WordPress web siteleri neden saldırıya uğrar?

Neden biri işletmenizin web sitesini hacklemek istesin ki? Film yönetmenleri onu heyecan verici gösterebilir, ancak gerçekte her şey insan alışkanlıklarını tahmin etmek, bir fırsatı tespit etmek ve tamamen ısrarla ilgilidir. Bilgisayar korsanlarının nasıl düşündüğünü ve işletmenizi nasıl koruyabileceğinizi öğrenin.

WordPress pazar lideridir

WordPress, CMS pazar payının %59'unu oluşturan etkileyici bir şekilde web siteleri için tartışmasız en popüler içerik yönetim sistemidir (CMS). Aynı zamanda, internetteki tüm web sitelerinin yaklaşık üçte birinin onu kullanarak oluşturduğu, web sitenizi oluşturmak için en popüler çerçevelerden biridir.

Kaynak: https://w3techs.com/technologies/overview/content_management/allWordp

Bu popülerlik aynı zamanda WordPress'i bilgisayar korsanları ve diğer kötü niyetli kullanıcılar için hedeflenen başlıca platform haline getirme etkisine de sahiptir. Her gün karşılaştığımız yaygın bir soru şudur: “Neden biri web siteme erişmek istesin ki? Onlar için değerli hiçbir veriye sahip değilim”. Bu kesinlikle anlaşılabilir bir ifade olsa da, web'e yaklaşmak yanlış bir zihniyettir.

Talihsiz bir istatistik, internetin ciddi şekilde iyi bilgilendirilmiş kullanıcılardan yoksun olması ve dünya genelinde kullanıcıların yalnızca kabaca %25'inin orta-yüksek zorluktaki görevleri tamamlayabilmesidir. Bu, endişe verici miktarda kullanıcıyı teknik açıdan yetkin kullanıcıların azınlığından suistimal etmeye açık hale getiriyor.

Bu yazıda, bir web sitesinin güvenliğinin ihlal edilebileceği en yaygın yöntemlerden bazılarını, web sitelerinin saldırıya uğramasının bazı nedenlerini ve kullanıcıların kendilerini korumak için hangi adımları atabileceğini inceleyeceğiz.

Web siteleri nasıl hacklenir?

Birisi "hacker" kelimesini duyduğunda, en yaygın görüntü muhtemelen karanlık bir odada, ekranında çok sayıda kod satırı bulunan bir monitörün önündeki kapüşonlu bir adamdır. Ancak (üzücü) gerçek şu ki, günlük bilgisayar korsanlığı o kadar da ilginç değil. Aslında, en yaygın hack'ler doğası gereği oldukça basittir ve hacklemeye çalışan kişilerin çok yetenekli olmalarına bile gerek yoktur.

Her tür bilgisayar korsanlığı da koddan kaynaklanmaz. Sosyal mühendislik - aynı zamanda sosyal bilgisayar korsanlığı olarak da bilinir - saldırılar hala en tehdit edici olanlardan biridir. Yaygın dolandırıcılık uygulamaları internette hala geçerlidir ve web sitenizin saldırıya uğramasına neden olabilir. Bu, bu makalenin kapsamı dışında olduğundan, bu tripwire makalesinde sosyal mühendislik tehditleri hakkında daha fazla bilgi edinebilirsiniz .

Sosyal mühendislik bir yana, internet web siteleri için hala düşmanca bir yer. Önde gelen bir WordPress güvenlik eklentisi geliştiricisi olan Wordfence, aylık WordPress saldırı raporları yayınlar . Eylül raporundan biz saldırıların çoğunluğu (% 91) aslında kaba kuvvet saldırıları olduğunu görebilirsiniz.

Kaba kuvvet saldırısı çok basit bir kavramdır. Herkes deneyebilir, genellikle hiçbir etkisi yoktur. Bu notta, neden hemen şimdi bir kaba kuvvet saldırısı başlatmıyoruz? Rakibinizin sitesini Google'da aratın ve URL'lerinin sonuna /wp-admin koymayı deneyin. Şanslıysanız, bir WordPress sitesi kullanıyorlar. Şimdi tek yapmanız gereken kullanıcı adı olarak "admin" veya yaygın olarak kullandıklarını bildiğiniz bir e-posta adresi, yani "[email protected]" koymak. Ardından parolaları olarak kullanacakları şeyleri düşünün: adları, ürünleri, önemli tarihler… ve kombinasyonları denemeye devam edin . Esasen kaba kuvvet saldırısına başlıyorsunuz. Şimdi, farklı kullanıcı adı ve şifre kombinasyonlarını kullanarak otomatik olarak oturum açmaya çalışan bir kelime dağarcığına ve bir komut dosyasına erişiminiz olduğunu hayal edin. Güvenli olmayan hesapların bu şekilde kırılma olasılığı yüksektir.

En basit saldırı biçimleri ortadan kalktığında, web sitenizin dosyalarındaki yaygın zayıflıklardan yararlanmaya çalışan daha ayrıntılı bir saldırı türünü araştırma zamanı geldi. Birçoğunuzun zaten bildiği gibi, bir WordPress sitesinin dayandığı bir dizi tema ve eklenti dosyası vardır. Bunlar ayrıca genellikle diğer geliştiriciler tarafından yazılan kod kitaplıklarına da dayanır. Bazen – kısmen düşük kod kalitesi ve kısmen de bilgisayar korsanlığı alanındaki yenilikler nedeniyle – açıklardan yararlanmalar bulunabilir.

Umarım, istismarı bulan kişi, yaygın olarak beyaz şapka korsanı olarak da bilinen bir etik kişidir. Genel olarak, etik bir bilgisayar korsanı bir istismar bulduktan hemen sonra, kodun sahibi haberdar edilir, herhangi bir olası hasarı azaltmak için halkı bilgilendirir ve ardından kodun sahibi, güvenlik açığını gidermek için bir yama yayınlar. Kötü niyetli bir bilgisayar korsanının bir istismarla karşılaştığı durumlarda, bunun kamuya açıklanması aylar veya yıllar alabilir. Patlatır bilinen yapıldıktan sonra herhangi bir durumda, bunlar bu gibi sitelerde internet üzerinden kolayca erişilebilir açığı listelerine eklenir.

Doğrudan sunucuya yönelik saldırılar da vardır. Bu çok karmaşık ve geniş bir konu ve bu yazı herhangi bir ayrıntıya girmeyecek. Bununla birlikte, daha fazlasını öğrenmek isterseniz, burada ilginç bir makale var: Bir Web Sunucusu Nasıl Hacklenir .

Web siteleri neden saldırıya uğrar?

Şimdi bir web sitesinin saldırıya uğramasının bazı yollarını araştırdık, ancak neden saldırıya uğradığı sorusu hala büyük ölçüde cevapsız kalıyor. Ne yazık ki, kötü niyetli bir kullanıcının web sitenizi hedeflemesinin birçok nedeni vardır ve bunlar tamamen can sıkıntısından internetin her yerine virüs ve yasadışı medya yaymaya kadar uzanır.

Saf can sıkıntısı, gerçek bir neden olsa da oldukça basittir, bu yüzden daha karmaşık bir şeye geçeceğiz: reklamcılık. Bilindiği gibi reklam enjeksiyon saldırılarına kurban gitmenin birçok yolu olmuştur . Konsept basittir: Kendi sitenize daha fazla trafik çekmek için genellikle kötü niyetli reklamlarınızı gerçek bir siteye dağıtırsınız. Bu, sitedeki reklamların basitçe gösterilmesi şeklinde olabilir veya aşırı durumlarda tüm trafiği hacker'ın sitesine yönlendirmek şeklinde olabilir. Bu reklamlar daha sonra bir kullanıcının makinesi veya hassas verileri üzerinde kontrol sahibi olmaya yol açan kötü amaçlı kod içerebilir.

Birinin web sitesini hacklemenin bir başka yaygın nedeni de onu hacktivizm olarak tahrif etmek olabilir . Bu tür saldırıların nedenleri, onları gerçekleştiren gruplar kadar değişkendir. Biz onlar kabul etmiyorsanız ve hatta ISIS aynı tekniği dağıtır insanların web siteleri defacing “anonim” raporlarının bol oldu.

Ne yazık ki, tüm saldırılar görünür değildir ve bazıları oldukça incelikli ve izlenmesi zor olabilir. Örneğin, WordPress sitenizi bir e-mağaza olarak kullanıyorsanız, müşterinizin kredi kartı bilgilerini veya kişisel bilgilerini saklayabilirsiniz. Bu, herhangi bir bilgisayar korsanı için oldukça değerlidir ve bu bilgilerden yararlanmaya devam edebilmeleri için varlıklarını bildirmeme şansları yüksektir. Ek olarak, bir web sitesini hacklemekten elde edilen parasal kazançlar oldukça önemli olabileceğinden, yalnızca bitcoin gibi kripto para birimlerini çıkarmak için saldırıya uğramış web siteleriyle bile karşılaşıyoruz .

Sitemi nasıl koruyabilirim?

Kötü niyetli kullanıcılar tarafından kullanılan tüm güvenlik açıkları bunaltıcı görünse de, meşru bir kullanıcı olarak web sitenizi korumak için atabileceğiniz bazı temel adımlar vardır. İşte kullanabileceğiniz basit bir güvenlik kontrol listesi:

• Parolalarınızı güvende tutun: a Her zaman güçlü bir parola kullanın ve onu güvenli bir yerde saklayın. Aynı şifreyi birden fazla sitede kullanmayın. Parolanızı iki ayda bir güncelleyin.

• Yönetici hesabınız için asla yönetici veya herkese açık e-postalar kullanmayın

• Web sitenizi güncel tutun: Yukarıda bahsedilen, bilinen açıklar herkese açık hale getirilir. Web siteniz bir eklentinin veya temanın güncel olmayan, savunmasız bir sürümünü kullanıyorsa, risk altındasınız.

• Saygın bir barındırma şirketi kullanın: sorumsuz bir şirket tarafından sağlanan ortak barındırma ve barındırma, aynı sunucudaki başka bir web sitesinin güvenliği ihlal edildiğinden web sitenizin saldırıya uğramasına neden olabilir.

• Yalnızca güvenebileceğiniz kullanıcılara erişim izni verin: Web sitenize, buna ihtiyacı olmayan veya tam olarak güvenmediğiniz kullanıcılara erişim vermeyin. Herkes yönetici olmak zorunda değil.

• Bir güvenlik eklentisi kullanın: Bilgisayarlar için antivirüs programlarına benzer şekilde, WordPress için güvenlik eklentileri vardır. En önemlilerinden ikisi Sucuri ve Wordfence'dir .

• Sor: Web sitenizle ilgili bir güvenlik endişeniz veya sorunuz varsa geliştiricinize danışın.

Bu makalede, bir web sitesinin güvenliğinin ihlal edilmesinin bazı yaygın yöntemlerini ve nedenlerini araştırdık. Umarım bu bilgilerle, güvenlik kontrol listesinin yanı sıra, bilgisayar korsanlığı artık internette her zaman var olan güçlü bir tehdit gibi görünmeyecektir.

Güvende kalın, haberdar olun!

WordPress Tasarım ve Geliştirme konusunda yardıma ihtiyacınız varsa, bizimle iletişime geçmekten çekinmeyin.