WordPress Girişinizi Güvende Tutmanın 4 Yolu

Hackerların istediklerini elde etmek için sinsi veya sofistike olmaları gerekmez. Çoğu zaman, sadece ön kapıdan içeri girerler. Doğru araçları kullanmak yardımcı olabilir, ancak web sitenizi korumak ve WordPress girişini güvenli hale getirmek için yapabileceğiniz daha çok şey var.

Aussie Hosting'den Nathan Finch tarafından hazırlanan bu raporda, farklı hosting şirketlerini performanslarına göre incelediler ve karşılaştırdılar. Daha fazla kapalı kalma süresi olan şirketlerin, güvenlik endişeleri riskini artıran kötü bakımlı sunuculara sahip olduğunu buldular.

Google'ın, kötü amaçlı yazılım ve kimlik avı gibi WordPress giriş güvenliği sorunları için haftada yaklaşık 70.000 web sitesini kara listeye aldığı bildirildi. Sızmaya karşı ilk savunma hattınız, WordPress girişinizi korumaktır. Bu erişim denetimi biçimi çok kolay görünüyor, ancak en basit güvenlik önlemlerinin ne sıklıkla gözden kaçırıldığına veya ikinci plana atıldığına şaşıracaksınız.

Barındırma hizmetiniz tarafından arka uçta sunulan güvenlik özelliklerinden bağımsız olarak, bir web sitesi sahibi olarak paranın karşılığı sizinle birlikte durur.

– Kaynak: Wordfence

WordPress Girişlerini Savunmasız Kılan Nedir?

WordPress'in popülaritesi, onu kolay ve çekici bir hedef yapan şeydir. Ancak, platformu saldırılara ve açıklardan yararlanmaya karşı savunmasız kılan nedir?

Birincisi, bilgisayar korsanları bir sistemi kırmadan önce çok fazla keşif yapar. Belirli WP sürümlerinin diğerlerinden daha fazla güvenlik açığı olduğunu biliyorlar ve platform, profesyonellerin ne olduklarını bilmeleri için yeterince uzun süredir var. Sürüm numarası, siz kaldırmadığınız sürece web sayfalarınızda ve URL'nizde bulunur.

Dizininizi görüntülemek, yüklediğiniz eklentiler ve temalar gibi birçok yararlı bilgi de sağlar. Açık kaynak kodlama üzerinde çalıştığı için, kullanılmayan veya desteklenmeyen eklentileri dizininizde devre dışı bırakılmış olsalar bile bırakmak, bilgisayar korsanlarının kodunuza erişmesinin basit bir yoludur. İçeri girdikten sonra, açıklardan yararlanmaları başlatabilir, kodlamayı değiştirebilir, oturumları ele geçirebilir veya sizi kendi web sitenize kilitleyebilirler.

Bilgisayar korsanları, klasör konumlarına göz atarak ve bunun gibi bir "Index Of" yanıtını kontrol ederek dizin indekslemenizi kontrol edebilir:

/wp-içeriği/

/wp-içeriği/eklentiler/

/wp-içerik/temalar/

/yüklemeler/

/Görüntüler/

Komut dosyası oluşturma araçlarını kullanarak aktif bir arama veya normal HTML istekleriyle pasif bir arama yoluyla dizininizdeki savunmasız eklentileri arayabilirler . Bu, HTML kaynak kodunu gözden geçirerek ve CSS stil sayfaları, yorumlar ve JS bağlantıları aracılığıyla kurulu eklentileri arayarak elde edilir.

Bilgisayar korsanlarının WordPress web sitelerine erişmesinin bir başka yolu da kullanıcı numaralandırmadır . Bu, bir sözlük saldırısı yoluyla kullanıcı adlarını ortaya çıkarmayı ve parolalarını tahmin etmeyi veya varsayılan mekanizmalar aracılığıyla girmeye çalışmayı içeren bir kaba kuvvet saldırısının basit bir başlangıcıdır. Örneğin, kullanıcılar Kimliklerini yineleyerek ve URL'ye şu şekilde ekleyerek keşfedilebilir:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Çalışırsa, oturum açma kimliği bir 303 yönlendirmesi aracılığıyla ortaya çıkar.

Güvenlik açığı testi için kullanılan WPScan adlı bir araç, bir dakikadan kısa bir sürede yüzlerce olası parolayı eleyebilir. Saniyeler içinde ucuz bir temadan aşağıdaki çıktıyı döndürmeyi başardı:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SNIP ******************

[+] Parola kaba kuvvet uygulamasını başlatma

500 parola ile kaba zorlama kullanıcı 'testadmin'... %100 tamamlandı.
[+] 18 Tem 03:39:02 2013'te tamamlandı
[+] Geçen süre: 00:01:16

WordPress Girişinizi Güvende Tutmanın 4 Yolu

Neyse ki, WP geliştiricisi ve kullanıcı topluluğu, destek sağlama konusunda gayretlidir. Bu nedenle, ücretsiz olarak kullanılabilen araçlar ve web sitenizi güvende tutmak için öğrenebileceğiniz ve dağıtabileceğiniz en iyi uygulamalar vardır.

İşte WordPress giriş güvenliğinizi geliştirmek için uygulayabileceğiniz dört teknik.

1. WP Sürüm Numarasını Kaldırın

Bilgisayar korsanları, güvenlik açıklarını kontrol ederken genellikle ilk olarak sürüm numarasını aradığından, web sitenizi kurarken değiştirmeniz gereken ilk şey budur. Bu, başlık kancasını veya internette lanse edilen diğer kötü yöntemleri kaldırmadan sayfalardan, URL'lerden ve meta etiketlerden kaldırılacak şekilde yapılmalıdır.

WP sürüm numaranızı kaldırmanın en iyi yolu, bu kod parçasını function.php dosyasına eklemektir:

Başlıktan kaldırmak için:

 remove_action('wp_head', 'wp_generator');

RSS beslemesinden kaldırmak için:

 function remove_version_info() {
dönüş '';
}
add_filter('the_generator', 'remove_version_info');

Sürüm numarasını komut dosyalarından ve stillerden kaldırmak için:

 işlev remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'versiyon' ) ) )
$src = remove_query_arg('ver', $src);
$src döndür;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

WP'yi ne zaman kurarsanız kurun, WordPress'inizi yayınlanır yayınlanmaz her zaman en son sürüme güncel tutmalısınız. Aynı şey eklentiler ve temalar için de geçerlidir.

Devamını Okuyun: Güncellemeler WordPress Güvenliği İçin Çok Önemlidir !

2. Giriş URL'nizi Değiştirin

WP yöneticileri için varsayılan oturum açma adresi web siteniz.com/wp-admin'dir ve bu, platforma aşina olan hemen hemen herkesin bildiği bir şeydir. Tek yapmanız gereken alan adından sonra /wp-login.php'yi eklemek ve buradasınız. Bilgisayar korsanlarının giriş sayfanızı tahmin etmesini önlemek için gereken tek şey URL'de basit bir değişiklik yapmak.

Bunu etkili bir şekilde gerçekleştirmek için iThemes Security gibi bir eklenti kullanabilirsiniz.

3. Giriş Denemelerinin Sayısını Azaltın

Bir başka kusurlu WP varsayılan özelliği, sınırsız oturum açma girişimine izin veriyor. Bu, sözlük saldırılarını ve diğer parola tahmin etme tekniklerini etkinleştirir. iThemes Security eklentisi, belirli sayıda başarısız giriş denemesinden sonra web sitenizi kilitleyen ve size bir uyarı gönderen bir özelliğe sahiptir.

Yalnızca oturum kapatma işlevini istiyorsanız, İzin verilen oturum açma sayısını yapılandırmak için Oturum Açma Denemelerini Yeniden Yükle adlı bir eklenti yükleyebilir ve ayarlarına gidebilirsiniz.

4. Erişimi Sınırlayın ve İki Faktörlü Kimlik Doğrulamayı Kullanın

Şimdiye kadar, iki faktörlü bir kimlik doğrulama eklentisi kullanarak güvenli bir şifre seçmeyi bilmelisiniz. Erişimi sınırlamanın bir sonraki adımı, web sitenizin iç işleyişine erişimi olan kişilerin sayısını sınırlamaktır. Üçüncüsü, oturum açmak için parola ve şifreli anahtarın bir kombinasyonunu kullanan 2 Faktörlü kimlik doğrulamayı kullanın.

Son düşünceler!

Bu gönderide açıklanan bu güvenlik önlemleri ve önleyici tedbirler sitenizi %100 korumayacak olsa da, büyük bir güvenlik önlemi sağlayacaktır.

Bilgisayar korsanlarının ve kötü niyetli üçüncü tarafların web sitenize en kolay arka kapıları aradığını hatırlamak önemlidir. Bu arka kapıları bulmak için çoğu zaman otomatik çözümler kullanılır.

WP girişinizi güvence altına almak, bu kapıları kapalı tutar ve sitenize erişimi olan tek kişinin kendiniz olmasını sağlar.

Feragatname: Bu, AussieHosting'den Nathan Goldfinch'in katkıda bulunduğu bir konuk gönderisidir .