btbilgi

İnternette web sitelerini kurmak ve yönetmek için içerik yönetim sistemleri (CMS) sıkça kullanılıyor. Bu sitelerin düzgün işlemesi ve çeşitli fonksiyonlara sahip olması eklentilere dayalı durumda. Bu da epey güvenlik açığına yol açabildiği için doğru yönetilmeleri çok önemli. Aksi takdirde daha dün haber yaptığımız KashmirBlack gibi botnet saldırılarına açık olabiliyorsunuz.

W3Techs sitesi, WordPress’in internette en çok ziyaret edilen ilk 10 milyon sitenin yüzde 38’inden fazlasının altyapısını oluşturduğunu aktarmakta. Dark Reading sitesi de çeşitli kaynaklardan en popüler CMS olan WordPress güvenliği için çeşitli ipuçları toplamış.

Barındırma

Her WordPress barındırma (hosting) sağlayıcısı farklı özellikler, tasarım ve eklenti seçenekleri sunmakta. WP yöneticilerinin barındırma firması tarafından sağlanan hizmetlerin, müşteri tarafından eklenen eklentilerle nasıl çalıştığını (ve potansiyel çakışmaları) anlamalı deniliyor.

OWASP Top 10

WordPress’in kendisi OWASP Top 10 (Open Web Application Security Project) listesine ve bu listedeki güvenlik risklerine özellikle dikkat çekiyor. K2 Cyber ​​Security pazarlamadan sorumlu müdür yardımcısı Timothy Chiu, “İşletmelerin OWASP Top 10 gibi iyi bilinen güvenlik sorunlarından başlayarak, uygulama güvenliğini daha ciddiye alması gerekiyor” açıklamasını yapmış.

Güvenlik yamaları

SaltStack müdür yardımcısı Ryan Smith şu bilgiyi veriyor: “Yamalara ayak uydurabilmek çok önemli. Bir WordPress sitesi güncel bile olsa, bazı popüler eklentiler savunmasız olabilir ve revize edilmiş kodları herkese açıldığı anda hemen güncellenmeleri gerekir. Bazı eklentiler eklenti yöneticileriyle bile otomatik olarak güncellenmez ve elle güncellenmeleri gerekir.”

PerimeterX’in güvenlik uzmanlarından Ameet Naik, WP eklenti güncellemelerinin geliştiricilerinin ve kurumsal güvenlik ekiplerinin en fazla dikkat etmesi gerekli şeylerden biri olduğunu hatırlatmış: “Eklentileri en son sürümle güncellemek önemli olsa da, üçüncü taraf kodunun bütünlüğünü garanti etmez”.

Şablonlar

Nvisium firmasında uygulama güvenlik danışmanı Leo Pate ise WordPress’te kullanılan tüm şablonların iyi bilinen kaynaklardan alınması ve güncel tutulması gerektiğini söylemiş. Eklentiler ve şablonlarla ilgili dikkate alması gereken faktörler arasında en son ne zaman güncellendiği, geliştiricilerin ve kullanıcıların yorumları, ürün incelemeleri ve eklentinin kaç kez indirildiği var. Önemli bir diğer faktör de kullanılması planlanan eklenti ve şablon için destek grubunun ne kadar büyük olduğu.

Sunucu ayarları

Leo Pate sunucu ayarları ile ilgili şu tavsiyeleri veriyor:

  • WordPress sunucusunun hizmetlerini yönetici kullanıcı olarak çalıştırmayın,
  • Varsayılan kullanıcı kimlik bilgilerini hem WP kurulumunda hem de veritabanı kimlik bilgilerinde değiştirin,
  • Sunucunun yalnızca TLSv1.2 veya TLSv1.3 üzerinden bağlantılara izin verdiğine emin olun.

Güvenlik eklentileri

WP kurulumlarını savunmaya yardımcı olmak için güvenlik odaklı eklentiler de kullanılabilir. Bunun içinde en popüler eklentiler olarak Securi ve Wordfence verilmiş. Securi ücretsiz sürümde kötü niyetli yazılım taraması, yapılandırma dosyası sağlamlaştırma ve temel bütünlük kontrolleri sunmakta. Wordfence ise kötü niyetli yazılım taraması, oturum açma girişimi sınırlama ve web uygulaması güvenlik duvarı (WAF) sağlıyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.