Huysuz Tasarımcı WordPress Kötü Amaçlı Yazılımını Kullanıyor
Yayınlanan: 2022-10-12Bazı meslekler zamanla yok olurken, web tasarımcılarına her zaman ihtiyaç olacaktır. Neden? Niye? Çünkü her geçen yıl iş daha karmaşık hale geliyor. Otomatik ve kod gerektirmeyen araçların erişiminin ötesine geçen yeni sorumluluklar geliyor.
Web sitesi güvenliği en iyi örnektir. 1990'ların ortalarında bu yola başladığımda bile her zaman bir endişe kaynağı olmuştur. O zamanlar, birincil endişe, saldırıya uğramış bir FTP parolası veya kızgın bir eski iş arkadaşının dosyaları tahrif etmesi/silinmesiydi. Bu günlerde, çok daha fazlası. Devasa bir deniz canavarına dönüşen sinir bozucu bir böcek gibi.
Ve o canavar, dokunaçlarını bu huysuz tasarımcının etrafına tamamen sardı. İş, kötü amaçlı yazılım bulaşma, temizleme ve yeniden bulaşmadan oluşan bir kısır döngü haline geldi. Sonra tekrarlayın.
Canavarın kötü niyetinin ana hedefi WordPress'tir. İçerik yönetim sistemi (CMS) sürekli saldırı altında olduğu için bu sürpriz olmamalı. Web'in %40'ından fazlasına güç sağlayan bölge ile birlikte gelir.
Ne yazık ki, bu tür bir fiyaskoyla karşı karşıya kalan tek kişi olmadığımı biliyorum. Bununla birlikte, o canavarı yerine geri koymak için birkaç rant, düşünce ve öneri paylaşmak istedim.
Dikkatli Olmak Yeterince İyi Değil
Web sitesi güvenliğinin soğuk gerçekliği, hiçbir garantinin olmamasıdır. Hemen hemen her site kötü amaçlı yazılım tarafından ele geçirilebilir. Aramızdaki en dikkatli olanın bile başına gelir.
WordPress için geçerli olduğu için dikkatli olmak, birkaç temel şeyi akılda tutmak anlamına gelir:
- Yüklediğimiz tema ve eklentileri incelemek;
- Güncellemeleri rutin olarak uygulamak;
- Güvenli ve karmaşık şifreler kullanmak;
- Siteyi güvenliği ciddiye alan bir hizmette barındırmak;
- Dosya izinlerinin WordPress önerilerine uygun olmasını sağlamak;
- Güvenlik eklentileri ve güvenlik duvarları gibi ekstra savunma katmanları eklemek;
Bundan daha fazlası olsa da, yukarıdaki eylemler sağlam bir temel sağlar. Buradaki fikir, en temel saldırı türlerine karşı koruma sağlamaktır. Umarım aynı zamanda bazı daha karmaşık girişimleri de engeller.
Bu yaklaşımın sinir bozucu yönü, yalnızca güvenliğinizdeki en zayıf halka kadar güçlü olmanızdır. Saygın eklentiler bile güvenlik açıkları içerebilir. Ve bir saldırganın sorun çıkarmak için kullanabileceği çok sayıda vektör vardır - bunlar arasında doğrudan kontrolümüz olmayanlar da vardır.
Bu nedenle dikkatli olmak her saldırıyı savuşturmak için yeterli değildir.
Bir Hack'i Temizlemek Kaynakları Boşaltıyor
Güvenlik sorunlarından kaçınmak için adımlar atılmasına rağmen, saldırılar devam ediyor. Ve yaptıklarında, sonrasını temizlemek zorlu bir iş olabilir.
İşlem, değiştirilmiş olabilecek meşru WordPress çekirdek dosyaları da dahil olmak üzere tüm kötü amaçlı dosyaları tanımlamayı içerir. Wordfence eklentisinde bulunanlar gibi güvenlik tarayıcıları, dosyaları tanımlamaya yardımcı olabilir, ancak uyarılar var.
Bir sitenin yönetici hesabının güvenliği ihlal edildiyse veya bir saldırgan WordPress panosuna erişmek için bir güvenlik açığı kullandıysa - tüm bahisler kapalıdır. Bir güvenlik eklentisini devre dışı bırakma yeteneğine sahip olurlar. Oradan, fark edilmeden kalırken her türlü tahribata yol açabilirler.
Ayrıca, kötü amaçlı yazılımın sitenize nasıl girdiğini belirlemek nadiren basittir. Suçluyu bulduğumu düşündüğüm sayıları sayamam, ancak sonraki enfeksiyonlardan sonra yanlış olduğu kanıtlandı. Bir yanıt almak için genellikle dosyaları taramak ve güvenlik bloglarını incelemek gerekir. Yine de bazı konular bir sır olarak kalabilir.
Bu sadece ilgili herkes için stresli olmakla kalmaz, aynı zamanda diğer projeler üzerinde çalışma yeteneğinizi de engeller. Güvenlik ihlali, her şeyi kapsayan bir durum türüdür. Serbest çalışan biriyseniz, kaçınılmaz olarak saldırıya uğramış bir siteyi onarmakla uğraşırsınız.
Web Tasarımcıları Başka Ne Yapabilir?
Daha önce de belirttiğim gibi, kontrolümüz altında olan çok şey var. Web tasarımcıları bilinçli kararlar verebilir, ancak projelerimiz yine de kötü amaçlı yazılımların kurbanı olabilir. Bazı açılardan, umutsuz bir durum gibi görünüyor.
Ancak, güvenlik tehditleri ortadan kalkmıyor. Bir şey olursa, katlanarak büyümeye devam edecekler. Bu, denemeye devam etmemiz gerektiği anlamına gelir.
İşte yardımcı olabilecek birkaç strateji:
Eklenti Minimalisti Olun
Gereksiz WordPress eklentilerini kurulu tutmak asla iyi bir fikir olmasa da tehlikeli de olabilir. Bu yüzden ihtiyacınız olmayan her şeyi kaldırmaya değer.
Bazı durumlarda, mümkün olduğunda bir barebone özel eklentisi oluşturmaya değer olabilir. Kötü amaçlı botlar, WordPress çekirdeği ve belirli eklentilerdeki bilinen güvenlik açıklarını tespit etmeye çalışır. Bu, işlevselliği korurken riski azaltmanın bir yolu olabilir.
Ne olursa olsun, yüklediğiniz eklentilerde neler olup bittiğini takip etmek de iyi bir fikirdir. Düzenli olarak güncellendiklerinden emin olun ve artık bakımı yapılmayanlardan kaçınmaya çalışın.
Müşterilerden Güvenliğe Yatırım Yapmalarını İsteyin
Güvenlik, bir web tasarımcısının işinin önemli bir parçası olabilir. Bir web sitesini güçlendirmek ve ortaya çıkan sorunları azaltmak için çok fazla çalışma yapılır. Ancak fiyatlandırmamız her zaman bu gerçeği yansıtmaz.
Bu nedenle, müşterilerden bu alana yatırım yapmalarını istemek mantıklıdır. Güvenlikle ilgili araçlar ve hizmetler önererek, proaktif olarak ekstra koruma katmanları eklersiniz. Bakım paketlerinize düzenli güvenlik kontrolleri ekleyerek, neler olup bittiğini yakından takip edeceksiniz.
Bu stratejinin bir başka yararı da, güvenlik bilincini artırmanızdır. Müşteriler konuyu daha iyi kavradıklarında, önleyici tedbirler alma olasılıkları daha yüksek olacaktır.
Temizlik için Bir Plan Yapın
Hiçbirimizin saldırıya uğramış bir siteyle uğraşmak istemediğini söyleyebiliriz. Bunun olmasını önlemek için elimizden gelen her şeyi yapıyoruz. Ve… yine de olur.
Bu nedenle, kafanızı kuma gömmek yerine bu senaryoya hazırlanmak daha iyidir. Güvenliği ihlal edilmiş bir siteyi verimli bir şekilde temizlemenize yardımcı olacak bir süreç geliştirin.
Her zaman ilk (veya ikinci) seferde çalışmayabilir. Ancak her başarısızlık iyi bir öğrenme deneyimidir. Sonunda, süreci iyileştirecek ve başarı şansınızı artıracaksınız.
Profesyonel Yardım Alın
Web sitesi güvenliğini yönetmek dağınık ve sinir bozucu - herhangi birimizi terapiye sokmaya yetecek kadar. Bu tür profesyonel yardım her zaman memnuniyetle karşılanır. Ama burada bahsettiğim türden değil.
Bunun yerine, güvenlik uzmanlarıyla çalışmaktan bahsediyorum. Örneğin, müşterinizin web sitelerini kilitlemeye ve onları herhangi bir enfeksiyondan kurtarmaya yardımcı olan hizmetler.
Müşterilerinize iletebileceğiniz bir maliyet söz konusudur. Ve uzun vadede akıl sağlığınızı koruyabilir.
Kötü Amaçlı Yazılım Kaosu Yeni Normaldir
Bazı yönlerden, bir web sitesinin güvenliğini sağlamak bir kedi-fare oyununa benzer. Kapattığınız her boşluk için başka bir boşluk belirir. Kötü niyetli aktörler, WordPress ve diğer platformlara sızmak için yöntemlerini sürekli olarak geliştiriyorlar. Ve hiçbirimiz bağışık değiliz.
Bu da işimizi daha zor ve zaman alıcı hale getiriyor. Ayrıca, web sitesi bakımını müşterilerimiz için daha pahalı hale getirir.
Elbette, web tasarımcısı olarak başladığımda hayal ettiğim şey bu değildi. Birçoğumuzun bu sektöre girmesi olası değil çünkü kötü amaçlı yazılımları temizlemekten keyif alıyoruz. Ama beğen ya da beğenme, bu yeni normal. Ve biz bu meşhur deniz canavarına karşı son savunma hattıyız. Savaşmadan aşağı inmeyi göze alamayız.