Popülerliğin Bedeli: Neden Hackerlar WordPress’i Hedef Seçiyor?

WordPress, kullanıcı dostu özellikleri nedeniyle dünyanın en hızlı büyüyen, en popüler CMSidir, ancak bu aynı zamanda onu bir hedef yapıyor. WordPress neden korsanlar arasında popülerdir?

Üniversite deneyimleri hakkında yazılan basit bir blog olsun yada Time Dergisi, WordPress, bir web sitesinde içerik yayınlamak isteyen herkes için tercih edilen platformdur. Bunun tabiikide iyi sebepleri vardır: WordPress yalnızca Açık Kaynaklı bir yazılım değil aynı zamanda genişletilebilir, esnek ve aktif olarak katkıda bulunan bir topluluk tarafından da destekleniyor.

WordPress ne kadar popüler?

WordPress şu anda dünyada en çok kullanılan ve en hızlı büyüyen CMSdir. W3Tech’in Şubat 2019 verilerine göre CMS pazarının % 60.2’lik kısmını, bütün internetini %33.3’lük kısmını WordPress oluşturmakta ve bu rakam sürekli artmakta.

WordPress’i popüler yapan tüm özellikleri göz önünde bulundurursak, sistemin bu pozisyona nasıl ulaştığı ve neden daha hızlı büyüyeceği şaşırtıcı değildir. Her şeyden önce, açık kaynak olup, etkili bir şekilde nasıl kullanılacağını öğrenmek isteyenlere şeffaf olduğu ve aynı zamanda onu rahat, genişletilebilir ve işlevsel hale getirmeye yardımcı olan çeşitli alternatifler sunması anlamına gelir. Joomla ve Drupal gibi diğer Açık Kaynak kodlu CMS’ler arasında en popüler yapan şey, daha kullanıcı dostu olmasıdır. WordPress, diğer Açık Kaynak CMS’lerinden daha az teknik bilgi gerektirir ve bu konuda kullanımı çok daha kolaydır.

Bu noktada WordPress’in popülaritesi onu açık bir hedef haline getiriyor

WordPress, yalnızca temel teknik bilgileri gerektiren bir yayın platformu olarak başladı. Bu WordPress’i popüler yapan şeydi. Ne kadar çok kullanıcı edinirse, topluluk tarafından bunun için o kadar fazla yaratıldı. Oluşturulan eklentiler WordPress’i daha esnek ve daha işlevsel hale getirdi. Bu daha yaygın kullanıldığı anlamına geliyordu.

Diğer CMS’lerden daha fazla kullanıcının olması, Windows’un hala yeniyken nasıl hedeflendiğine benzer bir şekilde WordPress’i hedefe koyuyor. O zamanlar, işletim sistemi çok yaygın bir şekilde kullanıldığından, bilgisayar korsanları, geliştiricilerin öngörmediği zayıf noktaları hedefliyordu. Bu, daha fazla kullanıcının potansiyel olarak tek bir hackten etkilenebilmesini sağladı.

Çoğu hack girişimi otomatiktir, yani bilgisayar korsanının müdahalesine ihtiyaç duymazlar. Bilgisayar korsanı, yalnızca bir tarayıcı botunu, çalışmasına izin veren güvenlik açıklarını bulduğunda kötü amaçlı kod çalıştırması için programlar. Bot daha sonra aynı ortak güvenlik açığına sahip olan diğer sitelerdeki sömürüyü çoğaltır buda milyonlarca sitenin bir anda tehlikeye girmesine neden olabilir.



Sebep # 1: Geniş kapsam, daha fazla hasar

WordPress’e göre, ayda WordPress sitelerinde yaklaşık 22,9 milyon sayfa görüntülemesi var. Bu, WordPress’i bilgisayar korsanlarının saldırıları için cazip bir hedef yapar. Seyirciler ne kadar çok olursa, bir saldırının neden olabileceği potansiyel hasar o kadar fazla olur. Bilgisayar korsanları birçok nedenden dolayı açıktan yararlanırlar, bu nedenle bu hasarın kapsamı değişebilir, ancak amaçladıkları tek şey açıktan en iyi şekilde yararlanmaktır. Tek ihtiyaçları olan tüm benzersiz, tespit edilemez bir açıktır.

Buna bir örnek, TimThumb olabilir, o kadar popülerdi ki bir çok tema ile birlikte geliyordu. Böylece kullanıcılar, sitelerinin savunmasız kalması için eklentiyi yüklemek zorunda bile kalmadı. WordPress sitelerinde kullanılan temanın eklentiyi kullandığından habersizlerdi. Bu açık kullanıldığında, bazı kullanıcılar saldırıya uğradı, çünkü sitelerinde kötü amaçlı kod bulunduğunu bile bilmiyorlardı.
Dahası, XSS gibi saldırılarla, kötü amaçlı kodun yayılması için gereken her şey, yalnızca virüslü siteleri ziyaret eden veya kullanan insanlardır. Bunun gibi saldırılar hasarın kapsamını maksimuma çıkarır ve katlanarak yayılır.

Sebep # 2: WordPress her türlü kullanıcıya sahip

WordPress siteleri, bir forumdan e-ticaret sitesine, eklentiler sayesinde her şeyi barındırabilir. Bu, CMS’i kullanıcılar arasında oldukça popüler kılar. Kod okuma yazma bilmeyenler bile sitelerinde temel değişiklikler yapabilir ve içerik yayınlayabilir. Bununla birlikte, çoğu kullanıcının beklemeyeceği şey, bir WordPress sitesini korumak için harcadığı iş miktarı ve teknik uzmanlıktır. Bir WordPress sitesini korumak, özellikle sitedeki bir eklentiyi güncellemenin tüm sitenin çökmesine neden olabileceğinden, ayrıntılara ve hareketlere büyük özen gösterilmesini gerektirir. Güncellemeyi yapmamak, diğer yandan siteyi saldırılara karşı savunmasız bırakacaktır. Bu nedenle, kullanıcılar kendilerini bir sitenin bölümleri, içerdikleri bilgiler ve güncellemeleri güncellemeden önce nasıl test edecekleri gibi bir WordPress sitesinin temelleri hakkında bilgi edinmek zorunda kalıyorlar veya en azından güvenilir olan bir WordPress yedekleme çözümüne yatırım yaparlar. Ancak, WordPress kullanıcıları topluluğunun önemli bir kısmı gerekli teknik bilgi ya da zamana sahip olmadığından kolay hedeflerdir. Bu senaryoyu daha da kötüleştiren şey, topluluğun büyük bir bölümünün, bilgisayar korsanlarının nasıl çalıştığını ya da web sitesinin güvensiz hale gelmesini önemsemeyen acemiler olmasıdır.
Dikkate alınması gereken bir diğer faktör, WordPress kullanıcılarının doğru miktarda teknik bilgi birikimine sahip olması ve WordPress kurulumlarını kendi gereksinimlerine göre değiştirebilecekleridir. Bununla birlikte, uzmanlığa veya zamana sahip olmayanlar, ek işlevsellik için eklentilere büyük ölçüde güveniyorlar. Her eklenti veya tema WordPress standartlarına göre kodlanmadığından bu güvenlik açıklarına yol açmaktadır. Bu, bilgisayar korsanlarına çok fazla alan sağlar – eski herhangi bir eklenti kolayca kullanılabilir. Ve yine, eklenti yaygın olarak kullanılıyorsa, birden fazla siteden yararlanmak için tek yapmaları gereken hassas sürümü kullanan siteleri tanımlamak ve bu hasarı çoğaltmaktır.

Sebep # 3: WordPress her türlü geliştiriciye sahiptir

Açık kaynak felsefesinde çalıştığından, WordPress toplumdan kodlamaya katkıda bulunan, acemilerden uzmanlara kadar herkese sahiptir. Bu, yalnızca kodla denemeye yeni başlayan, hobilere, uzman geliştiricilere ve üçüncü taraflara da katkıda bulunan kullanıcılardır (ThemeForest gibi web sitelerinde sunulan premium eklentileri kodlayan). Her katkıda bulunan, WordPress Kodeksi, forumlar ve diğer web siteleri gibi topluluktan kaynaklara erişebilir, ancak katkıda bulunanların bunları takip etmesini sağlamanın yolu yoktur.
Buna ek olarak, WordPress “şeffaflık yoluyla güvenlik” modelinde çalışır, bu da her şeyin olduğu anlamına gelir: her güvenlik açığı, bulunduğu yer ve güvenlik düzeltme ekleri topluluğa duyurulur. Bu nedenle, bilgisayar korsanlarının güvenlik açıklarını veya nasıl çalıştıklarını bulmak için çaba sarf etmeleri gerekmez. Tek yapmaları gereken, WordPress topluluğunu haberler için taramak ve hala savunmasız web sitelerini kullanmak içinikisini bir araya getirmek. Durum, WordPress kullanıcılarının bakım sorunları nedeniyle yamaları gerektiği kadar hızlı bir şekilde güncellememesi nedeniyle daha da artmaktadır.

Yani WordPress güvenli midir?

Windows analojimize geri dönersek, sistemin hızla adapte olmasına rağmen, insanlar Linux tabanlı işletim sistemlerine kıyasla hala güvensiz olarak algılıyorlar. Bunun nedeni, bilgisayar korsanlarının en çok kullanıcısı olduğu için hedef almasıdır. Aynısı WordPress için de geçerlidir.
Yukarıda belirtilen sebeplerin tümü, WordPress’in kendi başına saldırılara açık olduğu anlamına gelmez; aslında, WordPress çekirdeğinde çekirdek kalite kontrolünün ne kadar sıkı olduğu konusunda büyük bir istisna olmamıştır.
Bununla birlikte, WordPress’te saydamlık yoluyla güvenliğin çalışması nedeniyle daha fazla güvenlik açığı bildirilmiştir. Bu, sistemin güvenli olmadığı yanılsamasını verir, ancak adil olmak gerekirse, güvenli bir web sitesi diye bir şey yoktur. WordPress, kullanıcı ve geliştirici tabanının çeşitli demografisi gibi bir dizi faktörden dolayı saldırıya açıktır, ancak basit güvenlik önlemlerini takip etmek bir dizi riski ve giriş noktalarını ortadan kaldırır.
Hack’ler bu kadar yaygın bir tehdit olduğundan, en akıllı güvenlik önlemi, akıllı bir kötü amaçlı yazılım tarayıcısına yatırım yapmak olacaktır.

Site Footer