WordPress'in güvenli olup olmadığı sorusu karmaşıktır. Bu, açıkça dünyadaki tüm WordPress destekli web sitelerinin yaklaşık dörtte biri için yeterince güvenli bir platform olsa da, kusurları da yok değil.
Peki, WordPress'in güvenliğinden kim sorumludur? Tabii ki, bu sorumluluğun bir kısmı nihayetinde düşüyor vos omuzlar. Bu yüzden farkında olmak ve saygı duymak çok önemlidir. WordPress güvenlik en iyi uygulamaları Oluşturduğunuz tüm siteleri olabildiğince güvenli tutmak için.

Bununla birlikte, WordPress'in arkasındaki ekibin de tüm bunlarda bazı sorumlulukları vardır. Sonuçta, WordPress'in çekirdeğini kendiniz korumak için yapabileceğiniz hiçbir şey yok.

WordPress güvenliği sorunu sizi çevrimiçi ortamda iş yapmaya çalışan herkes kadar rahatsız ediyorsa, aşağıdakileri okumaya devam edin.

WordPress güvenlik sorunları hakkındaki hikayenin bir kısmından ve WordPress projesinin bu konuda ne yaptığından bahsedeceğim.

WordPress güvenlik sorunlarının kısa bir geçmişi

Sorun, WordPress'in bilgisayar korsanlığı girişimlerine ve güvenlik açıklarına eğilimli zayıf bir içerik yönetim sistemi olması değildir. Daha çok görünürlük sorunu. WordPress, dünya çapında en popüler CMS'dir, bu nedenle elbette bilgisayar korsanları için kolay bir hedef olacaktır.

WordPress çevrimiçi olarak eleştirilmektedir (bloglar, forumlar, podcast'ler vb..). Bu nedenle, platformun zayıf yönleri iyi bilinmektedir. Bilgisayar korsanlarının öncelikle WordPress web sitelerini hedef alması mantıklı olurdu, değil mi?

Güvenlik herkes için önemli bir konuşma noktasıdır WordPress blog veya web geliştirme. WordPress projesine göre (platformun güvenliğini yönetmekten sorumlu ekip), her zaman güvenlik yamaları yayınlarlar. Kontrol paneline giriş yaptığınızda aldığınız otomatik güncelleme bildirimlerini biliyor musunuz? "WordPress 4.7.2'ye güncellendi" veya bunun gibi bir şey mi? Genellikle bu küçük sürümlerin çıktığını gördüğünüzde, bunun nedeni ekibin bir güvenlik sorununu düzeltmesi gerektiğidir.

Ve bunlar genellikle gerçekleşir:

La Panama Makaleleri verilerinin ihlali 2016’ten kısmen bir Devrimi Kaydırıcısı WordPress eklentisindeki bir güvenlik açığına bağlandı.

Bununla birlikte, WordPress'in REST API'den kaynaklanan çok yeni ve yüksek profilli bir güvenlik ihlalini nasıl ele aldığını görmek güven verici.

İşte işler böyle gitti:

  • Ocak 2017'de WordPress 4.7.2 güncellemesini yayınladı. Güncellemeler veya düzeltmeler listesinin hiçbir yerinde bahsedilen güvenlik yaması yoktu.
  • Yaklaşık bir hafta sonra WordPress, kullanıcılara bu güncellemede tespit edilen ve düzeltilen bir güvenlik açığı olduğunu bildirdi.
  • Kullanıcıları bilgilendirmede gecikmelerinin nedeni nedir? Çünkü hackerlar WordPress bunu bilmeden ve sorunu çözmeden önce çekirdeği güncellemeleri için kendilerine zaman vermek istediler.

Elbette bu, bilgisayar korsanlarının bu arada 1,5 milyon WordPress sitesini bozmasını engellemedi. Ayrıca, CMS'yi hiç güncellemeyen (veya çok geç yapmayan), saldırıya karşı savunmasız kalan WordPress kullanıcıları da var.

Sonuç olarak WordPress tarafından bir yama yayınlanmış ve reklamı çok ihtiyaç duyulan incelikle ele almış olsalar da, bu süreçte bir milyondan fazla site yaralandı. Ve daha da kötüsü, birçok web sitesi sahibi bu bozulmayı gerçekleştikten sonra bile görmezden gelmeye devam etti.

Güvenlik yamaları 2015'teki en yüksek suistimal oranıyla daha sık ortaya çıkıyor gibi görünüyor. Bunlardan daha fazlası meydana geldikçe, WordPress'in güvenliğini sağlamaktan kimin sorumlu olduğunu ve korunduğunuzdan emin olmak için sonunda ne yapabileceğinizi bilmeniz önemlidir.

güvenlik wordpress.png

WordPress projesi (ve güvenliği) hakkında bilmeniz gerekenler

İşte WordPress projesi hakkında bilmeniz gerekenler ve ne için yaptıkları çekirdek güvenliğini sağlamak .

WordPress güvenlik ekibi

Öncelikle WordPress projesinden bahsedelim. Bu güvenlik ekibi, tümü WordPress'in geliştirilmesi veya güvenliği konusunda uzman olan yaklaşık 25 kişiden oluşur. Şu anda, WordPress projesindeki insanların yarısı Automattic için çalışıyor.

Bu uzmanlar ekibi, çekirdekteki güvenlik risklerini belirlemekten sorumludur. Ayrıca, üçüncü taraflarca sunulan temalar veya eklentilerle ilgili olası sorunları incelemekten ve araçlarını nasıl güçlendirebilecekleri veya bilinen ihlalleri nasıl düzeltebilecekleri konusunda önerilerde bulunmaktan sorumludurlar.

Bu sorunları belirlemek ve çözmek için genellikle kendi başlarına çalışsalar da, ara sıra bu alandaki diğer uzmanlara, özellikle de güvenlik şirketleri ve güvenlik şirketlerindeki uzmanlara danışırlar.hébergement.

WordPress güvenlik risklerini nasıl belirler?

Tahmin edebileceğiniz gibi, WordPress proje ekibi iyi yağlanmış bir makine gibi çalışıyor. Güvenlik risklerini belirleme ve çözme süreci şu şekilde işler:

  • Güvenlik ekibinden veya ekibin dışından biri tarafından bir sorun belirlenir. Projenin üyesi olmayan üyeler, tespit edilen bu sorunları şu adrese bir e-posta göndererek iletebilir: [e-posta korumalı].
  • Bir rapor kaydedilir ve güvenlik ekibi alındığını onaylar.
  • Ekip üyeleri daha sonra tehdidin geçerli olduğunu doğrulamak için özel bir sunucuda birlikte çalışır.
  • Tespit edilen güvenlik açıklarını takip ettikleri, test ettikleri ve tamir ettikleri yer burasıdır.
  • Güvenlik düzeltme eki daha sonra bir sonraki WordPress Minor sürümüne eklenir.
  • Daha az ciddi onarımlar için, WordPress, otomatik bir gönderi gerçekleştiğinde kullanıcıları WordPress kontrol panelinden haberdar eder.
  • Daha acil konular için, gönderi hemen çıkacak ve WordPress.org bunu sitenin Haberler sayfasında duyuracak.

Elbette, 4.7.2. İle gördüğümüz gibi, WordPress bu güvenlik düzeltmelerini her zaman duyurmaz (geçerli nedenlerle), ancak bunları çözmek için her zaman hemen harekete geçerler.

Otomatik güncellemeler hakkında not

3.7 sürümünden bu yana, WordPress, tüm web sitelerine otomatik olarak küçük güncellemeler gönderme yeteneğine sahiptir. Bu, WordPress güvenlik ekibinin acil düzeltmeleri zamanında alabilmesini ve kullanıcıların web sitelerinin her birinde hemfikir olmasını ve güncelleme yapmasını beklemek zorunda kalmamasını sağlar.

Ancak, WordPress kullanıcılarının bu otomatik güncellemeleri kapatması mümkündür. Sizin için durum böyleyse, özellikle en son ve en büyük güncelleme için tüm sitelerinizi özenle izlemek için zamanınız yoksa, sitenizi riske atabileceğini unutmayın.

Eklentilerin ve temaların güvenliği

Ziyaretçilere daha iyi bir web deneyimi sağlamak sizin sorumluluğunuzda olduğu gibi, eklenti geliştiricileri ve WordPress temaları kullanıcılarının (yani sizin) güvenliğinden sorumludur. WordPress on binlerce eklentiyi ve temayı kaldıramasa da, en azından onları yakından takip ederek ciddi bir şeyin çatlaklardan kaçmayacağından emin olabilirler.

WordPress projesi, bir güvenlik sorunu tespit edildiğinde geliştiricilerle çalışmaktan sorumlu ekiptir. Ancak bundan önce, WordPress'e gönderilen her temayı veya eklentiyi incelemek için atanmış bir gönüllüler ekibi var. Bu ekip, en iyi uygulamaların takip edilmesini sağlamak için geliştiricilerle birlikte çalışacaktır.

Bununla birlikte, güvenlik açıkları hala ortaya çıkabilir ve bu, WordPress güvenlik ekibinin devreye girmesi gereken zamandır:

  • Eklentilerin ve temaların geliştirilmesinin yanı sıra güvenlikteki en iyi uygulamalar hakkında da WordPress geliştiricileri için belgeler sağlayın.
  • Olası güvenlik açıkları için eklentileri ve temaları izleyin. Tespit edilen herhangi bir sorun daha sonra geliştiricinin dikkatine sunulacaktır.
  • Geliştiriciler yanıt vermezse veya işbirliği yapmazsa, zararlı eklentileri veya temaları dizinden kaldırın.

WordPress daha sonra, bu güvenlik düzeltmeleri (veya kötü eklentilerin ve temaların kaldırılması) mevcut olduğunda kullanıcılarını WordPress yöneticisi aracılığıyla bilgilendirecektir.

WordPress güvenliği dikkatli olmanızı gerektirir

Tüm bunlardan geçtikten sonra, WordPress çekirdeğini her zaman güvende tutmak için çalışan özel bir ekibin olduğunu bilmek beni biraz daha rahatlatıyor. Ancak bu, benim (veya sizin) bu rahatlık hissine kapılmam gerektiği anlamına gelmez.

Gördüğümüz gibi, geçtiğimiz Ocak ayında bile 1,5 milyon web sitesi zarar görmüş olsa da, WordPress projesi platformu izlemek ve güvenliğini sağlamak için ne kadar iyi olursa olsun, bilgisayar korsanları bir çözüm bulacaktır.

Bu nedenle, tüm bunlarda üzerinize düşeni yapmanız ve sitelerinizi her açıdan güvende tutmanız önemlidir.