İçeriden Tehdit ve Veri Kaybını Önleme. WordPress'te Büyük Medya Web Siteleri Kılavuzu

WordPress, en popüler içerik yönetim sistemlerinden biridir ve bunun iyi bir nedeni vardır. Kullanımı kolaydır, binlerce mevcut tema ve eklenti ile kullanılabilir ve onunla her türden web sitesi oluşturabilirsiniz. WordPress'in Web'deki tüm web sitelerinin %40,5'ini desteklemesine şaşmamalı.

Ancak bu popülerliğin bir bedeli var. WordPress genellikle bilgisayar korsanları ve içeriden kişiler tarafından saldırıya uğrar. Bu nedenle, yakın zamanda emeklilik başvurusunda bulunan bir çalışan, şirketin ağından USB sürücüsüne büyük miktarda veri kopyalamaya başlarsa, aslında planlanmış bir kötülük olmayabilir. Belki o kişinin bir sonraki iş için gerekli olan bazı yararlı bilgi dosyalarını kaydetmesi gerekir. Ne yazık ki, istifa eden bir çalışanın gizli ürün bilgilerini, önemli yasal verileri, kişisel çalışan verilerini veya rakiplerin ticari sırlarını paylaştığı durumlar da oldukça popülerdir.

Bazı şirketler, rutin çalışan davranışları ile rekabet avantajını veya şirketin itibarını tehdit eden anormallikler arasında ayrım yapmak şöyle dursun, bu tür içeriden riskleri tespit etmekte bile zorluk çekebilir.

Bugün, WP medya sitenizden veri sızıntısı olasılığını nasıl önemli ölçüde azaltabileceğinizi ve içeriden gelen tehditleri nasıl önleyebileceğinizi inceleyeceğiz. AI sohbet robotları gibi bazı eklentilerin verileri WP sitenizin dışında sakladığını ve risk altında olmadığını unutmayın.

Saatler değil saniyeler içinde nasıl yayınlayacağınızı keşfedin

Wordable'a özel erişim elde etmek ve içeriği saatler değil, saniyeler içinde nasıl yükleyeceğinizi, biçimlendireceğinizi ve optimize edeceğinizi öğrenmek için şimdi kaydolun.

Yayınlamaya başla

İçeriden Tehditlerle İlgili

2019'da eski bir çalışan, gerçek bir WPML adresine erişmek için eski bir SSH şifresi kullandığında ve eklentinin tüm kullanıcılarına "güvenlik açıkları" hakkında ilgili bir e-posta gönderdiğinde, WPML WordPress eklentisiyle ilgili bu hikayeyi muhtemelen duymuşsunuzdur. Ancak, aslında hiçbir "delik" veya herhangi bir güvenlik açığı yoktu. Bu, mutsuz bir çalışandan gelen tipik bir içeriden tehditten başka bir şey değildi.

İçeriden gelen tehditler, düşündüğünüzden daha sık gerçekleşir. Yakın tarihli bir ankete göre, ankete katılanların %55'i kuruluşlarının 2020'de içeriden bir saldırıya maruz kaldığını belirtti. İçeridekiler, tüm siber suçların üçte birinden biraz daha azına karışıyor. PwC anketi, hizmet sağlayıcıların, düzenli çalışanların ve yüklenicilerin çok sayıda güvenlik ihlalinden sorumlu olduğunu ortaya çıkardı. Yöneticilerin üçte biri, güvenilir (eğitimli) içeriden kişiler tarafından gerçekleştirilen web saldırılarının şirketleri için (hem finansal hem de itibar açısından) büyük kayıplara yol açtığını bildirdi.

İçeriden gelen tehditlerden korunmak zordur. Çalışanların işlerini yapabilmeleri için belirli bir güven düzeyi gerekir. Bu güveni kötüye kullanmaya karar verirlerse, hasar fiilen gerçekleşene kadar mal sahibinin yapabileceği pek bir şey yoktur. Ancak, güvenlik bilincine sahip işletme sahiplerinin WordPress medya sitelerine yönelik içeriden tehdit alma riskini azaltmak için izleyebilecekleri birkaç yol vardır.

Site Koruması Nedir?

Site koruması karmaşık bir süreçtir, bu nedenle mümkün olduğunca çok sayıda koruma yöntemi uygulamanız gerekir. Hatta bu konuda biraz paranoyak olmak gerektiğini söyleyebiliriz. Başka bir deyişle, 1 veya 2 yöntem uygularsanız, elbette durumu iyileştirir, ancak çok az. Dahası – kesinlikle tüm yöntemleri uygulasanız bile, sitenizi korsanlığa karşı tam olarak korumayacaktır, ancak bir saldırı olasılığını önemli ölçüde azaltacaktır. İhtiyacınız olan şey bu.

İşte korumanın tüm özünü yansıtan güzel bir hack örneği. Hacking, bir şeyin hacklenmesi (hah) veya kırılmasıdır, yani kırılacak bir şey vardır. Aksi takdirde, yani kırılacak bir şey kalmadığında, artık bir hack değildir.

Diyelim ki, dairenizin kapısını açık bıraktıysanız veya anahtarları içinde bırakıp soyulduysanız, o zaman daireniz gerçekten çatlamamıştır - sadece içeri girdiler, ihtiyaç duyduklarını aldılar ve gittiler. Aynı şey bir web sitesi için de geçerlidir – sitenizi güvence altına almak için herhangi bir önlem almadıysanız, o zaman, eğer bir şeyler ters giderse, bu bir hack olmayacaktır. Bu nedenle, davetsiz misafirlerin veya içeriden kişilerin verilerinizi çalmasını veya içeri girmesini zorlaştırmak için en azından “kapıları kilitlemelisiniz”.

Çalışan Eğitimi ve Sosyal Mühendislik

Çalışanlarınızın gizlilikleri konusunda bilgi sahibi olmaları, yani herhangi bir veri sızıntısını önlemek için temel güvenlik kurallarını bilmeleri gerekir. Bu nedenle, kendileri için uygun görünse bile, en azından şifrelerini veya herhangi bir kimlik doğrulama bilgilerini paylaşmalarını yasaklamalısınız.

Kötü amaçlı yazılımdan koruma, virüsten koruma yazılımı ve e-posta arama araçları bu tür kötü amaçlı e-postaların belirlenmesine yardımcı olabilirken, sosyal mühendislikle en iyi şekilde çalışan eğitimi yoluyla ilgilenilir.

Sosyal mühendislik , bilgi güvenliği bağlamında, insanların belirli eylemlerde bulunmak veya gizli bilgileri ifşa etmek için psikolojik olarak manipüle edilmesidir.

Çalışanlar, dışarıdan davetsiz misafirlerin kendilerine nasıl yaklaşabilecekleri ve çeşitli şüpheli taleplere nasıl yanıt vermeleri gerektiği konusunda eğitilmelidir. Bunu önlemek için sosyal mühendisliği anlamak gereklidir. Çalışanlarınız arasındaki olası zayıflıkları belirlemek için çalışanlar da test edilmelidir.

Şirket ekipleriniz de şüpheli WP temaları kullanmaktan kaçınmalı ve her zaman kullandıkları eklenti sayısını en aza indirmeye çalışmalıdır.

WP Eklentilerinizi Küçültün

Şu anda hemen hemen her sorunu çözen çok sayıda farklı WP eklentisi var.

Ancak medya sitenize ne kadar çok eklenti kurulursa, güvenlik açığı o kadar büyük olur. Niye ya? Aşağıdaki nedenlere göz atın:

• WP eklentileri, vasıfsız bir geliştirici tarafından yazılabilir ve site güvenliğini etkileyen kritik hatalar içerebilir;
• WP eklentileri programcı tarafından "terk edilebilir", yani uzun süre kullanılmadan bırakılabilir ve bu da onları daha az güvenli hale getirir. Güvenlik açıkları riskini azaltmak için eklentilerin yanı sıra motor da düzenli olarak güncellenmelidir;
• WP eklentileri birbirleriyle çakışarak hatalara neden olabilir.

Diyelim ki sitenize bir geri bildirim formuna ihtiyacınız var – 2-3 eklenti veya bazı ContactForm 7 koymak yerine formu “manuel” olarak oluşturabilirsiniz.

Tabii ki, onsuz yapamayacağınız eklentiler var - tavsiye onları tamamen terk etmek değil, yalnızca zamana göre test edilmiş çözümleri seçmek ve mümkünse onlarsız yapmaktır.

Harici Veri Paylaşımını Engelleyin

Ne yazık ki, çalışan eğitimi yetersiz kalabilmektedir. Gizli çalışan verilerini herkese açık olarak veya şirket dışındaki üçüncü taraflarla paylaşmak felaket olabilir. Bu genellikle yanlışlıkla olur, örneğin normal "Yanıtla" yerine "Tümünü Yanıtla" düğmesini kullanabilirler. Ardından bilgiler yanlış e-posta adreslerine gönderilir veya yanlışlıkla kamuya açıklanır.

Bu tür olayları eğitimle engelleyemezsiniz çünkü bunlar sadece hepimizin maruz kaldığı insan hatalarıdır. Özel yazılımlar, örneğin Veri Kaybını Önleme (DLP) araçları, kuruluşların hassas verileri takip etmesine ve e-posta veya diğer İnternet hizmetleri yoluyla iletiminin kısıtlanmasını veya tamamen engellenmesini sağlamasına yardımcı olabilir.

Gölge BT Tehditini Önleyin

Yetkisiz üçüncü taraf yazılımları, uygulamaları veya web hizmetlerini izlemesi BT için genellikle zordur, bu nedenle "gölge BT" terimini kullanır. Gölge BT'nin yaygınlığının nedenleri oldukça basittir: çalışanlar, alışkanlık nedeniyle popüler uygulamaları (e-posta izleme gibi) kullanırlar çünkü bunlar verimliliklerini artırır ve iş yükünü azaltır veya şirket tarafından onaylanmış alternatiflerden daha kullanıcı dostudur.

Bu oldukça sorunlu hale gelebilir çünkü şirketler çoğu zaman habersizdir ve esasen siber güvenlik stratejilerinde kör nokta oluşturur. Diğer bir tehdit, bu üçüncü taraf hizmetlerin düşük güvenlik seviyesidir ve bu da veri sızıntılarına neden olabilir.

Gölge BT genellikle bir şirketin çalışanlarına işlerini yapmak için ihtiyaç duydukları araçları sağlayamamasından kaynaklanır. Kuruluşlar, teknoloji ihtiyaçlarını anlamak ve bunları karşılamak için ellerinden geleni yapmak için çalışanlarıyla açık bir diyalog içinde olmalıdır. Yüksek kaliteli DLP araçları, şirketlerin çalışanlarının bu yetkisiz hizmetlere hassas bilgiler yüklemesini engellemesine ve bu girişimleri izleyerek kuruluşlarındaki gölge BT'yi daha iyi anlamalarına da yardımcı olabilir.

Şirket verilerinizi korumak için kullanabileceğiniz güvenilir DLP araçlarının ve hizmetlerinin bir listesi:

SecureTrust

McAfee

Uç Nokta Koruyucusu

Symantec

Güneş rüzgarları

Kontrol Noktası

Trend Mikro

avanan

Zscaler

Çalışanlar için Ayrı Hesaplar Kullanın

Paylaşılan hesap yok. Ekibinizin her personelinin, her şey için kendi kullanıcı hesabına ihtiyacı vardır. Tabii ki, onlara hiç ihtiyaçları varsa. Mesele şu ki, artık takımda olmadıklarında hiç kimse eski şifrelerini kullanamaz.

Başka bir deyişle, hiçbir eski çalışanın eski hesabına erişemeyeceğinden ve şirket verilerinizi çalamayacağından emin olmalısınız.

Karmaşık Parolalar Kullanın

Analojiyi zaten verdik (kapılarınızda kilit olmalı). Parolanız basitse, bu durumda kilit yoktur veya daha doğrusu davetsiz misafirlerde anahtar vardır. Bu nedenle, güçlü parolalar kullanmanızı ve ideal olarak bunları yalnızca kafanızda saklamanızı şiddetle tavsiye ederiz. Özellikle WP siteniz daha önce saldırıya uğramışsa, şifrelerinizi her yerde periyodik olarak değiştirmeyi unutmayın.

Bu, yönetim panelinize, barındırma denetiminize, kişisel hesabınıza, veritabanınıza vb. erişim için karmaşık şifreleri ifade eder. Diğer bir deyişle, şifreleriniz mutlaka karmaşık olmalıdır.

Karmaşık bir şifre elbette sayılar, harfler, düzenli harfler ve, özel semboller olmak zorunda en az 8 karakter vardır.

Bir WordPress blogu veya birden fazla yazarı olan bir blog çalıştırıyorsanız, yönetici panelinize erişen birden fazla kişiyle ilgilenmeniz gerekir. Bu, sitenizi güvenlik tehditlerine karşı daha savunmasız hale getirebilir.

Kullanıcıların oluşturduğu tüm şifrelerin güvenli olduğundan emin olmak istiyorsanız Password Protect WordPress (PPWP) gibi eklentileri kullanabilirsiniz. Bu sadece bir önlem ama zayıf parolalara sahip birden çok kullanıcıya sahip olmaktan daha iyidir.

Unutmayın, hem site için hem de parolanın gerekli olduğu herhangi bir şey için her zaman karmaşık parolalar kullanın, çünkü 3-4 basamaktan oluşan bir parola gibi basit bir parola birkaç dakika içinde manuel olarak seçilebilir.

Şifreleme ve Uzaktan Silme Araçlarını Kullanın

Birçok veri koruma politikası, yaygın olarak kullanılan başka bir yöntemi düşünmeden, verileri şirket ağının dışına İnternet üzerinden aktarmaya odaklanır: taşınabilir cihazlar. Özellikle USB sürücüler, veri koruma stratejileri için uzun süredir zehirlidir. Kaybetmek ya da çalmak kolay ama kullanımı çok kolay. Ancak USB sürücülerin birçok şirkette ciddi veri ihlallerine yol açtığını bilmelisiniz.

Bu tür ihlalleri önlemenin en kolay yolu, USB ve çevresel bağlantı noktalarını aynı anda kilitlemektir. Ancak USB'nin iş yerindeki kullanışlılığı inkar edilemez. Yine de USB sürücü kullanmak isteyen şirketler için güvenliği sağlamak için alabilecekleri önlemler var. Şifreleme, aralarında en iyilerinden biridir. USB sürücülere aktarılan tüm dosyalar şifrelenecektir, yani yalnızca “güvenilir” olarak tanımlanan cihazların şirketin bilgisayarlarına bağlanmasına izin veren bir güvenilir cihaz politikası ile birleştirilecektir.

Günümüzün giderek daha mobil hale gelen çalışma ortamında, çalışanlar genellikle dizüstü bilgisayarlarını ve taşınabilir cihazlarını ofis dışına çıkarıyor. İster uzaktan çalışın, ister müşterileri ziyaret edin veya sektör etkinliklerine katılın, iş cihazları genellikle kurumsal ağların güvenliğinden kaçar ve hem fiziksel hırsızlığa hem de yetkisiz müdahalelere karşı daha savunmasız hale gelir.

Şifreleme, veri hırsızlığına karşı koruma sağlamak için her zaman iyi bir çözümdür. Dizüstü bilgisayarlar, akıllı telefonlar veya USB sürücüler olsun, şifreleme, onları çalan herkesin verilere erişme olasılığını ortadan kaldırır. Uzaktan silme seçeneklerini etkinleştirmek, kuruluşların çalınan cihazlardaki tüm verileri uzaktan silmesine de yardımcı olabilir.

WP Rolleri ve İzinleri Atayın

Çalışanlarınızın her birinin kendi uygun rolüne ve izinlerine sahip olduğundan emin olun. Bu nedenle, bir Yöneticinin sitenizdeki ve veritabanlarınızdaki tüm özellikler üzerinde tam kontrole sahip olacağını, bir Editörün yalnızca kendi gönderilerini değil, aynı zamanda diğer yazarların gönderilerini de gönderebilecek ve yönetebileceğini ve bir Yazarın yalnızca bu yeteneğe sahip olacağını unutmayın. kendi yayınlarını yönetmek.

Bu nedenle WP rollerini akıllıca atayın ve şunu unutmayın: çalışanlarınız ayrıldıktan sonra erişimi engellemek için tüm hesaplarını silmeyi unutmayın.

Dosya Düzenlemeyi Kısıtla

Kullanıcıların WordPress kontrol panelinize yönetici erişimi varsa, WordPress kurulumunuzun parçası olan tüm dosyaları düzenleyebilirler. Bu aynı zamanda tüm eklentileri ve temaları da içerir.

Dosya düzenlemeyi devre dışı bırakırsanız, bir bilgisayar korsanı WordPress kontrol panelinize yönetici erişimi sağlasa bile, hiç kimse dosyaları değiştiremez. Bunu yapmak için wp-config.php dosyanıza aşağıdakini ekleyin (en sona):

define('DISALLOW_FILE_EDIT', true);

WordPress'inizi Güncel Tutun

Bu noktada, sitenizin komut dosyalarıyla bağlantılı her şeyi dahil ettik, bunlar WordPress'in komut dosyalarıdır ve şablonlarınız ve eklentileriniz (yine), hepsi başlangıçta kötü amaçlı komut dosyaları ve "delikler" içermemelidir, yani tüm kapılar kapalı olmalıdır. Komut dosyalarında bir güvenlik açığı varsa, bir bilgisayar korsanı bunu medya sitenize girmek, yani "kapıdan girmek" için kullanabilir.

“Kapıları” kapatmak veya en azından bunu zamanında yapmak için, güncelleme hazır olduğunda WordPress sitenizi sürekli güncellemeniz gerekir. Bu aynı zamanda şablonlar ve eklentiler için de geçerlidir.

Yine, kötü niyetli komut dosyaları başlangıçta orada olmamalıdır, bu nedenle WordPress'i yalnızca resmi siteden indirin, ücretsiz şablonlar kullanmayın, güvenlik açıkları, bazı gölge bağlantılar ve bunun gibi şeyler içerebilirler.

Gereksiz eklentileri kaldırın. Kullanmakta olduğunuz bir eklenti yoksa, önce onu devre dışı bırakın ve ardından silin (az önce devre dışı bırakılan eklenti dosyaları sunucuda kalır).

Başka bir deyişle, betiklerinizde tam bir düzene sahip olmalısınız, yani yalnızca mevcut sürümlerde gerçekten ihtiyacınız olana sahip olmalısınız. Dağınık komut dosyaları, sitenizi bir bilgisayar korsanı veya içeriden biri için daha erişilebilir hale getirecektir.

Ayrıca, yaratıcıları tarafından güncellenen kaliteli WP temaları kullandığınızdan emin olun.

Site Engelleme ve Kullanıcı Yasağı

Başarısız oturum açma girişimleri için bir site engelleme özelliği, büyük bir sürekli parola denemesi sorununu çözebilir. Tekrarlanan yanlış şifrelerle bir bilgisayar korsanlığı girişimi olduğunda, site engellenir ve bu yetkisiz etkinlik konusunda size bilgi verilir.

iThemes Security eklentisi bunun için en iyi eklentilerden biridir. Bir süredir kendimiz kullanıyoruz. Eklentinin bu konuda sunabileceği çok şey var. 30'dan fazla harika güvenlik önleminin yanı sıra, eklenti saldırganın IP adresini engellemeden önce belirli sayıda başarısız oturum açma girişimi belirtebilirsiniz.

Sucuri Güvenlik

Sucuri, siber güvenlik sektörünün tanınmış liderlerinden biridir. Şu anda 400.000'den fazla aktif kullanıcısı var, ücretsiz ve düzenli olarak güncelleniyor.

Sucuri Security, tek boyutlu bir güvenlik eklentisi değildir. Kötü amaçlı etkinliği tarama ve izleme gibi temel konulara odaklanır ancak işini gerçekten iyi yapar. Eklenti, çekirdek dosyalardan herhangi birinin etkilenip etkilenmediğini veya herhangi bir güvenlik açığı olup olmadığını görmek için dosya bütünlüğü izleme ile birlikte gelir. Küçük WP siteleri ve bloglar için en iyi çözümlerden biridir.

Sucuri ayrıca kötü amaçlı yazılım taraması ve kara liste izleme içerir. Eklentinin en iyi özelliği, sitenizin saldırıya uğraması veya kötü amaçlı yazılımdan etkilenmesi durumunda temel olarak size ne yapmanız gerektiğine dair ipuçları veren saldırı sonrası güvenlik eylemleridir.

Sucuri Artıları

• Güvenilir bir şirket tarafından tasarlanan ve düzenli olarak güncellenen;
• Olağandışı site etkinliğini algılayan etkili kötü amaçlı yazılım tarama aracı;
• Güvenlik uyarıları ve denetim, sitedeki olağandışı davranışları size bildirecektir;
• Dosya bütünlüğünü izleme yeteneği.

Sucuri Eksileri

• Site güvenlik duvarı yalnızca premium plana dahildir;
• Arayüz biraz modası geçmiş görünüyor;
• Yeni başlayanlar için uygun değil.

Ekran Sistemi

Ekran System, BT yöneticileri için akıllı olay uyarı sistemi ve gelişmiş izleme araçlarıyla tanınan bir içeriden tehdit yönetimi platformu inşa ediyor.

Ekran'ın önemli bir avantajı çok yönlülüğüdür. Satıcının çözümleri üç ana güvenlik aracını birleştirir: aktivite izleme, erişim kontrolü ve kullanıcı tanımlama. İşlevsellik, her tür uç nokta için "hafif" aracılar sağlayan tek bir hepsi bir arada yazılım platformunda sağlanır.

Ekran System'de kullanıcı oturumlarının izlenmesi ve kaydı, gelişmiş bir ekran kayıt modülü ile gerçekleştirilir. Bu bilgiler ayrıca uygulama adları, ziyaret edilen URL'ler, açılan dosyalar, girilen komutlar, klavye dokunuşları, bağlı cihazlar ve diğer çalışan etkinlikleri hakkındaki verilerle desteklenir.

Ekran System, şirketlerin veri güvenliğinden emin olmalarına yardımcı olacak benzersiz bir platformdur.

Çözüm

Siber suçlar hızla ivme kazanıyor ve devam eden pandemi nedeniyle bugünlerde Web'de gerçek dünyadan daha fazla suçlu var. Kredi kartı ve banka dolandırıcılığı suçları artıyor, bilgisayar korsanları yayılıyor ve kullanabileceğimiz tüm seçeneklerle sitelerimizi korumamız gerekiyor.

WordPress varsayılan olarak yüklendiğinde bazı güvenlik açıklarına sahip olsa da, bu makalede bahsedilen güvenlik tehditleri de dahil olmak üzere hemen hemen tüm sorunlarınızı çözebilirsiniz. Benzersiz bir kullanıcı adı ve güçlü bir parola belirleyerek, bir güvenlik eklentisi yükleyerek, yüksek kaliteli bir DLP aracı kullanarak ve çalışanlarınızı eğiterek, veri sızıntısı ve sitenizin güvenliğinin ihlal edilmesi veya kötü amaçlı yazılım bulaşması riskini büyük ölçüde azaltabilirsiniz.

Şimdi söylemek isteriz ki, WP medya sitenizdeki önemli içeriklerin kaybolmasını önlemek için yukarıdakilerin dışında site yedeklemelerini asla unutmamalısınız. Böylece siteniz saldırıya uğradıysa, her zaman hızlı bir şekilde normal çalışmasına geri dönebilir ve bunları ortadan kaldırmak ve gelecekte benzer durumları önlemek için saldırı nedenlerini analiz edebilirsiniz. Bu arada bazı hosting firmaları otomatik olarak yedekleme yapıyor.

Bir site yedeğiniz varsa, WordPress web sitenizi istediğiniz zaman çalışır duruma getirebilirsiniz. Bu konuda size yardımcı olabilecek birkaç eklenti var.

Birinci sınıf bir çözüm arıyorsanız, Automattic'ten VaultPress'i (artık Jetpack tarafından desteklenmektedir) öneriyoruz. Her hafta yedeklenecek şekilde ayarladık. Ve kötü bir şey olursa, siteyi tek bir tıklamayla kolayca geri yükleyebiliriz.

Bazı büyük web sitelerinin her saat başı yedekleme yaptığını biliyoruz, ancak bu çoğu kuruluş için tam bir abartı. Ayrıca, her yedekleme dosyası sürücünüzde disk alanı kapladığından, bu yedeklemelerin çoğunun yenisi oluşturulduktan sonra kaldırıldığından emin olmanız gerekir. Yine de çoğu kuruluş için haftalık veya aylık yedeklemeler öneriyoruz.

Yedeklemelere ek olarak, VaultPress ayrıca web sitelerini kötü amaçlı yazılımlara karşı kontrol eder ve şüpheli bir şey olursa sizi uyarır.