WordPress Güvenliği ile Köstebek Vurma Oynamak
Yayınlanan: 2020-01-11Bu çağda (küçük bir web sitesi bile) bir web sitesinin güvenliğini sağlamak giderek daha zor hale geliyor. Ve eğer WordPress kullanıyorsanız, sırtınızda eski bir bullseye de sahip olabilirsiniz. Hain insanlar ve amansız robotlar arasında her günün her dakikası bir savaş alanı haline geldi.
Bunun gerçekten çarpıcı yanı, hemen hemen tüm doğru şeyleri yapabilmeniz ve yine de saldırıya uğramış bir siteyle sonuçlanabilmenizdir. Devam edin ve eklentilerinizi ve temanızı güncel tutun. Bir güvenlik eklentisi çalıştırın veya girişe başka engeller koyun. Bunların hepsini yapın ve yine de kendinizi tehlikeye atılmış bir konumda bulabilirsiniz.
Kısa bir süre önce, bu zor gerçeği kendim keşfettim. İşleri "doğru şekilde" yaptığımızı düşünmemize rağmen, çok sayıda sorunla karşılaşan bir sitede bir meslektaşıma yardım ettim. Oturup deneyim hakkında düşünmem için bana ilham verdi. Bununla birlikte, burada öğrendiklerim hakkında bazı düşünceler ve bir WordPress web sitesini daha güvenli hale getirmek için atabileceğimiz ileri adımlar hakkında bazı teoriler var.
Geçmiş Size Musallat Olabilir
WordPress çekirdeği, eklentileri ve temalarının hepsinin kendi güvenlik kusurları vardır. Eklentilerin ve temaların aynı türde muamele görmesini umar ve dua ederken, çekirdek genellikle hızlı bir şekilde yamanır. Ancak gördüğümüz gibi, delikleri tıkamak her zaman yeterli değildir.
Siteniz birkaç yıl önce kurulduysa, hiç bilmediğiniz güvenlik açıklarına maruz kalmış olabilirsiniz. Belki yamalılardı… ya da belki değildi. Sorun çözülmüş olsa bile, siteniz siz bir yama yükleyene veya bir öğeyi tamamen kaldırana kadar bir süre açıkta kalmış olabilir. Aradaki sürede ne oldu? Uzun bir süre öğrenemeyebilirsiniz.
Örneğin daha önce bahsettiğim o sorunlu sitede gezinirken /wp-includes/ dizininde zararlı dosyalar bulundu. Her biri, o dizindeki diğer meşru dosyaların adını ve değiştirilme tarihini taklit eden .php dosyalarıydı. Şimdi, dosyaların baştan beri oradaymış gibi görünmesi için bir şekilde eski tarihli olması mümkündür. Ama görünüşe göre düşünürsek, bir uykuda kötü amaçlı yazılım vakamız varmış gibi görünüyor. Belirli bir tarih ve saatte bir miktar yük sağlayan bir bilgisayar virüsü gibi, bu kötü amaçlı kod harekete geçmek için "çağrıyı almış" olabilir.
Mesele şu ki, potansiyel olarak yanlış zamanda yanlış eklentinin yüklenmesi gelecekte başınızı ağrıtabilir. Güncel kalmak harika bir stratejidir, ancak kusursuz değildir. Son zamanlarda kasıtlı olarak kötü amaçlı kod dağıtan bir avuç eklentiyi görmek, bir yakalama-22'de olduğunuzu gösteriyor.
Sürekli Değişen Bir Manzara
Sorulsaydı, sanırım çoğumuz işimizde birkaç yıl öncesine göre daha iyi olduğumuzu söylerdik. Öğrenir, geliştirir ve bu yeni bilgiyi işimize uygularız. Bu nedenle, bir web sitesi oluştururken seçimlerimiz de gelişir. Kullandığımız araç ve teknikler nadiren her yıl aynı oluyor.
WordPress ve ekosistemi aynı süreçten geçer – ancak çok daha hızlı bir şekilde. Dünün olmazsa olmaz eklentisi yarın toza dönüşebilir. Tek bir hantal güncelleme, kullanıcıları yığınlar halinde uzaklaştırabilir.
Bu nedenle, birkaç yıl önce oluşturduğunuz ve bir müşteriye devrettiğiniz bir site, bugün kullanmayı düşünmeyeceğiniz eklentileri çalıştırıyor olabilir. Eskilerin dediği gibi: "Görüş dışı, akıl dışı."
Yalnızca en son sürümleri kullandığınızdan değil, aynı zamanda artık en iyi seçenek olmayan öğeleri de değiştirdiğinizden emin olmak için biraz dikkatli olmak gerekir. Ne yazık ki, bu tür sürekli dikkat, birçok tasarımcı için her zaman pratik değildir. Her zaman zamanımız olmuyor ve müşteriler her zaman buna ayıracak bütçeye sahip olmuyor. Bir eklentiyi değiştirmenin bazı durumlarda oldukça büyük bir girişim olabileceği gerçeğinden bahsetmiyorum bile. Bir tema daha da zor olabilir.
Gerçekte, her şey dev bir köstebek vurma oyunu gibidir. Bazen tek savunman, elinde tokmakla, ortaya çıkan bir sonraki yaratığı tokatlamaya hazır halde hazır durmak gibi görünüyor. Daha iyi bir yol olmalı.
Daha Ne Yapabiliriz?
Bu nedenle düzenli olarak güncellemeler uyguluyor ve ekstra güvenlik önlemleri alıyoruz. Güçlü şifreler kullanıyoruz ve sitemize izinsiz erişimi mümkün olduğunca zorlaştırmaya çalışıyoruz. Yine de, bazıları üstesinden gelen sürekli saldırılarla karşı karşıyayız.
Güvenlik konusunda en önde gelen uzman olmadığımı kabul ediyorum. Ancak sitelerimizi kötü amaçlı yazılımlardan ve benzerlerinden temiz tutmak için atabileceğimiz diğer adımlar hakkında bazı düşüncelerim var. Belki bazıları biraz cahil ama benim umudum, tüm insanlığı kurtarmak yerine tartışmaları alevlendirmek.
Eklenti Denetimleri
Bu, rutin olarak kendimiz yapabileceğimiz ve aslında müşterilerden ücretlendirebileceğimiz bir şey. Buradaki fikir, rutin olarak (belki yılda 2-3 kez) hangi eklentilerin kurulu olduğuna bakmak ve potansiyel olarak sorunlu olanları ayıklamaktır. Terk edilmiş olarak kabul edilen (en az iki yıl boyunca güncelleme yapılmayan) veya WordPress Eklenti Deposu'ndan tamamen kaldırılan eklentileri arayın. Ardından, gerektiğinde değiştirmeler yapın.
Daha İyi Bilgiye Erişim
Daha da iyisi, hangi eklentilerin eski/kötü amaçlı/kaldırıldığı konusunda bizi bilgilendiren büyük ölçekli bir hizmet olacaktır. Geliştiriciler ve site sahipleri, bu tür bir kaynağın parmaklarımızın ucunda olmasından büyük ölçüde yararlanabilir. WordPress ekosisteminde neler olduğunu bilmek bile daha fazla sorundan kaçınmamıza yardımcı olabilir.
Daha Akıllı Kararlar Verin
Sık sık, o belirli zamanda en iyi kararlar olduğunu düşündüğümüz şeyleri yaparız. Ama daha iyisini yapabiliriz. Örneğin, bir eklenti seçmek genellikle bir soruna en hızlı çözümü bulmakla ilgilidir. Ancak en hızlı çözüm her zaman en iyisi değildir. Kaliteleri için inceleme eklentileri, işlevleri kadar eşit derecede önemli olmalıdır. Her zaman doğru anlamayacağız, ancak değişiklik günlüklerine ve destek forumlarına bakmak karar vermede çok yardımcı olabilir.
Oyunu Anlayın
Yeni inşa edilmiş bir siteyi kullanıma açtığımızda bu, işimizin bittiği anlamına gelmez. İşleri güvende tutmak için, neler olup bittiğine dikkat etmeye devam etmeliyiz. Bunun bir kısmı, bir şeyler ters gittiğinde bize e-posta gönderen otomatik güvenlik eklentileri kullanıyor olabilir. Ama aynı zamanda arada bir etrafa manuel olarak bakmakla da ilgili. WordPress panosunu inceleyin ve ayrıca şüpheli herhangi bir şey aramak için sitenin dosya yapısına bakın.
Proaktif Barındırma
Çoğu web barındırıcısının güvenliği birinci öncelik haline getirdiğini düşünmek isterim. Ancak bu, iyileştirme için yer olmadığı anlamına gelmez. Kendi deneyimlerime göre, ana bilgisayarlar genellikle sorunlara oluştuktan sonra tepki veriyor gibi görünüyor. Güvenlik yaklaşımlarında daha proaktif olan ana bilgisayarlardan yararlanabileceğimize inanıyorum. Örneğin, müşterileri en son güvenlik tehditleri ve sitenizi bunlara karşı nasıl güçlendireceğiniz konusunda uyarmak.
Müşterileri Eğitin
Son olarak, müşterileri WordPress'te yapılması ve yapılmaması gerekenler konusunda eğitmek önemlidir. Sitenin arka ucuna erişirlerse, eklentileri yüklemenin veya hesap bilgilerini başkalarına vermenin olası risklerini bilmelidirler. Kendi sitelerini güvenli ve sağlam tutmak için oynayacakları büyük bir rol var.
Her Zaman Bir Hedef
WordPress o kadar yaygın olarak kullanılıyor ki, neden bilgisayar korsanları için bir hedef haline geldiğine şaşmamalı. Ne yazık ki, bu, tüm bu büyük başarı ile birlikte gelen bir şey.
Bu nedenle, güvenlik uygulamalarımız söz konusu olduğunda hepimizin seviye atlaması gerekiyor. İdeal olarak bu, düzenli site kontrolleri ve en önemlisi kritik bilgilere erişim anlamına gelir. Bilgi, herhangi bir zorluğun anahtarıdır. Onsuz, sonsuza kadar o karnaval oyununu oynamak zorunda kalacağız.