Açık ara en popüler içerik yönetim sistemi olan WordPress, milyonlarca farklı web sitesine güç sağlar. Açık kaynaklı yazılımdır, bu da kaynak kodunun herkese açık olduğu ve yeterli bilgi birikimine sahip hemen hemen herkes tarafından değiştirilebileceği anlamına gelir.

WordPress eklentileri ve temaları satın alınabilse de, on binlerce tanesi ücretsiz olarak kullanılabilir. Tahmin edilebileceği gibi, bu olumsuz yanları olmadan gelmez. Peki WordPress siteleri ne kadar savunmasız? Temaları ve eklentileri ne olacak? Ve sitelerinizi nasıl koruyabilirsiniz?

WordPress Ne Kadar Hassastır?

Şubat 2022'de, Jet paketi satıcı AccessPress Themes'in (Erişim Anahtarları olarak da bilinir) popüler temalarının ve eklentilerinin güvenliğinin ihlal edildiğini keşfetti. Araştırmacılar, güvenliği ihlal edilmiş bir web sitesinde şüpheli kod keşfettikten sonra güvenlik açığını kazara tespit ettiler. Daha fazla araştırma üzerine, çoğu AccessPress eklentisini fark ettiler ve her tema aynı kodu içeriyordu.

Daha sonra, AccessPress Temalarının Eylül 2021'de bilgisayar korsanlarının bir arka kapı enjekte ettiği bir siber saldırıya kurban gittiği ortaya çıktı.

instagram viewer
satıcının eklentilerinde ve temalar.

AccessPress sonunda ürünlerini güncelledi ve temizledi, ancak muhtemelen binlerce kullanıcı uzun bir süre saldırılara karşı savunmasız kaldı.

WordPress Eklentileri ve Temalarında Güvenlik Açıkları Var mı?

Jetpack'in bulguları, WordPress'in ne kadar savunmasız olabileceğinin altını çiziyor. Ama bu izole bir vaka değildi.

Örneğin Mart 2021'de, kelime çiti iki WordPress eklentisinde, başarıyla kullanılırsa bir saldırganın bir web sitesini ele geçirmesine izin verecek büyük güvenlik açıklarını açıkladı. Güvenlik açıkları Elementor ve WP Super Cache eklentilerinde keşfedildi. Elementor, yedi milyondan fazla web sitesinde kullanılan bir web sitesi oluşturucuyken, WP Super Cache popüler bir önbelleğe alma eklentisidir.

olarak Şubat 2022'de Arama Motoru Dergisi ABD Hükümeti Güvenlik Açığı Veritabanı ve WordPress güvenlik araştırmacıları, düzinelerce WordPress eklentisindeki ciddi güvenlik açıkları konusunda uyardı.

Bu eklentilerden dokuzu 1,3 milyondan fazla web sitesinde kullanıldı: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Güvenlik ve Kaba Kuvvet Güvenlik Duvarı, WP İçerik Kopyalama Koruması ve Sağ Tıklama Yok, WordPress için Veritabanı Yedeklemesi, GiveWP, İndirme Yöneticisi ve Gelişmiş Veritabanı Temizleyici.

WordPress Sitenizin Güvenliğini Nasıl Sağlarsınız?

Bu güvenlik açıklarının keşfedildikten sonra her zaman düzeltildiğini veya kaldırıldığını varsayabiliriz, ancak aslında durum böyle değil.

Araştırma yama yığını 2021'in 2020'ye kıyasla bildirilen WordPress güvenlik açıklarında yüzde 150'lik bir artış gördüğünü ve bu güvenlik açıklarının yüzde 29'unun yama almadığını tespit etti. Patchstack ayrıca, bildirilen kusurların yalnızca yüzde 0,58'inin WordPress çekirdeğinde olduğunu buldu; bu, güvenlik açıklarının neredeyse her zaman eklentilerde bulunduğu anlamına gelir.

Kullandığınız tüm eklentilerin ve WordPress çekirdeğinin güncel olduğundan emin olmak çok önemlidir.

Bir eklenti indirip kurmadan önce, önce biraz araştırma yaptığınızdan emin olun. Eklentinin kaç kez yüklendiğini kontrol edin, çevrimiçi incelemeleri okuyun, en son ne zaman güncellendiğini görün ve en son WordPress çekirdeği ile test edilip edilmediğini kontrol edin. Bu yalnızca birkaç dakika sürecektir, ancak sizi yolun aşağısındaki pek çok beladan kurtarabilir.

Alternatif olarak, kullanabilirsiniz WPScan, oldukça basit ve verimli bir WordPress güvenlik açığı tarayıcısıdır. Bu araç, bir eklentiyi adıyla aramak için de kullanılabilir. Ücretsiz sürüm, günde en fazla 25 API isteğine izin verir.

Neyse ki, bazı eklentiler aslında WordPress sitenizi davetsiz misafirlerden korumak için tasarlanmıştır. Login LockDown, Wordfence, BulletProof Security en iyilerinden bazıları WordPress güvenlik eklentileri bugün. Login LockDown tamamen ücretsizdir, diğer ikisi ise temel, ücretsiz modellere sahiptir.

WordPress Güvenlik İpuçları

WordPress ne kadar savunmasız olursa olsun, siber saldırıları önleme ve savuşturma söz konusu olduğunda, temel güvenlik önlemlerinin alınması uzun bir yol kat eder.

Benzersiz oturum açma ayrıntılarını ve İki Faktörlü Kimlik Doğrulamayı kullanmak, tüm yazılımları güncel tutmak, tema adlarını ve oturum açma ayrıntılarını gizlemek WordPress güvenlik hijyeninizin temeli olmalıdır.

5 Basit Adımda WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz?

Sonrakini Oku

PaylaşmakCıvıldamakPaylaşmakE-posta

İlgili konular

  • Güvenlik
  • internet
  • Çevrimiçi Güvenlik
  • Wordpress Eklentileri
  • Wordpress
  • Wordpress Temaları

Yazar hakkında

Damir Mujezinovic (23 Makale Yayınlandı)

Damir, çalışmaları siber güvenlik üzerine odaklanan serbest yazar ve muhabirdir. Yazmanın dışında kitap okumaktan, müzikten ve filmden hoşlanıyor.

Damir Mujezinovic'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın