Zayıf WordPress şifreleri, platformun güvenlik duruşunu baltalamaya devam ediyor. Eylül ayındaki FastCompany ihlalini hatırlıyor musunuz? Bilgisayar korsanları, çok sayıda hesapta basit bir varsayılan parola kullanarak WordPress CMS’ye eriştiklerini iddia ettiler.
Mümkün olan en iyi benzetme, pek çok yazar tarafından o kadar çok örnekte kullanıldı ki neredeyse bir klişe haline geldi: mümkün olan en iyi kilidi alıyorsunuz ve sadece anahtarları veriyorsunuz! Yeni bir keşfe göre 2023’teki durum da pek farklı görünmüyor.
Güçlü WordPress, şifre zayıf
İtalyan bilgisayar ve ağ güvenlik şirketi Red Hot Cyber’deki araştırmacılar, Telegram’da WordPress yönetim panellerine girişlerin sürekli olarak yayınlandığı “Rusça konuşan ünlü yeraltı kanalını” keşfetti.
En son dilim, 2.800’den fazla kullanıcının ayrıntılarını içeriyordu.
“Onları inceledikten sonra, İtalyan sitelerine ait 101 kullanıcı bulduk. Bu detaylar, kanalın takipçileri için ücretsiz olarak indirilebilir olarak sunulmaktadır” denildi.
‘admin’ hesabının parolasının, doğru tahmin ettiğiniz gibi, ‘admin’ olduğu yerde, yönetici kimlik bilgilerinde herhangi bir eksiklik yoktu.
Raporda, “Bu, emniyet kemeri veya tam yüz kaskı güvenliğinden hala çok uzakta olduğumuzu gösteriyor!”
Araştırmacılar, yeraltı forumunda bildirilen tüm WordPress panellerini listeledi ve bu alan adlarıyla özdeşleşen herkesi toplu parola sıfırlama başlatmaya çağırdı.
“Bu bilgi ihlali kesinlikle bilgi hırsızlarının ve bot ağlarının sonucudur. Yine de, kullanıcıların bu durumda olduğu gibi önemsiz, öngörülebilir parolalar girmekten kaçınmasına olanak tanıyan sağlam parola politikaları benimsemenizi tavsiye ediyoruz” denildi.
İşte 2022’de Tespit Edilen Önemli WordPress Güvenlik Açıkları
WordPress şifresi: manuel veya makine yapımı
1password.com Baş Güvenlik Mimarı Jeffrey Goldberg, “Parolanız iyi bir parola oluşturucu tarafından oluşturulmadıysa kırılabilir,” diye yazdı.
Örneğin, 12 karakterlik şifreler için katrilyonlarca olasılık vardır ve hepsini denemek milyonlarca yıl alır. Ancak bilgisayar korsanlarının olası tüm şifreleri denemediğini belirtti.
“Kırma sistemleri şu gibi şeyleri deneyecek: Fido8my2Sox! ve 2b||!2b.titq yaratılan makine gibi şeyleri denemeden çok önce zm-@MvY7*7eL. İnsanlar tarafından oluşturulan şifreler, çeşitli karmaşıklık gereksinimlerini karşılasalar bile kırılabilir.”
Bu nedenle, katrilyonlarca olasılık, bir insan tarafından seçilen parolanın saldırganların ilk deneyeceği birkaç milyar arasında olup olmayacağı kadar önemli değildir. Başka bir deyişle, tüm bu olasılıkların alaka düzeyi, hepsinin eşit derecede olası olup olmadığına bağlıdır, diye açıkladı.