Wordpress Güvenlik Açıkları ve Alınması Gereken Önlemler
2020

Wordpress Güvenlik Açıkları ve Alınması Gereken Önlemler


Wordpress dünya genelinde en çok kullanılan açık kaynak kodlu bir içerik yönetim sistemi hatta daha fazlası. Ancak kuşkusuz her sistemde olduğu gibi Wordpress ‘tede bir çok beklentiyi karşılama isteği nedeniyle, bazı güvenlik açıklarına yol açan farklı özellikler bulunmakta. WordPress ile oluşturulmuş web sitelerinin %70’inden daha fazlası kötü amaçlı saldırılara müsait durumda. Peki neden böyle? Neden saldırılar için en çok Wordpress siteler tercih ediliyor?

WordPress ’in bilgisayar korsanları tarafından saldırı için tercih edilmesinin  birçok sebebi vardır. Önce şu gerçeği hatırlatalım. Bu gün WordPress’in 74’den fazla farklı sürümü dünya genelinde aktif olarak kullanılıyor durumda. Bunlardan bazıları hiçbir zaman güncelleme yapmıyor. Sürekli olarak eski sürümleri kullanmaya devam ediyor. Bu bir risktir. Dahası açık kaynak kodlu tema ve eklentiler daha çok risk taşımaktadır. Ayrıca bu tehlike sadece büyük şirketleri ilgilendirmiyor. Zira saldırıların % 40’ından çoğu küçük şirketlerin web sitelerini hedef alıyor. Dolayısı ile Wordpress Güvenlik Açıkları ve Alınması Gereken Önlemler konusunda oldukça titiz olmak ve asla erteleme yapmamak gerekiyor. Neden zira söz konusu tehlike büyük küçük ayrımı yapılmadan herkesi ciddi anlamda tehdit etmeye devam ediyor. 

 

Wordpress Nasıl Güvenli Olarak Kullanılır

Güncellenen sürümlere eklenen birçok güvenlik özelliği ve ekstra kaliteli güvenlik eklentileri sayesinde WordPress artık her zamankinden daha güvenli bir duruma geldi. Ancak WordPress’i verimli ve güvenli olarak kullanmaya devam etmek istiyorsanız, web sitenizi saldırılara karşı koruyacak gerekli önlemleri aldığınızdan emin olmanız gerekiyor.

 

Doğru ve Kaliteli Hosting Seçimi

Web sitesi oluşturmadan önce karar verilmesi gereken ilk unsur dosyaları barındırmak için profesyonel hizmet sunan doğru hosting firmasını tespit etmek olmalıdır.  Zira bu, web site güvenliğinizin en önemli aşamasıdır.  Adeta merdiven altı olarak tabir edilen başarısız bir hosting firmasını tercih ettiyseniz, güvenlik konusu ciddi problem teşkil edecektir. Hosting seçiminde düşük ücret ödemek cazip bir seçenek olabilir. Ancak uzun vadede karşılacağınız muhtemel sorunlar size çok daha pahalıya malolabilir.

 

SSL Sertifikası Kriteri

SSL sertifikaları artık sadece E-Ticaret siteleri için tercih edilmiyor. Zira güvenli olması istenen sadece onlar değil. Zira insanlar sitenizde herhangi bir bilgi paylaşımı yapıyorsa, ( bu bir mail adresi bile olsa )  mutlaka SSL güvenliğine gereksinim duyarsınız. Çünkü SSL sitenizdek veri alışverişini okunamaz şekilde şifreleyerek tarayıcınızı ve onunla bağlantılı tüm cihazları korur. Böylece web siteniz vasıtasıyla ortaya çıkan veri alışverişi kötü amaçlı üçüncü şahıslara karşı gizlenir. Dolayısı ile basit bir blog bile oluştursanız mutlaka SSL sertifikanızı sağlayınız.

 

Admin Girişini Gizleme Yada Şifreleme

Unutmayın tüm çekirdek dosyalarınız web sitenizin Wp Admin dizininde bulunur. Bu bölüm herhangi bir saldırıda zarara uğrarsa, web sitenizin tamamı tehlike altına girecektir. Buna engel olmak için örneğin web sitenizin Cpanel bölümünden sitenizin wp-admin dizininize şifre ekleyebilirsiniz. Bununla birlikte aynı zamanda  sitenizin admin panel URL  adresini değiştirebilirsiniz. Eklenti ile yapabileceğiniz gibi eklentisiz olarak manuelde yapılabilen bu işlemi mutlaka uygulayın.

 

Sitenizin Dosya ve Dizinlerini İzleyin

Web sitenizin kök dizinine yüklediğiniz herhangi bir eklenti yada tema siz farkında olmadan sitenizde değişiklik yapabilir. Bu değişikliklerden anından haberdar olmak kötü niyetli bir kodun sitenize sızma ve çalışma etkinliğini engelleyecektir. Bu işlem için Sucuri Eklentisi kurabilirsiniz.  Sucuri, web sitenizde maksimum güvenlik sağlayacaktır. Bu eklenti dosyalar üzerinde yapılan olası değişiklikleri izleyip size bilgi verdiği gibi aynı zamanda sitenizi çok yönlü koruma altına alan oldukça popüler bir uygulamadır.

 

Dosya Ön Ekini Mutlaka Değiştirin

Biliyorsunuz WordPress dosyaları varsayılan wp ön ekiyle birlikte kurulur.  Ancak bu sonraki aşamalarda ciddi bir tehlike oluşturabilir. Zira WordPress sitenizin veri tabanı dosyalarına yapılacak bir SQL injection işleminde bu ön ek bilinip işlem başlatılmaktadır. Dolayısı ile web sitenizde maksimum güvenlik için mutlaka varsayılan olarak gelen ön eki değiştirmeniz gerekiyor. Ancak bu tür ciddi değişiklikler öncesi mutlaka web sitenizin kapsamlı bir yedeğini oluşturun.

 

Wordpress Sitenizi Düzenli Periyodlarla Yedekleyin

Her konuda yedek almak oldukça stratejik bir yaklaşımdır. Web siteniz her ne kadar güvenli olursa olsun sizin dışınızda bazı sorunlar oluşabilir.  Bu tür durumlara karşı hazırlıklı olmak her zaman akılcı bir davranış olacaktır. Örneğin, Web sitenizi düzenli ve belirli periyodlarda kapsamlı olarak yedeklemek, belki de yıllarca emek vererek oluşturduğunuz tasarım ve içeriğinizin güven altında olmasını sağlayacaktır.

Bir sabah uyandınız ve her zamanki gibi ilk işiniz sitenize bakmak oldu. Ancak siteniz bomboş yada hatalarla dolu olarak açılıyor. Sunucunuzu kontrol ettiniz ancak dosyaların tamamen bozulmuş olduğunu tüm içeriğinizin kaybolduğunu gördünüz. Bu çok ciddi bir sorun. Fakat bir gün önce kapsamlı bir yedek aldığınızı düşünün. İşte anlatmak istediğimiz tam olarak bu.

 

Dosya İzinlerini Güvenli Olarak Ayarlayın

Paylaşımlı bir hosting kullanıyorsanız bu durumda mutlaka web sitenizin kök dizin izinlerini maksimum güvenli olarak ayarlamalısınız. Dizin ayarları 755 dosya ayarları 644 olarak düzenlenmeli. Bu ayarlama tüm sisteminizi olası risklere karşı koruyacaktır. Bu işlemi FTP kullanarak yapabileceğiniz gibi cPanel girişinden ile dosya yöneticisi vasıtasıylada yapabilirsiniz.

 

Hotlinking İşlemlerine Engel Olun

Herhangi bir internet kullanıcısının sizin hostinginizde barındırılan bir resmi kendi sunucuna yüklemeden web sitesinde göstermek için resmin dosya URL’sine bağlanarak yayınlaması işlemi Hotlinking olarak ifade edilir. Bu ciddi bir güvenlik riski olmakla beraber aynı zamanda sunucunuzdaki yükü artırır ve sitenizin geç açılmasına sebep olur.  Bu işleme engel olmak için All In One WP Security & Firewall Eklentisi  ‘nin kullanabilirsiniz. Eklentiyi kurup gerekli ayarları yaptıktan sonra artık web sitenizin sunucusu kullanılarak bu tür işlemler yapılamayacaktır.

 

Asla Korsan ( Varez ) Tema Kullanmayın

Telif yasaları ihlal edilerek korsan bir şekilde ücretsiz indirmeye açılan temalardan bahsediyoruz. Aslında WordPress konusunda yaşadığınız sorunların büyük kısmınıda bu şekilde indirilen temalar oluşturur. Kaliteli bir platformda ( örneğin dünyanın en popüler tema satış mağazası themeforest ) ücretli olarak satılan temalar vardır. Amatör kullanıcı güya kurnaz bir davranış sergileyerek  ücretini ödeyip temayı lisanslı olarak satın almak yerine korsan sitelere gider ve aynı temayı ücretsiz indirir. Yaptığı hatanın bedelini ise birkaç ay sonra tüm verilerinin kaybı ve çok ciddi zararlar olarak ödediğinde anlar.

Bu hataya düşmeyin ve Nulled yani hacklenmiş tema asla kullanmayın. Bilgisayar korsanları bir script yada temayı ele geçirdikten sonra temadaki koruma şifrelemesini devre dışı bırakır ve ücretli tema için lisans ücreti ödenmesine gerek kalmaksızın indirilmesini sağlarlar. İşte bu tema Nulled temadır. Ancak kötü niyetli şahıs sadece temayı ücretsiz olarak indirime açmaz aynı zamanda temanın içine sizin bilgisayarınıza, web sitenize ve diğer sistemlerinize sızabileceği arka kapılar oluşturur.

Dolayısı ile mutlaka lisanslı tema kullanın ve beğendiğiniz bir temanın ödemesini yaparak satın almak size ağır bir yük olarak gelmesin. Bu şartlar eklentiler içinde geçerli.  Sitenizin ihtiyacından fazla eklenti kullanmayın. Kullanmadığınız eklentileri ise silin. Zira eklentiler web sitenizin hızını yavaşlatmakla kalmaz aynı zamanda web sitenizin güvenliğinide riske atar.

Ayrıca kişisel bilgisayarınız yada diğer cihazlarınız güvenli değilse bu, web sitenizinde güvenli olmadığını gösterir. Zira örneğin zararlı kodlarla dolu bir tema yüklediyseniz çok büyük olasılıkla bilgisayarınıza kendi ellerinizle virüs yerleştirdiniz. Lisanslı ve dünya çapında tercih edilen bir virüs programı ile bilgisayarınızı tarayıp temizlik işlemlerine tabi tutun.

 

Saldırılar Hakkında Bilgi Edinin

Dünya çapında uygulanan en yaygın ve sık uygulanan WordPress hack saldırıları hakkında araştırma yapın ve bilgi edinin. Düşmanın metodları ve niyeti hakkında fikir edinmek akılcı bir stratejidir. Kötü niyetli ve siyah şapka hacker olarak anılan bilgisayar korsanlarının nasıl çalıştığı, en çok hangi alandan atakta bulundukları gibi konusunda ne kadar çok şey bilirseniz, olası saldırılar öncesi yeterli önlem almak konusunda o kadar yüksek donanıma sahip olursunuz.

Bütün bu açıklamalar doğrultusunda bakınca akıllara WordPress güvenli mi?  şeklinde bir soru gelebilir. Şöyle cevaplayalım, güvenlik tavsiyeleri doğru uygulandığı sürece WordPress son derece güvenli bir CMS dir.

{{dil.yorumlar}}

{{yrm.yazar}}

{{yrm.baslik}}

{{yrm.yorum}}

BOĞAZİÇİ ENSTİTÜ :{{yrm.cevap}}




{{dil.yorum_ekle}}

  • {{dil.oylama_sorusu}}