Teknobu

WORDPRESS SİTENİZİN HACKLENMESİNİN 10 NEDENİ

WORDPRESS SİTENİZİN HACKLENMESİNİN 10 NEDENİ

WORDPRESS SİTENİZİN HACKLENMESİNİN 10 NEDENİ

Saldırıya uğramış bir WordPress sitesi, evinizin soyulması kadar zararlıdır. İç huzurunuzu tamamen bozabilir ve çevrimiçi işinizi olumsuz yönde etkileyebilir. 

Bilgisayar korsanları neden WordPress sitelerini hedef alıyor? Cevap nispeten basit: WordPress bugünlerde web sitesi oluşturma için en büyük platformdur, bu nedenle saldırmak için daha büyük bir taban var; bu, çevrimiçi suçluların dikkatini çekiyor. 

Peki, bir saldırı web sitenizi nasıl etkileyebilir? 

Saldırının türüne bağlı olarak, web siteniz aşağıdakilerden herhangi birine maruz kalabilir:

  • Tamamen tahrif edilebilir;
  • Herhangi bir cihaza çok yavaş yüklenebilir veya çalışabilir;
  • Tamamen çökebilir ve arızalanabilir;
  • Gelen ziyaretçileri diğer şüpheli web sitelerine yönlendirilebilir;
  • Tüm değerli müşteri verilerinizi kaybedebilir.

Artık başarılı bir saldırının web sitenizi ve çevrimiçi işinizi nasıl etkileyebileceğini bildiğimize göre, WP saldırılarının arkasındaki en önemli 10 nedene bakalım ve bunları önleyelim.

1. Güvenli Olmayan Web Barındırıcısı 

Herhangi bir web sitesi gibi, WordPress de bir web barındırıcı veya sunucuda barındırılır. Ne yazık ki, çoğu site sahibi, seçtikleri web barındırıcısına fazla dikkat etmiyor ve bulabilecekleri en ucuzunu seçiyor. Örneğin, sunucu kaynaklarını sizinki gibi diğer birçok web sitesiyle paylaşan paylaşılan bir barındırma planında bir web sitesini barındırmak daha ekonomiktir.

Bu, sitenizi, paylaşılan sunucudaki herhangi bir web sitesine başarılı bir saldırı olarak bilgisayar korsanlarına karşı savunmasız hale getirebilir. Saldırıya uğramış tek bir site, genel sunucu bant genişliğini tüketebilir ve diğer tüm sitelerin performansını etkileyebilir.

Bu sorunu çözmenin tek yolu, güvenilir bir ana bilgisayar ve sanal veya özel bir sunucu seçmektir.

Uzman ipucu: Halihazırda paylaşılan bir barındırma planı kullanıyorsanız, ana bilgisayarlarınıza VPS barındırma sunup sunmadıklarını kontrol edin ve geçiş yapın.

2. Zayıf Parolaların Kullanımı

Zayıf şifreler, hesabınızı hedef alan başarılı kaba kuvvet saldırılarının arkasındaki ana nedendir. Bugüne kadar bile, kullanıcılar “şifre” veya “123456” gibi zayıf ve yaygın şifreleri kullanmaya devam ediyor; Eğer onlardan biriyseniz, web sitenizin başı belaya girebilir!

Diğer Yazımız :   WordPress'de Cron Etkinleştirme ve Devre Dışı Bırakma Nasıl Yapılır ?

Zayıf şifreleri tahmin etmek, bilgisayar korsanlarının maksimum hasarı verebilecekleri yönetici hesaplarına girmelerine izin verir.

Bu sorunu nasıl çözersiniz? Basit, tüm hesap kullanıcılarınızın (yönetici kullanıcılar dahil) oturum açma kimlik bilgileri için güçlü parolalar yapılandırdığından emin olun. En az 8 karakterden oluşan parolalar, büyük ve küçük harflerin, sayıların ve simgelerin karışımı olmalıdır. 

Daha fazla güvenlik için, güçlü parolaları otomatik olarak oluşturabilen ve saklayabilen bir parola yönetim aracı kurun.

Profesyonel ipucu: Tüm kullanıcılarınızın parolalarını sıfırlamak için bir eklenti kullanabilirsiniz.

3. Eski Bir WP Sürümü

Eski yazılımlar, web sitelerinin saldırıya uğramasının en yaygın nedenleri arasındadır. Ücretsiz indirmelerine rağmen, çoğu site kullanıcısı, sitelerinin çökmesine neden olan güncelleme korkusu nedeniyle sitelerini en son sürüme güncellemeyi ertelemektedir.

Bilgisayar korsanları,

eski bir sürümdeki herhangi bir güvenlik açığından veya hatadan yararlanır ve SQL Enjeksiyonları, WP-VCD Kötü Amaçlı Yazılım, SEO Spam ve web sitesinin başka bir siteye yönlendirilmesi gibi diğer önemli sorunlara neden olur.

Bu sorunu nasıl çözersiniz? Kontrol panelinizde bir güncellemeyle ilgili bir bildirim gördüğünüzde, sitenizi mümkün olan en kısa sürede güncelleyin.

Uzman ipucu:Yayındaki web sitenizin çökmesine neden olan güncellemelerden endişeleniyorsanız, önce güncellemeleri bir hazırlık sitesinde test edebilirsiniz.

4. Eski WP Eklentileri ve Temaları

Bir önceki noktaya benzer şekilde, bilgisayar korsanları da eski, kullanılmayan veya terk edilmiş eklentilerden ve web sitelerinde yüklü temalardan yararlanır. Mevcut 55.000’den fazla eklenti ve temayla, güvenli olmayan veya güvenilmeyen web sitelerinden bile bir eklenti veya tema yüklemek kolaydır. 

Ayrıca, birçok kullanıcı yüklenen eklentilerini / temalarını en son sürüme güncellemiyor veya güncellenmiş sürümü bulamıyor. Bu, bilgisayar korsanlarının işlerini yapmasını ve sitelere bulaşmasını kolaylaştırır.

Bu problemden nasıl kaçınıyorsunuz? Çekirdek WP sürümünde olduğu gibi, sitenizde yüklü eklentilerinizin / temalarınızın her birini düzenli olarak güncelleyin. Kullanılmayanların stoklarını alın ve çıkarın veya daha iyi alternatiflerle değiştirin.

Eklentilerinizi / temalarınızı barındırma hesabınızdan güncelleyebilirsiniz.

Uzman ipucu: Her hafta güncellemeleri çalıştırmak için zaman ayırmanızı öneririz. Bunları bir hazırlık sitesinde test edin ve ardından sitenizi güncelleyin.

5. Genel Yönetici Kullanıcı Adları 

Zayıf parolalara ek olarak, kullanıcılar ayrıca tahmin edilmesi kolay ortak kullanıcı adları oluşturur. 

Diğer Yazımız :   WordPress, bir web sitesi geliştirmek için iyi bir platform mu ? 2020

Bu, yönetici kullanıcılar için “admin”, “admin1” veya “admin123” gibi yaygın kullanıcı adlarını içerir. Genel yönetici kullanıcı adları, bilgisayar korsanlarının WP kurulumunuzda yönetici hesaplarına girmesini ve arka uç dosyalarını kontrol etmesini kolaylaştırır.

Bu problemden nasıl kaçınıyorsunuz? Tahmin edilmesi kolay bu tür kullanıcı adları kullanıyorsanız, bunları hemen benzersiz bir kullanıcı adıyla değiştirin. Bunu yapmanın en kolay yolu, barındırma hesabınızın kullanıcı yönetim aracıdır, önceki yönetici kullanıcıyı silerek ve benzersiz bir kullanıcı adıyla yeni bir yönetici kullanıcı oluşturarak.

İlk adım olarak, yönetici kullanıcınızın varsayılan kullanıcı adını değiştirin ve yönetici ayrıcalıklarına sahip kullanıcıları sınırlayın.

Profesyonel ipucu: WordPress’in sınırlı izinlere sahip 6 farklı kullanıcı rolü vardır. Yalnızca gerçekten ihtiyacı olan kullanıcılara yönetici erişimi verin.

6. Geçersiz Eklentilerin / Temaların Kullanımı 

Eklentilerin / temaların önemine geri dönersek, kullanıcılar popüler ve ücretli eklenti ve temaların geçersiz veya korsan kopyalarını satan birçok web sitesine erişebilir. Bunların kullanımı ücretsiz olsa da, genellikle kötü amaçlı yazılımlarla dolu. Web sitenizin genel güvenliğini tehlikeye atabilir ve bilgisayar korsanlarının yararlanmasını kolaylaştırabilirler. 

Korsan bir kopya olduğundan, geçersiz eklentilerin / temaların geliştirme ekibinden herhangi bir güncellemesi yoktur, bu nedenle herhangi bir güvenlik düzeltmesi olmayacaktır.

Bu sorunu nasıl çözersiniz? Basit, başlangıç ​​için yalnızca orijinal eklentileri ve temaları güvenilir web sitelerinden ve pazarlardan indirin.

Profesyonel ipucu: Ücretli veya premium eklentiler ve temalar için ödeme yapmak istemiyorsanız, aynı araçların sınırlı özelliklere sahip olan ancak yine de geçersiz sürümden daha güvenli olan ücretsiz bir sürümünü seçin. 

7. wp-admin Klasörüne Korumasız Erişim

Bilgisayar korsanları sitenizin kontrolünü ele geçirmek için genellikle kurulumunuzdaki wp-admin klasörünüze girmeye ve onu kontrol etmeye çalışır. Web sitesi sahibi olarak, wp-admin dizininizi korumak için önlemler almalısınız.

Wp-admin klasörünüzü nasıl koruyabilirsiniz? İlk olarak, bu kritik klasöre erişimi olan kullanıcı sayısını sınırlayın. Ek olarak, wp-admin klasörüne erişim için ek bir güvenlik katmanı olarak parola koruması için başvurun. Bunu, web barındırma hesabınızdaki cPanel’in “Parola Koruma Dizinleri” özelliğini kullanarak yapabilirsiniz.

Uzman ipucu: Bu düzeltmelerin yanı sıra, tüm yönetici hesaplarınız için İki Faktörlü Kimlik Doğrulama (veya 2FA) koruması da uygulayabilirsiniz.

8. SSL Olmayan Web Sitesi

Sitenize bir SSL sertifikası yükleyerek HTTP web sitenizi kolayca HTTPS’ye taşıyabilirsiniz. SSL (veya Güvenli Yuva Katmanı), web sunucunuz ile istemci tarayıcısı arasındaki herhangi bir veri aktarımını şifrelemek için güvenli bir moddur.

Diğer Yazımız :   Bilgisayar korsanlarının bildiği ancak çoğu insanın bilmediği bazı bilgisayar korsanları nelerdir?

Bu şifreleme olmadan, bilgisayar korsanları verileri ele geçirebilir ve çalabilir. Ayrıca, güvenli olmayan bir web sitesinin işletmeniz için birçok olumsuz etkisi olabilir – daha düşük SEO sıralaması, müşteri güveninin kaybı veya gelen trafikte düşüş.

Bu sorunu nasıl çözersiniz? Hosting şirketinizden veya SSL sağlayıcılarınızdan hızlı bir şekilde bir SSL sertifikası alabilirsiniz. Web sitenizden gönderilen ve alınan tüm verileri şifreler. 

Profesyonel ipucu: Let’s Encrypt gibi yerlerden ücretsiz bir SSL sertifikası alabilirsiniz , ancak bunlar yalnızca bir başlangıç ​​sitesi veya küçük bir site için yeterli olacak sınır koruması sağlar.

9. Güvenlik Duvarı Koruması Yok

Güvenlik duvarı korumasının olmaması, bilgisayar korsanlarının web sitesi güvenlik önlemlerini atlayıp arka uç kaynaklarına sızabilmesinin diğer bir yaygın nedenidir. Güvenlik duvarları, bilgisayar korsanlarına karşı son savunma hattıdır ve evinizde kurulu güvenlik alarmı gibi çalışır. Güvenlik duvarları, şüpheli (veya kötü) olanlar dahil çeşitli IP adreslerinden gelen web isteklerini izler. 

Geçmişte kötü amaçlı olduğu bilinen istekleri belirleyebilir ve engelleyebilir, böylece bilgisayar korsanlarının web sitenizin etki alanına kolay erişimini engelleyebilirler. Web uygulaması güvenlik duvarları, kaba kuvvet saldırıları, XSS ve SQL enjeksiyonları dahil olmak üzere çeşitli saldırıları engelleyebilir.

Uzman ipucu: Güvenlik duvarı, çok ihtiyaç duyulan güvenliği sağlar ve ilk savunma hattınızdır. Ancak bir kötü amaçlı yazılım tarayıcısının da yüklü olması önemlidir.

10. WordPress Güçlendirme Önlemlerinin Eksikliği

Bilgisayar korsanları, web sitesine yasa dışı olarak erişmek veya zarar vermek için genellikle bir WP kurulumundaki en savunmasız alanları veya zayıflıkları hedefler. WordPress ekibi, bu savunmasız alanları belirledi ve her web sitesi için önerilen 12 sertleştirme önleminin bir listesini hazırladı.

Bunlardan birkaçı şunları içerir:

  • Dosya Düzenleyicinin Devre Dışı Bırakılması;
  • Güvenilmeyen klasörlerde PHP’nin çalıştırılmasının engellenmesi;
  • Güvenlik anahtarlarının değiştirilmesi;
  • Eklenti kurulumlarına izin vermeme;
  • Etkin olmayan kullanıcıların otomatik oturum kapatma;

Bu sertleştirme önlemlerini nasıl uyguluyorsunuz? Bazı adımların anlaşılması kolay olsa da, diğerleri WordPress’in nasıl çalıştığına dair teknik uzmanlık gerektirir. 

Uzman ipucu: Sertleştirme önlemlerini kendi başınıza uygulayabilirsiniz. Bununla birlikte, bazı önlemler teknik uzmanlık gerektirir, bu nedenle bu durumlarda bir eklenti kullanmak çok daha kolay ve daha güvenlidir.

WORDPRESS SİTENİZİN HACKLENMESİNİN 10 NEDENİ
2 Beğen