WordPress Eklentileri ve Temalarında Güvenlik Açıkları Olabilir: Sitenizin Güvenliğini Nasıl Sağlarsınız?
WordPress güvenli olabilir, ancak blogunuzun potansiyelini en üst düzeye çıkarmak için kullanılan eklentiler siber saldırılara yol açabilir. İşte bilmeniz gerekenler.
Açık ara en popüler içerik yönetim sistemi olan WordPress, milyonlarca farklı web sitesine güç sağlar. Açık kaynak kodlu bir yazılımdır, yani kaynak kodunun herkese açık olduğu ve yeterli bilgi birikimine sahip hemen hemen herkes tarafından değiştirilebileceği anlamına gelir.
WordPress eklentileri ve temaları satın alınabilse de, on binlerce tanesi ücretsiz olarak kullanılabilir. Tahmin edilebileceği gibi, bu dezavantajları olmadan gelmez. Peki WordPress siteleri ne kadar savunmasız? Temalara ve eklentilere ne olacak? Ve sitelerinizi nasıl koruyabilirsiniz?
İçindekiler
WordPress Ne Kadar Hassastır?
Şubat 2022’de Jetpack, satıcı AccessPress Themes’in popüler temalarının ve eklentilerinin güvenliğinin ihlal edildiğini keşfetti. Araştırmacılar, güvenliği ihlal edilmiş bir web sitesinde şüpheli kod keşfettikten sonra güvenlik açığını kazara tespit ettiler. Daha fazla araştırma üzerine, çoğu AccessPress eklentisini fark ettiler ve her tema aynı kodu içeriyordu.
Daha sonra, AccessPress Temalarının Eylül 2021’de bilgisayar korsanlarının satıcının eklentilerine ve temalarına bir arka kapı enjekte ettiği bir siber saldırıya kurban gittiği ortaya çıktı.
AccessPress sonunda ürünlerini güncelledi ve temizledi, ancak muhtemelen binlerce kullanıcı uzun bir süre saldırılara karşı savunmasız kaldı.
WordPress Eklentileri ve Temalarında Güvenlik Açıkları Var mı?
Jetpack’in bulguları, WordPress’in ne kadar savunmasız olabileceğinin altını çiziyor. Ama bu izole bir vaka değildi.
Örneğin Mart 2021’de Wordfence, iki WordPress eklentisinde, başarıyla kullanılırsa bir saldırganın bir web sitesini ele geçirmesine izin verecek büyük güvenlik açıklarını açıkladı. Güvenlik açıkları Elementor ve WP Super Cache eklentilerinde keşfedildi. Elementor, yedi milyondan fazla web sitesinde kullanılan bir web sitesi oluşturucu iken, WP Super Cache popüler bir önbelleğe alma eklentisidir.
Şubat 2022’de, Search Engine Journal’ın bildirdiği gibi, Amerika Birleşik Devletleri Devlet Güvenlik Açığı Veritabanı ve WordPress güvenlik araştırmacıları, düzinelerce WordPress eklentisindeki ciddi güvenlik açıkları konusunda uyardı.
Bu eklentilerden dokuzu 1,3 milyondan fazla web sitesinde kullanıldı: Üstbilgi Altbilgi Kodu Yöneticisi, Reklam Yerleştirici—Ad Manager ve AdSense Reklamları, Popup Builder, Kötü Amaçlı Yazılımdan Koruma ve Brute-Force Güvenlik Duvarı, WP İçerik Kopyalama Koruması, WordPress için Veritabanı Yedekleme, GiveWP, İndirme Yöneticisi ve Gelişmiş Veritabanı Temizleyici.
WordPress Sitenizin Güvenliğini Nasıl Sağlarsınız?
Bu güvenlik açıklarının keşfedildikten sonra her zaman düzeltildiğini veya kaldırıldığını varsayabiliriz, ancak aslında durum böyle değil.
Patchstack’ten yapılan araştırma , 2021’de bildirilen WordPress güvenlik açıklarında 2020’ye kıyasla yüzde 150’lik bir artış gördüğünü ve bu güvenlik açıklarının yüzde 29’unun yama almadığını buldu. Patchstack ayrıca, bildirilen kusurların yalnızca yüzde 0,58’inin WordPress çekirdeğinde olduğunu buldu; bu, güvenlik açıklarının neredeyse her zaman eklentilerde bulunduğu anlamına gelir.
Kullandığınız tüm eklentilerin ve WordPress çekirdeğinin güncel olduğundan emin olmak çok önemlidir.
Bir eklenti indirip kurmadan önce, önce biraz araştırma yaptığınızdan emin olun. Eklentinin kaç kez yüklendiğini kontrol edin, çevrimiçi incelemeleri okuyun, en son ne zaman güncellendiğini görün ve en son WordPress çekirdeği ile test edilip edilmediğini kontrol edin. Bu yalnızca birkaç dakika sürecektir, ancak sizi yolun sonunda pek çok beladan kurtarabilir.
Alternatif olarak, oldukça basit ve verimli bir WordPress güvenlik açığı tarayıcısı olan WPScan’ı kullanabilirsiniz. Bu araç, bir eklentiyi adıyla aramak için de kullanılabilir. Ücretsiz sürüm, günde en fazla 25 API isteğine izin verir.
Neyse ki, bazı eklentiler aslında WordPress sitenizi davetsiz misafirlerden korumak için tasarlanmıştır. Login LockDown, Wordfence, BulletProof Security günümüzün en iyi WordPress güvenlik eklentilerinden bazılarıdır. Login LockDown tamamen ücretsizdir, diğer ikisi ise temel, ücretsiz modellere sahiptir.
WordPress Güvenlik İpuçları
WordPress ne kadar savunmasız olursa olsun, siber saldırıları önleme ve savuşturma söz konusu olduğunda, temel güvenlik önlemlerinin alınması uzun bir yol kat eder.
Benzersiz oturum açma ayrıntılarını ve İki Faktörlü Kimlik Doğrulamayı kullanmak, tüm yazılımları güncel tutmak, tema adlarını ve oturum açma ayrıntılarını gizlemek WordPress güvenlik hijyeninizin temeli olmalıdır.
