Bütün zamanların ən populyar məzmun idarəetmə sistemi olaraq WordPress milyonlarla müxtəlif veb-saytları gücləndirir. Bu, açıq mənbəli proqramdır, yəni onun mənbə kodu ictimaiyyətə açıqdır və kifayət qədər biliyə malik olan demək olar ki, hər kəs tərəfindən dəyişdirilə bilər.
WordPress plaginlərini və mövzularını ala bilsəniz də, onlardan on minlərlə pulsuzdur. Təəccüblü deyil ki, bunun çatışmazlıqları da yoxdur. Beləliklə, WordPress veb saytları nə qədər həssasdır? Mövzularınız və plaginləriniz haqqında nə demək olar? Saytlarınızı necə qoruya bilərsiniz?
WordPress nə qədər həssasdır?
2022-ci ilin fevral ayında jetpack AccessPress Themes provayderindən (həmçinin Access Keys kimi tanınır) populyar mövzuların və plaginlərin pozulduğu aşkar edilib. Tədqiqatçılar sındırılmış vebsaytda şübhəli kodu aşkar etdikdən sonra bu boşluğu təsadüfən aşkar ediblər. Əlavə araşdırmadan sonra onlar başa düşdülər ki, əksər AccessPress komponentləri və hər mövzu eyni kodu ehtiva edir.
Daha sonra məlum oldu ki, AccessPress Mövzuları 2021-ci ilin sentyabrında hakerlər satıcının plaginlərinə və mövzularına arxa qapı yeritdiyi kiberhücumun qurbanı olub.
Nəhayət, AccessPress məhsullarını yenilədi və təmizlədi, lakin minlərlə istifadəçi uzun müddət ərzində hücumlara qarşı həssas idi.
WordPress plaginləri və mövzularında zəifliklər varmı?
Jetpack-in tapıntıları WordPress-in nə qədər həssas olduğunu təsdiqləyir. Ancaq bu, tək bir hal deyildi.
Məsələn, 2021-ci ilin mart ayında Söz hasar Şirkət iki WordPress plaginində əsas təhlükəsizlik boşluqlarını açıqlayıb ki, bu boşluqlar uğurla istismar edilsəydi, təcavüzkarın veb-sayta nəzarəti ələ keçirməsinə imkan verəcəkdi. Boşluqlar Elementor və WP Super Cache plaginlərində aşkar edilib. Elementor yeddi milyondan çox veb-saytda istifadə edilən veb sayt qurucusudur, WP Super Cache isə məşhur keş plaginidir.
2022-ci ilin fevral ayında, məs Axtarış motoru jurnalı ABŞ hökumətinin zəifliklər bazası və WordPress təhlükəsizlik tədqiqatçılarının onlarla WordPress plaginlərində ciddi təhlükəsizlik boşluqları barədə xəbərdarlıq etdiyi bildirilir.
Bu plaginlərdən doqquzu 1.3 milyondan çox vebsaytda istifadə olunur: Başlıq və Altbilgi Kod Meneceri, Reklam Yerləşdiricisi – Adsense və Reklam Meneceri, Popup Yaradıcısı, Zərərli Proqramdan Mühafizə, Firewall Brute Force, WP Content Copy Protection və No Right Click, WordPress, GiveWP, Download Manager və qabaqcıl verilənlər bazası təmizləyicisi üçün verilənlər bazası ehtiyat nüsxəsi.
WordPress saytınızı necə qorumaq olar
Güman etmək olar ki, bu zəifliklər aşkar edilən kimi həmişə düzəldilir və ya silinir, lakin əslində belə deyil.
-də araşdırma aparır Bir yığın ləkə 2021-ci ildə WordPress zəifliklərinin 150-ci ilə nisbətən 2020 faiz artdığını və bu zəifliklərin 29 faizinin yamaq almadığını müəyyən etdi. Patchstack həmçinin aşkar etdi ki, bildirilən qüsurların yalnız 0.58 faizi WordPress nüvəsindədir, yəni boşluqlar demək olar ki, həmişə plaginlərdə mövcuddur.
İstifadə etdiyiniz bütün plaginlərin, eləcə də WordPress nüvəsinin özünün yeni olduğundan əmin olmaq vacibdir.
Plugini yükləməzdən və quraşdırmadan əvvəl əvvəlcə bir az araşdırma apardığınızdan əmin olun. Plugin quraşdırmalarının sayını yoxlayın, onlayn rəyləri oxuyun, sonuncu dəfə nə vaxt yeniləndiyini öyrənin və WordPress-in ən son versiyası ilə sınaqdan keçirildiyini yoxlayın. Bu, yalnız bir neçə dəqiqə çəkəcək, lakin gələcəkdə sizi çoxlu problemlərdən xilas edə bilər.
Alternativ olaraq istifadə edə bilərsiniz WPScan, sadə və effektiv WordPress zəiflik skaneri. Bu alət həm də adı ilə plagini axtarmaq üçün istifadə edilə bilər. Pulsuz versiya gündə 25-ə qədər API sorğusuna imkan verir.
Xoşbəxtlikdən, bəzi plaginlər WordPress saytınızı hakerlərdən qorumaq üçün hazırlanmışdır. LockDown, Wordfence və BulletProof Security bu gün ən yaxşı WordPress təhlükəsizlik plaginlərindən bəziləridir. Login LockDown tamamilə pulsuzdur, digər iki versiyada əsas və pulsuz modellər var.
WordPress təhlükəsizlik məsləhətləri
WordPress həssas olsa da, əsas təhlükəsizlik tədbirləri kiberhücumların qarşısını almaq və onlardan müdafiə etmək üçün uzun bir yol gedir.
Tək giriş və iki faktorlu autentifikasiyadan istifadə etmək, bütün proqram təminatını yeni saxlamaq, mövzu adlarını və giriş məlumatlarını gizlətmək WordPress təhlükəsizlik gigiyenanızın əsasını təşkil etməlidir.
