Layman için 10 Actionable WordPress Güvenlik İpuçları

Yazan makale:
  • WordPress
  • Güncelleme: Haziran 06, 2018

İlk yirmi yıldan daha uzun bir süre önce kullanıma sunulduğundan beri, WordPress artık dünyanın en popüler içerik yönetim sistemi olarak adlandırılan büyümüştür (ve büyüdü). Bugün, dörtte birinden fazla mevcut web sitelerinin WordPress üzerinde çalıştırılır.

Yine de zamanın ötesinde, daha popüler olan şey, daha çok insan, hain yollarla bunun üzerinde kaldı. Sadece Microsoft Windows ve Çok sayıda kötü amaçlı yazılım, virüs ve diğer istismarlar Sadece bu özel bir işletim sistemini hedeflemek için tasarlanmıştır.

En Zararlılıklara Sahip 10 WordPress Sürümleri (kaynak). 2017'teki araştırma, Alexa Top 74 milyon web sitelerindeki WordPress'in 1 farklı sürümlerini tanımladı; Bu sürümlerin 11'i geçersiz - örneğin 6.6.6 sürümü (kaynak).

WordPress blogunuz neden değerli bir hedeftir?

Dünyanın neresinde bir hacker'ın WordPress blogunuzu kontrol etmek isteyeceğini merak ediyorsanız, aşağıdakileri içeren çeşitli nedenler vardır:

  • Spam e-postaları gizlice göndermek için kullanma
  • Verilerinizi posta listesi veya kredi kartı bilgileri gibi çalmak
  • Sitenizi daha sonra kullanabilecekleri bir botnet'e ekleme

Neyse ki, WordPress, kendinizi savunmanız için çok sayıda fırsat sunan bir platformdur. Çeşitli web sitelerini ve blogları kendim kurmaya ve yönetmeye yardımcı olduktan sonra, WordPress sitenizi güvenceye almak için yapabileceğiniz bazı temel şeyleri sizinle paylaşmak isterim.

Burada kullanabileceğiniz 10 işlem yapılabilir güvenlik ipuçları.

İpucu #1. İyi bir yönetici kullanıcı adı seçin

Deneyimlerden, çoğu site hack girişimi, üç ana kullanıcı adı seçeneği ile giriş yapmayı dener. İlk ikisi her zaman 'yönetici' veya 'yönetici', üçüncü ise genellikle alan adınıza dayanır.

Örneğin, siteniz crazymonkey33.com ise, bilgisayar korsanı 'crazymonkey33' ile giriş yapmayı deneyebilir.

İyi bir fikir değil.

İpucu #2. Güçlü bir şifre kullandığınızdan emin olun

Şimdiye kadar insanların muhtemelen kendi hesaplarını korumak için güçlü, karmaşık şifreler kullanmayı bileceklerini düşünürsünüz, ancak hala 'şifre'yi' düşünen birçok kişi var.

Güçlü bir şifre şunları içerecektir:

  • Büyük ve Alt büyük harfli karakterler
  • Alfasayısal ol (AZ ve az)
  • Özel bir karakter ekleyin (!, @, #, $, Vb.)
  • En az 8 karakter uzunluğunda

Parola ne kadar rasgele olursa, o kadar güvenli olur. Biriyle gelmekte sorun yaşıyorsanız, bu rastgele şifre üreticisini deneyin. https://passwordsgenerator.net/

İpucu #3. Bir reCaptcha uygulamak

WP blog'unuzdaki duvarlar kapalı.

reCaptcha, otomatik araçların bir sitede çalışmasını durdurmak için tasarlandı. Tabii ki, bugün hack araçları karmaşıklığı göz önüne alındığında, bunlar kolayca atlanabilir, ancak en azından bu ek güvenlik katmanı var.

Var reCaptcha eklentileri bir dizi Kutunuzda oldukça fazla çalışacak olan kurulumunuzla kullanabilirsiniz.

İpucu #4. İki Faktörlü Kimlik Doğrulama Kullan (2FA)

2FA, girişinizde doğrulama gerektiren bir kimlik doğrulama yöntemidir. Örneğin, kullanıcı adınızı ve şifrenizi girdikten sonra, sistem cep telefonunuza bir SMS gönderebilir veya kimliğinizi doğrulamak için girmeniz gereken bir kodla size e-posta gönderebilir.

Bu kimlik doğrulama yöntemi iyi bir koruma sağlar ve günümüzde birçok banka ve finans kuruluşu tarafından kullanılmaktadır. Yine, bu ihtiyaç ile kolayca karşılanabilir 2FA eklentisi.

MiniOrange'ın (bir 2FA eklentisi) aşağıdaki videoda WordPress girişiyle nasıl çalıştığını görün.

T

İpucu #5. Giriş URL'nizi yeniden adlandırın

Çoğu hacker, genellikle word.com/wp-admin gibi bir şey olan varsayılan wordpress giriş sayfası üzerinden giriş yapmaya çalışır.

Başka bir koruma katmanı eklemek için, giriş sayfası URL'sini, benzeri bir araçla hızlı ve zahmetsizce değiştirin. WPS Girişi Gizle.

İpucu #6. Wp-admin dizininizi koruyun

Ana makine dizininize ek bir güvenlik katmanı ekleyin.

Wp-admin dizini, WordPress kurulumunuzun kalbi. Ek bir koruma olarak, şifre bu dizini korur.

Bunu yapmak için, barındırma hesabı kontrol panelinize giriş yapmanız gerekir. Kullanıp kullanmadığınızı cPanel or Plesk, aradığınız seçenek 'Şifre Koruma Dizinleri'.

İpucu #7. Verileri şifrelemek için SSL kullan

HTTP ve HTTPS bağlantısı (Kaynak: Sucuri)

Sitenin kendisinin yanı sıra, siz ve sunucu arasındaki bağlantıyı da korumak isteyeceksiniz ve bu, iletişimlerinizi şifrelemek için SSL'nin devreye girdiği yerdir. Şifrelenmiş bir bağlantıya sahip olarak, bilgisayar korsanları, sunucunuzla iletişim kurduğunuzda verileri (şifreniz gibi) engelleyemez.

Bunun yanı sıra, arama motorları 'güvenli olmayan' olarak düşündükleri siteleri giderek daha fazla cezalandırdığı için SSL'yi uygulamak da iyi bir uygulamadır.

Kapsamımızda SSL hakkında daha fazla bilgi edinin AZ SSL Kılavuzu.

İpucu #8. TÜM yazılımlarınızın güncel olduğundan emin olun

Yazılımın ne kadar iyi ya da pahalı olduğu önemli değil, her zaman, onları istismara açık bırakabilecek yeni zayıflıklar olacaktır. WordPress bir istisna değildir ve ekip sürekli olarak yeni sürümleri düzeltmeler ve güncellemeler ile serbest bırakır.

Hackerlar hemen hemen her zaman zayıflıktan faydalanmaya çalışırlar ve çözülmeden kalan bilinen bir istismar sadece sorun çıkarır. Bu, genellikle daha az kaynakla daha küçük şirketler tarafından oluşturulan eklentiler için iki kat daha fazladır.

Eklentiler kullanıyorsanız, güncellemelerin düzenli olarak yayınlandığından emin olun veya güncellenmiş olan benzer işlevselliğe sahip bir özellik bulmayı düşünün.

Bunu söyledikten sonra kullanmanızı tavsiye etmiyorum otomatik WordPress ve Eklenti güncellemeleriözellikle de canlı bir site çalıştırıyorsanız. Bazı güncellemeler dahili olarak veya diğer eklentiler ve ayarlarla çakışarak sorunlara neden olabilir.

İdeal olarak, canlı sitenizi yansıtan ve buradaki güncellemeleri test eden bir test ortamı oluşturun. Her şeyin iyi çalıştığından emin olduktan sonra güncellemeyi canlı siteye uygulayabilirsiniz.

Plesk gibi kontrol panelleri, bu amaç için bir site klonu oluşturma seçeneği sunar.

İpucu #9. İçerik Dağıtım Ağı'ndan (CDN) yararlanın

Bu, sitenizi saldırıya uğratmayacak olsa da, kötü amaçlı saldırılara karşı önlem almaya yardımcı olur. Bazı bilgisayar korsanları web sitelerini indirmeyi ve onları halka erişilememeyi amaçlıyor. Bir CDN, sitenizdeki Dağıtılmış Hizmet Reddi saldırısının etkisini hafifletmeye yardımcı olacaktır.

Bunun yanı sıra, bazı içeriği önbelleğe alarak sitenizi hızlandırmanıza da yardımcı olur. Bu seçeneği keşfetmek için örnek olarak CloudFlare'a bakın. CloudFlare, çok katmanlı fiyatlandırma seviyelerinde CDN hizmetleri sunar, böylece temel özellikleri ücretsiz bile kullanabilirsiniz. https://www.cloudflare.com

İpucu #10. Yedekleme, yedekleme ve yedekleme!

Hangi güvenlik önlemleri olursa olsun, ne kadar ihtiyatlı olursanız olun, kazalar gerçekleşir. Sadece yeterli yedekleme hizmetlerini yerine getirdiğinizden emin olarak, ezici bir kalp kırıklığından ve yüzlerce işten kendinizi kurtarın.

Normalde web sunucunuz en azından bazı temel yedekleme özellikleriyle gelirdi, ama benim gibi paranoyaksa, her zaman kendi bağımsız yedeklerinizi gerçekleştirdiğinizden emin olun. Yedekleme sadece bazı dosyaları kopyalamak kadar basit değildir, aynı zamanda veritabanınızdaki bilgileri de dikkate alır.

Denenmiş ve kanıtlanmış bir yedekleme çözümüne bakın. Acil durumlarda gözyaşlarını kurtarmak için küçük bir yatırım bile buna değer. Gibi bir şey BackupBuddy Veritabanınız da dahil olmak üzere her şeyi tek seferde kaydetmenize yardımcı olabilir.

Bonus İpucu: Web barındırıcınız sayar!

Geleneksel olarak, web hosting şirketleri sadece bizim web sitemizi barındırmak için alan sunduk, zaman değişti. Web barındırma sağlayıcıları, artan güvenlik gereksinimlerinin farkında olarak, web hostinglerini tamamlayacak çok sayıda katma değerli hizmetler sunarak hızlandırdılar.

Örneğin al HostGatorOyundaki daha köklü isimlerden biri. Temel Cloudflare özelliklerinin yanı sıra HostGator ($ 10 + / mo fiyatına) ayrıca Spam Ücretsiz Koruma, Otomatik Kötü Amaçlı Yazılım Kaldırma, Otomatik Yedeklemeler, Etki Alanı Gizliliği ve daha fazlası ile birlikte gelir.

Yönetilen WordPress barındırma sağlayıcısı, Kinsta, özel güvenlik sistemiyle donanım güvenlik duvarları oluşturun ve sunucularını kötü amaçlı yazılımlara ve DDoS saldırılarına karşı aktif olarak izleyin.

Bu, henüz size gerçekleşmemiş bir şeyse, sunucunuzun sağladığı güvenlik özelliklerine bakmanızı ve mevcut durumda olanlarla karşılaştırmanızı şiddetle tavsiye ederim.

Kapsamlı bir liste için kontrol edebilirsiniz WHSR'nin web barındırma derlemesi burada.

Şimdi ne olacak?

Vahşi yaşamadan ve bir milyonu ve bir güvenlik çözümünü ararken panik içinde interneti gözden geçirmeye başlamadan önce - derin bir nefes alın. Diğer her şeyde olduğu gibi, birisi zaten panik yapmanıza yardımcı olacak ve bir çözüm aramaya başlayacaktır.

Bulduğunuz kadar güvenlik çözümü uygulasanız bile, elbette güvendesin?

İşte böyle bir şey Güvenlik Ninja içeri girerek, sitenizi zayıflıklara karşı incelemenize yardımcı olur.

Hızlı demo: Güvenlik Ninja nasıl çalışır.

Güvenlik Ninja gibi bir şey kullanmak için birkaç neden var ama bu sitenin güvenliğini sağlamak için yolculuğunuzda birden fazla aşamada tavsiye edeceğim bir araç olduğunu söyleyeyim.

Öncelikle, herhangi bir değişiklik yapmadan önce web sitenizi 'olduğu gibi' çalıştırın. Eklentiyi size vermeden önce eklentiyi kurcalayın ve sitenize ekleyin.

Ardından, bu sonuçlara dayanarak sitenizi güvenli hale getirmeye çalışın. Güvenlik Ninja, savunmalarınızı araştırmak için 50 testlerinden daha fazlasını gerçekleştirir. Değişikliklerinizi yaptıktan sonra bile, sitenizi test etmek için tekrar çalıştırın (ve site değişiklikleri veya eklenti güncellemeleri her defasında).

Bu sizin için biraz fazla iş gibi geliyorsa, Güvenlik Ninja ayrıca bir dizi ek modülle birlikte gelir (pro sürümü, tek site $ 29) Bulduğu sorunları düzeltmenize yardımcı olabilir.

Bu modüllerdeki diğer bazı önemli özellikler şunlardır:

  • Sorunlu dosyaları tanımlamak için WP çekirdek dosyalarını tarayın
  • Tek bir tıklamayla değiştirilmiş dosyaları geri yükle
  • Kırık WP otomatik güncellemelerini düzeltin
  • Milyonlarca saldırıya uğramış siteden toplanan 600 milyon kötü IP adresi yasaklandı
  • Otomatik güncellemeleri listeleme, herhangi bir bakım veya manuel çalışmaya gerek yok
  • Giriş formunu kaba kuvvet saldırılarından koru

Final Thoughts

Tüm bunlar ortalama WordPress kullanıcısına biraz fazla gelebilirken, sizi (ve daha fazlasının) gerekli olduğunu garanti ederim. Dünya çapındaki bilgisayar korsanlığı istatistiklerini göz ardı edersiniz ve bir süredir, size yardım edeceğim en karanlık sitelerden biriyle ilgili kişisel bilgileri paylaşmama izin verin.

Başlangıçta basit bir biyografi sitesi olarak başladı, ben yarattım www.timothyshim.com. Açıkçası, kurduğum ve çoğu zaman sadece bir referans noktası olarak yalnız bıraktığım bir şeydi. Her ay boyunca, bu site temelde hiçbir şey yapmaz ve hiçbir veri toplamaz, 30 saldırılarına karşı karşıya gelir - kaba kuvvet ve karmaşık olanların bir arada.

Tek ihtiyacım olan biri başarılı olmak ve bir Gerçekten mi Kötü gün

Timothy Shim hakkında

Timothy Shim bir yazar, editör ve teknoloji uzmanıdır. Kariyerine Bilişim Teknolojisi alanında başlamış, hızla baskıya geçmiştir ve o zamandan beri ComputerWorld, PC.com, Business Today ve The Asian Banker gibi Uluslararası, bölgesel ve yerel medya başlıklarında çalışmıştır. Uzmanlığı, hem tüketici hem de kurumsal bakış açısından teknoloji alanında yatar.