Las Vegas’da düzenlenen dünyanın en büyük siber güvenlik konferanslarından birisi olan Black Hat ve Defcon’da 20.000 siber güvenlik uzmanına hitap eden Hanno Böck yeni kurulan bir wordpress sitesinin hackerlar tarafından nasıl 30 dakika içersinde bulunabileceğini anlatan yöntemlerden bahsetti.
Sertifika Şeffaflığı , çevrimiçi web sitelerine yeni kurulan SSL sertifikalarını izlemesine olanak tanıyan açık bir standarttır . Bu, örneğin, Facebook gibi web sitelerinin birinin alanlarından birinde bir SSL sertifikası sipariş ettirip izlemesine izin verir. Güvenlik ekipleri, bir sertifika yetkilisinin (SSL sertifikası veren şirketler) yanlışlıkla vermemesi gereken bir sertifikayı da önlemiş olmasına imkan verir.
Bu durum nasıl işler?
- Bir barındırma sağlayıcısından yeni bir web sitesi barındırma paketi sipariş ettiniz. Siparişiniz, alan adınız için ücretsiz veya ücretli bir SSL sertifikası içeriyor.
- Siparişiniz tamamlandıktan sonra SSL sertifikası otomatik olarak kurulur.
- 30 dakika sonra, saldırganlar yeni web sitenizi sertifika şeffaflık raporunda listelediğini görür.
- Bu süreçte 30 dakika içersinde websitenizi tamamlamadıysanız siteniz ile ilgili güvenlik ihlalleri yaşanmaya başlar.
- Bir saldırgan yeni alan adınızı sürekli olarak izlemektedir ve kurulum komut dosyasını görür görmez, onu çalıştırırlar, bir arka kapı takarlar ve sitenizi, fark etmediğiniz durumdaki bir arka kapıya dönüştürürler..
Ayrıca bir başka yöntemde Google Aramaları.
Bu nedenle, satın aldığınız web hosting paketinde kurulum halinde bırakacağınız wordpress yazılımları, siteniz için bir arka plan bağlantı ihtimali oluşturacağı için yalnızca kurulum yaparken kaynak dosyaları yüklemenizi, kurulumlarınızı yarım bırakmamanızı öneririz.
