İnteraktif Tasarım

WordPress Siteniz Ne Kadar Güvenlidir?

Teknoloji ile ilgili temel sorunlardan biri, karşılaştığımız güvenlikteki sık gecikmelerdir; Çok sayıda bilgi günlük olarak çalınır ve daha fazla bilgi çalmak, istenmeyen mesajlar göndermek, arka kapıları sistemlere açmak ve hatta bazen bilgisayarlarımıza zarar vermek için kullanılır.

WordPress tarafından bilinmeyen bu sorunların hiçbiri, şaşırtıcı sayıda site, kendi kişisel kazançları için toplumu istismar eden taciz suçluların kurbanı haline gelmiştir.

Bu tehdidi aşabilmeniz için, bir sonraki kurban olmanın nasıl önleneceğine dair bazı iyi araçlar ve ipuçları topladık. Ya da zaten bir kurban olmak için yeterince şanssızsanız, nasıl savaşacağınızı ve kurulumunuzu nasıl düzelteceğinizi öğrenin.

Exploit saldırıları

Bunu duymuş olabilirsiniz, detayları bile biliyor olabilirsiniz, ancak problemi bulamayanlar için: bir istisna, mevcut koddaki bir zayıflıktan yararlanmak için dağıtılan kötü amaçlı bir kod parçasıdır.

timthumb bu tür bir saldırıya karşı duyarlıydı; Kullanıcıların farklı sitelerden resim yüklemelerine ve serbestçe, saklanan görüntülere bir önbellek dizininde erişmelerine olanak tanıyan fonksiyonlarından biri, böylece Timthumb'un yeniden yeniden işlemesi gerekmez. Bu işlev, sunucuya dosya yükleyen bir bilgisayar korsanı tarafından, WordPress kurulumundan diledikleri kadar kaynağa erişmelerine izin vererek kullanılabilir.

Tam olarak aynı sorun etkilendi Uploadify , kullanıcıların dosya yüklemesine izin veren bir eklentidir. Uygun bir şekilde kontrol edilmediğinde, eklenti izinli korsanlara erişim izinlerini vermek için PHP betikleri yükleyerek siteye ücretsiz erişime izin verdi.

Maintenance

Bakım görüntüsü Shutterstock üzerinden.

Bu davalardaki sorun, istismar saldırılarının çoğunda olduğu gibi, WordPress değil, eklentilerin kendileriydi. Çözüm basittir, eklentilerinizi güncel tutun ve olası sorunları çözmek için geliştiricilere karşılaştığınız hataları bildirin.

SQL enjeksiyonları

WordPress kurulumunun kendisi problemlere karşı bağışık değildir. Versiyona bağlı olarak, SQL enjeksiyonu büyük bir baş ağrısı olabilir. Bir SQL enjeksiyonu, bir saldırganın SQL kodunu bir web sitesi formu veya komut dosyası üzerinden geçirmesini ve SQL kodunun 'doğru' ayrışmasını ve veri tabanından veri almasını umar. Bu veriler e-posta adresleri olabilir, ancak büyük olasılıkla, kullanıcılara diğer saldırılar için daha fazla erişim hakkı veren kullanıcı adları ve şifreler olacaktır.

SQL saldırılarının bu kadar rahatsız edici olmasının nedeni, bunlarla mücadele etmek için veritabanınızı sık sık yedeklemeniz gerektiğidir. Tercihen günde en az bir kez.

Mainenance

Bakım görüntüsü Shutterstock üzerinden.

Bunu önlemek için, Apache'yi kullanarak dosyalarınızı .htaccess dosyanızda böyle bir kodla güvenli hale getirmeyi deneyebilirsiniz: 

RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp:  [NC,OR]RewriteCond %{QUERY_STRING} http:  [NC,OR]RewriteCond %{QUERY_STRING} https:  [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L]

Bu bir amatör çıkartacak, ancak profesyonel bir hacker, istismar edilecek başka bir güvenlik deliği bulacaktır. Neyse ki çoğu saldırı, PHP r57 veya Shell gibi komut dosyaları kullanarak yeni başlayanlar veya spam gönderenler tarafından gerçekleştiriliyor. Bu saldırıları azaltmak, uğraşmanız gereken sorun miktarını büyük ölçüde azaltacaktır.

Varsayılan kullanıcı

Her sistemdeki en büyük güvenlik deliği son kullanıcıdır. Oluşturduğunuz bir şifrenin ne kadar karmaşık olduğu önemli değil. Aslında şifre ne kadar karmaşıksa, güvenlik riski de o kadar kötüsü; çünkü çok karmaşık şifreler bir yere kaydedilmelidir. Kullanıcılar genellikle parolalarını .txt veya .doc dosyalarında bilgisayarlarına kaydeder ve sistem trojan gibi virüs dosyalarını kullanarak kimlik avı saldırılarına açık bırakır.

Bir şifreyi saklamak için tek güvenli yer kendi başınızın içinde.

Ancak, şifrenizi sadece kendi belleğinizde saklasanız bile, kaba kuvvet saldırılarından hala emin değilsiniz. Bir kaba kuvvet saldırısı, tekrar tekrar giriş yapma girişimi ile şifrenizi 'tahmin etmeye' çalışacaktır. 'Aaaaaa' ile başlayıp 'aaaaab' ve '000000' e ulaşana kadar devam edebilir. Bu işlem tek bir bilgisayarla sınırlı değildir, genellikle yüzlerce makine erişim isteyen potansiyel parolalarla çalışır.

Brute-force saldırılarını ele almanın bir yolu, bir kullanıcı için bir saatliğine erişimi engellemeden önce yalnızca birkaç giriş denemesine izin verecek bir oturum açma sınırlayıcısı kurmaktır. Bu, saldırganın girmesi gereken şans sayısını azaltır. Bu konuda size yardımcı olabilecek birkaç WordPress eklentisi vardır: Limit Giriş Denemeleri , Daha İyi WP Güvenliği ve Giriş Güvenlik Çözümü .

Son olarak, kullanıcı isimlerine dikkat edin. WordPress'in varsayılan kullanıcı adı 'Yönetici'dir ve eğer böyle bir şekilde bırakırsanız, hacker'ın sitenize erişmek için yapması gereken iş miktarını yarıya düşürürsünüz. Eğer kullanıcı adınızı WordPress'i yüklerken değiştirmediyseniz şimdi yapın. Sadece hesabınıza giriş yapın, istediğiniz kullanıcı adıyla yeni bir hesap oluşturun, yönetici izinlerini verin ve yönetici hesabını silin.

Cleanup

Temizleme resmi Shutterstock üzerinden.

Doğrudan Erişim

WordPress sitelerimizin sahip olabileceği bir başka sorun da siteye giriş sürecini basitleştirerek giriş sayfasına doğrudan erişim sağlamaktır.

Şifrelerinizi güvenceye almak en sık karşılaşılan sorun olsa da, kötü niyetli bir kullanıcı giriş sayfasını bulamıyorsa çaldıkları herhangi bir şeyi kullanamaz. Buna en basit çözüm, bir eklenti kullanmaktır. Girişi Gizle giriş sayfasının yerini gizlemek için

WordPress kurulumumuzdaki belirli dosyalara, uygun şekilde güvenli değilse de erişilebilir. .Htaccess dosyasına bazı kurallar ekleyerek bu gevşek uçları temizleyebiliriz. 

Options All -IndexesOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from all

Varsayılan önek

Olması gereken daha çok bilgiyi, hacker'ımız olarak verdiğimiz, başarılı olmaları için ne kadar kolay olduğu açık olmalıdır.

Varsayılan WordPress tablo öneki 'wp_'. Onlara neden bunu vermek isterdik? Bu öneki, 'oijrr58_' gibi, tahmin etmek daha zor bir şeye değiştirelim, örneğin hayatlarını daha da zorlaştıracak ve sitenizin güvenliğini koruyacak şansınızı artıracaktır.

Yeni kurulumlar için, bu bir destekleyici değil çünkü kurulum betiği bir önek için bizi soruyor. Eski siteler için iki seçeneğiniz vardır, ya değişikliği manuel olarak yapabilirsiniz (sadece çok zamanınız varsa bunu deneyin ve ne yaptığınızı bildiğinizden emin olun) ya da bir eklenti kullanın. Daha İyi WP Güvenliği Sizin için bununla ilgilenecek.

Çok geç…

Asla geç Değil. Her zaman hackerlarla savaşabilir ve sürekli bir kurban olmaktan kendini alamazsın.

Sitenizin virüs bulaşmış olup olmadığından emin değilseniz size söyleyecek araçlar var. Sucuri SitesiCheck örneğin sitenizi tarar ve virüs bulaşırsa, sorunu gidermek için hangi adımları atmanız gerektiğini size bildirir.

Hazardous

Tehlikeli görüntü Shutterstock üzerinden.

Temel düzeltmeler

Almak için bazı temel adımlar şunlardır:

  • Siteyi ve veritabanını yedekleyin, saldırıya uğramayın veya içeriğinizi kaybetmek istemezsiniz.
  • Resimlerinizde olduğu gibi veritabanınızda olmayan öğelerin kopyalarını oluşturun.
  • En son WordPress sürümünü indirin.
  • Tüm eklentilerin güncel olduğundan emin olun, hangi sürümlerin bilinen sorunları çözdüğünü kontrol edin.
  • Tüm şablonların güncel olduğundan emin olun, hangi sürümlerin bilinen sorunları çözdüğünü kontrol edin.
  • WordPress dizinindeki her şeyi silmek için bir FTP istemcisi veya cPanel kullanın.
  • İndirdiğiniz yeni dosyaları yükleyin.
  • Veritabanı yükseltmesini çalıştırın.
  • Şifreni değiştir, hackerların tekrar içeri girmesine izin vermek istemezsin.
  • Son olarak, yapılan tüm hasarları düzeltmek için her gönderiyi kontrol edin.

R57 betikleri mücadele

r57 saldırganın bu yeteneklere sahip olmasına rağmen, bir saldırganın çok çeşitli yetenekler sunan bir PHP betiğidir, kabuk web sunucumuzda çalışıncaya kadar işe yaramaz, dolayısıyla aşağıdaki komutları kullanarak çalışmasını engelleyebiliriz: 

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Bu komut, WWW klasörünüzde bulunan PHP dosyalarını arayacaktır, daha sonra bulunan dosyalar içinde dosya adı ve içeriğinde herhangi bir r57 sözünü arayacaktır. Daha sonra virüslü dosyayı siler. 

find /var/www/  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Bu kod, .php dosyaları yerine TXT dosyaları haricinde aynıdır.

Bu kodların Linux için olduğunu unutmayın, bunları Windows veya MacOS'ta denemeyin ve izin istemeden dosyaları sileceklerinden çok zarar verici olduklarını unutmayın.

Gizlenmiş kod

Temalar içinde endişe edilmesinin başlıca nedeni gizlenmiş koddur çünkü kötü amaçlı kod temalar içinde bulmak zorlaşır. Kullanıcıları başka sitelere yönlendirmekten, SEO'nuzu batırmaya kadar her türlü zarar verilebilir.

Bu tür bir sorunla mücadelede anahtar bir silahtır. Tema Orijinallik Denetleyicisi . Bu eklenti sadece şüpheli hatların kodlarını kontrol etmekle kalmayacak, aynı zamanda statik linkleri ve baz64'te üretilen ve kodu göze çarpması zor olan kod gibi gizli kodları da tespit edecektir.

Beni bir kere kandır, utanman…

Geçmişte yakalandığından dolayı, oynamaya devam etmeniz gerektiği anlamına gelmez.

Daha fazla kendinizi güvenceye almak için bu adımları atmayı düşünün:

  • Sadece kesinlikle gerekli olan yerlerde PHP'ye izin verin.
  • Web sunucunuzun istemcilerin .htacess dosyasını değiştirmesine izin vermediğinden emin olun.
  • Bağlantı noktası 25'te giden postaları yalnızca kök ve e-posta sunucusu kimliğine kısıtlayacak bir güvenlik duvarı uygulayın.
  • Sitenize bir uygulamayı kullanarak yüklemeleri izleyin. ConfigServer eXploit Tarayıcı .
Repair

Resmi onar Shutterstock üzerinden.

En sonunda

WordPress güvenliği, site güvenliği kadar önemlidir. Siz ve kullanıcılarınızın spam, kötü amaçlı yazılım ve kimlik avı saldırılarına karşı korunmalarını sağlamalısınız. Ancak, ilk savunma hattının masaüstü makinenizdeki anti-virüs yazılımı olduğunu unutmayın.

WordPress güvenliğiyle ilgili sorunlarınız mı var? Sorunu nasıl çözdünüz? Yorumlarda bize bildirin.

The Shock Ailesi tarafından WDD için özel olarak yazılmış: bir web uzmanları ekibi ve WordPress Temaları Şok (Premium wordpress temaları), WP Tema Üreticisi (Harika bir wp tema yaratıcısı) ve DesignShock seful design sets). (u seful tasarım setleri).

wordpress güvenliği wordpress güncellemesi istismar saldırıları phishing saldırıları r57 betikleri sql enjeksiyonları tinthumb Uploadify