosistem sayesinde güvenlik açıklarıyla ilgili haberler çok hızlı yayılıyor ve hackerlar bu durumdan yararlanmaya çalışıyor. Güvenlik açığının kapatılmasına yardımcı olacak şekilde sitenizi güncellemezseniz, sitenize zorla girilmesi kolaylaşacaktır.

Bazı site sahipleri, güncellemelerin güvenlikle nasıl bağlantılı olduğunun farkında olmadıkları için sitelerini güncellemezken, diğerleri uyumsuzluktan korkuyor. WordPress web siteleri, WordPress çekirdeğini ve eklentilerini güncelledikten sonra bozulabilir.

WordPress yükseltmeleri, önceki tüm sürümlerle uyumlu olacak şekilde tasarlanmıştır. Bu nedenle, siteniz 4.1 sürümünü çalıştırıyorsa, yine de en son sürüme, yani 4.9'a güncelleyebilirsiniz. Ancak alınan tüm önlemlere rağmen, her güncelleme web sitesinin çöktüğü haberini getiriyor. İşte en son WordPress sürüm 4.9.6'dan bir örnek.

WordPress eklentilerini, yani temaları ve eklentileri güncellerken benzer sorunlarla karşılaşabilirsiniz. Uyumsuzluk sorunu genellikle temalarda ve eklentilerde ortaya çıkar çünkü geliştirici yeni bir güncelleme yayınlamak için acele etmiştir veya belki de geliştirici beceriksizdir. Eklentiler ve temalar gerçekten rekabetçi bir pazara sahiptir ve diğerlerinden sıyrılmak için geliştiriciler en kısa sürede daha fazla ve daha fazla yeni özellik eklemeye zorlanırlar. Bazen, sürümün önceki WordPress sürümleriyle uyumlu olup olmadığını görmek için yeterli zaman verilmez. Ve böylece, birisi çok eski bir WordPress sürümü kullanıyorsa ve yalnızca en son birkaç WordPress sürümüyle çalışan bir eklentiyi güncellerse, sitesi bozulur.

WordPress Core ve bir eklenti arasındaki uyumluluk sorunlarıyla ilgili endişeler, site sahiplerinin güvenlik güncellemelerini atlamasına neden olabilir.

Bu nasıl düzeltilir: Bir hazırlık hizmeti bu sorunu çözebilir. WordPress çekirdeğinin ve eklentilerinin kurulumunu test etmek amacıyla yinelenen bir site oluşturma işlemine Hazırlama denir. BlogVault gibi yedekleme hizmetleri ve hatta Kinsta gibi web barındırma sağlayıcıları hazırlama ortamları sunar. Bir site hazırlama seçenekleri olup olmadığını görmek için web barındırıcınıza veya yedekleme hizmetlerinize (kullanıyorsanız) danışın. Değilse, bir site hazırlamanıza izin veren bir hizmete kaydolun.

Eklentilerinizi, temalarınızı ve çekirdeğinizi güncel tutmanın yanı sıra, WordPress tuzlarınızı ve güvenlik anahtarlarınızı da güncel tutmanızı önemle tavsiye ederiz.

2. Kalitesiz Eklentiler Kullanmak

Tüm WordPress eklentileri ve temaları iyi yapılmamıştır. Bazıları kalite güvence kontrollerini göz ardı ederken, diğerleri amatör programcılar tarafından geliştirilmektedir. Kullanıcıların ne kullanmayı veya satın almayı seçtiğine dikkat etmesi önemlidir. Ancak ne yazık ki, birçok WordPress kullanıcısı, eklentinin veya temanın ne kadar iyi olduğunu bulmak için onları donanımsız kılan herhangi bir teknik bilgiye sahip değildir.

Bu nasıl düzeltilir: Bu tür kullanıcılara yardımcı olmak için, iyi bir temayı veya eklentiyi belirlemeye yardımcı olacak birkaç özelliği listeledik:

Ben. Eklentileri, WordPress Plugin deposu gibi tanınmış bir kaynaktan veya Elegant Themes, Themeforest vb. gibi popüler bir satıcıdan aldığınızdan emin olun.

ii. Eklentilerin WordPress deposunda iyi bir derecelendirmeye sahip olduğundan ve sitelerinde temayı/eklentiyi kullanmış kişiler tarafından incelendiğinden emin olun. Hızlı bir Google araması, incelemeleri bulmanıza yardımcı olacaktır.

iii. Eklentinin uzun süredir var olduğunu ve zamanın testinden geçtiğini doğrulayın. WordPress deposunda veya resmi web sitesinde listelenen güvenlik güncellemelerini ve hata düzeltmelerini arayın.

iv. Ve sık sık güncellendiklerinden ve en son güncellemenin 2 aydan kısa bir süre önce yapıldığından emin olun.

3. Yasa Dışı Eklentiler ve Temalar Kullanmak

Birçok web sitesi premium temaları ve eklentileri ücretsiz olarak satar. Bu ücretsiz ürünleri kullanmak felakete neden olabilir çünkü bu WordPress eklentilerinin birçoğuna kasıtlı olarak kötü amaçlı yazılım enjekte edilmiştir. Bu yasadışı eklentileri sitelerinize yüklemek, kapıları açmak ve bilgisayar korsanlarını sitenize davet etmek gibidir. Bir saldırgan, az önce yüklediğiniz temadaki/eklentideki kötü kodu kullanarak sitenize girmeyi başardığında, sitenizi spam e-postalar göndermek veya diğer sitelere saldırmak gibi bir dizi kötü amaçlı faaliyet yürütmek için kullanır. Ayrıca, sitenizde kötü amaçlı yazılım olması, sitenizi güvenliği ihlal edilmiş olarak kabul ederek, barındırma sağlayıcılarının sitenizi kara listeye almak için Google gibi hesap arama motorlarını askıya almasına ve AdWords hesabınızı askıya almasına neden olur.

Bu nasıl düzeltilir: ThemeForest , Elegant Themes gibi popüler pazar yerlerinden orijinal temalar ve eklentiler satın alın . İndirim döneminde temalar ve eklentiler çok daha düşük fiyatlarla satın alınabilir. Seçtiğimiz temanın veya eklentinin resmi web sitelerine bakılabilir.

4. Kullanılmayan Eklentileri ve Temaları Sitenizde Tutma

Kullanılmayan temaları ve eklentileri web sitesinde tutmak, bilgisayar korsanlarının sitenize sızması için bir fırsat sağlar. Birçok site sahibi, güvenlik avantajlarından habersiz oldukları için etkin olmayan eklentileri güncellemez. Güncellemeler onlara yeni özellikler getiriyor ve eklentiyi kullanmadıkları için yeni özelliklere ihtiyaç duymadıklarını düşünüyorlar. Bir güvenlik açığını gidermek için bir güncelleme yayınlandıysa, siz onu güncelleyene kadar siteniz risk altında kalır.

Bu nasıl düzeltilir: Buradaki tek çözüm, etkin olmayan WordPress temalarından ve eklentisinden kurtulmaktır. İşte nasıl:

Sitenizin WordPress panosundan 'yüklü eklentiler' sayfasını ziyaret edin.

Sayfada 'etkin değil' diye bir seçenek var. Bunu seçin.

Etkin olmayan eklentileri silebileceğiniz başka bir sayfaya götürecektir. Ancak 'etkin değil' düğmesine basmadan önce, yakın gelecekte söz konusu eklentiye ihtiyaç duymayacağınızdan emin olmanızı öneririz.

5. Kötü Web Sitesi Giriş Uygulamalarını Kullanma

İki yaygın ama yine de çok tehlikeli oturum açma uygulaması, tahmin etmesi kolay oturum açma kimlik bilgilerini kullanmak ve site kullanılmadığında oturumu kapatmamaktır. Saldırganlar, bir siteyi hacklemek için hatırlanması kolay kullanıcı adı (yönetici gibi) ve şifre (şifre123 gibi) kombinasyonu kullanarak sitenize giriş yapmaya çalışan botları programlar. Bir siteyi hacklemenin bu tuhaf yöntemine kaba kuvvet saldırısı denir.

Bu nasıl düzeltilir: Benzersiz bir kullanıcı adı ve parola kullanmanız önerilir (okunması önerilir – WordPress oturum açma sayfası koruma kılavuzu). Buradaki bir dezavantaj, benzersiz kimlik bilgilerinin hatırlanmasının zor olmasıdır. Bu nedenle, bu kimlik bilgilerini taşıyan bir belge bulundurmanız gerekir. Yetkisiz erişimi önlemek için belgenin şifrelendiğinden emin olun.

6. Her Kullanıcıya Yönetici Erişimi Verme

Her kullanımı bir yönetici yapmak, özellikle site sahibinin kişisel olarak tanımadığı çok sayıda kullanıcının bulunduğu web siteleri için kötü bir fikirdir. WordPress, site sahiplerinin kullanıcılara şu rolleri atamasına izin verir - Yönetici, Editör, Yazar, Katkıda Bulunan, Abone, SEO Yöneticisi, SEO Editörü. Bir sitenin tüm alanlarına erişim izni verdiği için herkesi Yönetici yapmak risklidir.

Kullanıcılara sitenin tamamına sınırsız erişim vermek, OurMine (bir bilgisayar korsanı grubu) tarafından saldırıya uğrayan TechCrunch'ta (popüler bir teknoloji sitesi) bu durumda görüldüğü gibi, istismara yol açar. OurMine, bir kullanıcı hesabına erişim sağladıktan sonra sitede paylaşımda bulunabildi. TechCrunch saldırıya uğradıktan sonra okuyucuların uyandığı ana sayfanın ekran görüntüsü:

Bu nasıl düzeltilir: WordPress'teki her kullanıcı rolü, sitenin yalnızca belirli alanlarına erişime izin verir. Bir kullanıcının sitenizde ne yapması gerektiğine bağlı olarak bu rolleri atayabilirsiniz. Bu ilkeye uymak, yalnızca güvendiğiniz kişilerin sitenin tamamına erişebilmesini sağlar. Ve bir şeyler ters giderse, kimin sorumlu olduğunu biliyorsun.

7. Yedek Almamak

Yedeklemeler güvenlik ağınızdır. Birinin yerinde olmaması, felaket geldiğinde başınızı belaya sokabilir. Siteniz saldırıya uğrarsa ve gönderiler silinirse, yedekleri kullanarak sitenizi kolayca normale döndürebilirsiniz. Ancak herhangi bir yedekleme hizmetinin kullanılması tavsiye edilmez çünkü birçok yedekleme hizmeti verimli değildir. Örneğin, birçok yedekleme eklentisi, yedeklemeleri web sunucularınızda depolar. Bazıları yedekleri tek bir yerde saklar. Web sitesi sunucunuz, yedekleri depolamak için ideal bir yer değildir çünkü sunucu, düzenli işlemler gerçekleştirmenin yanı sıra yedekleme yükünü de üstlenir. Site hızınızı düşürür. Yalnızca bir yedeği depolamak, o yedeği kaybederseniz, başvurabileceğiniz başka yedeğiniz olmayacağı anlamına gelir.

Bu nasıl düzeltilir: Bir yedekleme hizmeti seçmeden önce, yedekleri nerede depoladıklarını görmek için özellikleri kontrol edin. Doğru bilgiyi bulamazsanız, onlara yedekleri nerede sakladıkları ve birden fazla yerde saklayıp saklamadıkları hakkında doğrudan sorular soran bir e-posta gönderin. Güvenilir yedeklemelerin nasıl seçileceği hakkında daha fazla bilgi için bu gönderiye göz atın .

8. Güvenlik Hizmeti Kullanmamak

Pek çok web sitesi sahibi, özellikle de daha az trafik çeken küçük web sitelerine sahip olanlar, sitelerinin önemsiz olduğunu ve bu nedenle bir bilgisayar korsanının dikkatini çekmeyeceğini düşünür. Ancak bilgisayar korsanlarının bugün küçük bir web sitesine saldırmak için pek çok nedeni var . Diğer şeylerin yanı sıra dosyaları depolamak veya istenmeyen e-postalar göndermek için kullanıyor olabilirler. Aslında birçok bilgisayar korsanlığı grubu, küçük sitelere saldırmayı tercih eder çünkü küçük web siteleri güvenlik konusunda gevşektir ve bu nedenle saldırıya uğramaları daha kolaydır. Botların bir siteye girmek için doğru kullanıcı adını ve kimlik bilgilerini tahmin etmeye çalıştığı devasa kaba kuvvet saldırıları başlatırlar . En çok tercih edilen bilgisayar korsanlığı tekniklerinden biri, savunmasız eklentilerden ve temalardan yararlanmayı içerir.

Bu nasıl düzeltilir: Standart bir güvenlik hizmeti, bilgisayar korsanlarının sitenize kaba kuvvetle girmesini önlemeye yardımcı olan WordPress Güvenlik Duvarı gibi temel güvenlik özellikleri sunar.

Sitenizi düzeltmek için yukarıdaki önlemleri almanın yanı sıra, birkaç güvenlik önlemi daha alabilirsiniz. Bu kılavuzu izlemenizi şiddetle öneririz - WordPress Sitenizi wp-config.php ile Güvenceye Alın.

Eklentide veya temalarda ve hatta çekirdekte bir güvenlik açığı ortaya çıktığında, geliştiriciler bir güncelleme yoluyla bir yama yayınlar. Bu nedenle, tüm temalarınızı, eklentilerinizi ve WordPress çekirdeğini güncel tutmak iyi bir güvenlik uygulamasıdır. MalCare – en iyi WordPress güvenlik eklentilerinden biri, MalCare panosundan eklentileri, temaları ve WordPress çekirdeğini güncellemenizi sağlayan Site Yönetimi özelliği sunar. Bakımı gereken birçok web sitesi olan kişiler için özellikle yararlıdır. Her web sitesine giriş yapmak ve temaları, eklentileri ve çekirdeği güncellemek zaman alıcı bir iştir. MalCare gibi hizmetler, site sahiplerinin iyi güvenlik uygulamalarını takip etmesini kolaylaştırır.

Güvenlik duvarı ve site yönetiminin yanı sıra bir güvenlik eklentisi de günlük tarama hizmetleri sunar. Web sitenize kötü amaçlı yazılım bulaşmışsa eklenti, saldırıya uğramış web sitenizi onarmanıza yardımcı olur. Web sitenizin güvenliğini tam olarak yönetmek için size doğrudan WordPress web sitesi bakım hizmetleri sağlayan bir ekiple daha rahat hissetmek istiyorsanız , WP Buffs harika bir seçenek olacaktır. İster 1 ister 1000 web sitesi yönetiyor olun, güncellemeler, güvenlik, web sitesi hızı ve devam eden düzenlemelerle ilgilenirler!

Sırada ne var?

İyi bir WordPress güvenlik eklentisi kullanmak, güvenli bir web sitesi oluşturmanın veya WordPress'i güvende tutmanın ilk adımıdır. WordPress sitenizi nasıl güvenli hale getirirsiniz.

Geçmişte bu hatalardan herhangi birini yaptıysanız, umarız gönderi, neyi yanlış yaptığınızı ve bunları nasıl düzelteceğinizi görmenize yardımcı olmuştur. Bu WordPress güvenlik hataları ve düzeltmeleri ile ilgili sorularınızı memnuniyetle karşılıyoruz. Lütfen bize ulaşın sayfamızdan bizimle iletişime geçin .