btbilgi

Bir web içerik yönetim platformu olan WordPress, internetteki tüm web sitelerinin üçte birinden fazlasının idare edilmesinde kullanılıyor. Bu sitelerin bazıları dünyanın en çok trafik alan siteleri, birçoğu da e-ticaret sitesi. Aslında web güvenliğinin en üst seviyede olması gerektiği halde, açık kaynak tabanlı olduğu için WordPress’in güvenlik açıkları bulunabiliyor. Daha önce platformun çeşitli eklentilerinin web sitelerinin güvenliğini tehlikeye soktuğunu gördük. Dark Reading, bu platformdaki sitelerin güvenliğini geliştirmek için bazı ipuçları veriyor:

Tehdit modeli

Raporda şirketlerin gerçekten neyi korumaları gerektiğini fazla düşünmediği savunulmakta. Halbuki WordPress sitelerinin sahiplerinin bazı soruları cevaplayarak, bir tehdit modeli oluşturmaları birçok sorunu baştan engelleyebilir denilmekte. Şirketin hangi verileri, kime karşı koruması gerekiyor? Korunması gereken fikri mülkiyet hakları var mı? Hangi saldırılara karşı koruma gerekiyor?

Güncelleme ve yamalar

Ponemon Enstitüsü’nden çıkan bir araştırmanın raporunda, web sitelerindeki ihlallerin yüzde 60’ında yamalanmamış bir güvenlik açığının kullanıldığı ortaya konulmuş. Güvenlik uzmanları web sitesi yöneticilerinin işletim sistemini, web sunucusunu ve WordPress’in kendisinin düzenli olarak güncellemesini tavsiye ediyorlar.

Parolalar ve erişimler

Araştırmacılar her daim kullanıcıların hesaplarındaki varsayılan parolaların değiştirilmesini ve karmaşık parolalar kullanılmasını hatırlatmaktalar. Ayrıca her web uygulaması için benzersiz parola oluşturup bunu hafızada tutabilen parola yöneticilerinin kullanılması işleri kolaylaştırabilir. Bir başka öneri ise siteye erişim verilmiş hesaplarda (yöneticiler, editörler, yazarlar gibi) çok faktörlü kimlik doğrulamanın aktive edilmesi.

Uygulama güvenliği

WordPress eklentilerinin genelde PHP programlama dili ile yazıldığı ve bu dilin OWASP web uygulama güvenlik riskleri listesindeki ilk 10 tehlikeye karşı savunmasız olduğu aktarılmakta. Web yöneticilerinin uygulama güvenliğine daha çok önem vermeleri, WordPress’te tespit edilen siteler arası komut dosyası oluşturma (XSS) ve uzaktan kod çalıştırma (RCE) gibi kritik güvenlik açıklarının kapatılması yönünde önlemler alınması tavsiye edilmekte.

Tasarlama, tarama ve test

Tüm web sitesi sahiplerinin bu üç konuyu önemle ele alması gerektiği belirtiliyor. Öncelikle web sitesinin amacının belirlenmesi, hangi sorunları çözeceği, kullanıcılar tarafından nasıl gezileceği, erişimin nasıl sağlanacağı ve verilen nasıl korunacağı gibi tasarımsal konuların açığa kavuşması gerekli. İkinci aşamada web sitesinin ucuz ve verimli yöntemlerle düzenli şekilde taranması gerekli. Son olarak da genel güvenlik sorunlarına karşı bilinen açıkların test edilmesi gerekiyor. Bunlar sayesinde proaktif güvenlik sağlamak mümkün olacak.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.