Web Güvenliği WordPress

9 Adımda WordPress Güvenliği

php

Güvenlik. Bildiğimiz anlamda her zaman düzenin bozulmaması için alınan tedbirlerin tümü olarak değerlendirilebilir.

<b>Güvenlik</b>; toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumudur.
Gerçek hayattan örnekleme ile düşünürsek; mağazanızın kapısına bağlanmış bir dedektör, hırsız alarmı, yangın haber ve söndürme cihazları, daha büyük mekânlarda bulunan bekçi ya da güvenlik görevlileri… Bunlar da işte bu hiyerarşik veya dağıtık bir şekilde kurmuş olduğunuz düzenin bozulmaması için aldığınız önlemler.

Bir web sayfası oluşturdunuz, verilerinizi ekliyorsunuz ve verilerinizi, sitenizin tasarımını dinamik olarak yönetiyorsunuz. Kısacası sağlam bir düzen kurdunuz -ki biz bu sistemi WordPress olarak değerlendirip anlatacağız-.

Parolamız: Sisteminizin kullanıcısı siz olabilirsiniz, başkası değil!.. Peki, bunun için önleminizini aldınız mı?

[alert style=”yellow”]Unutulmamalıdır ki; insanın olduğu her yerde zaafiyet kaçınılmazdır![/alert]

Gelin bugün WordPress içerisinde temel olarak bu güvenlik önlemlerini ele alalım ve en azından kötü niyetlilere caydırıcı bir kuvvet uygulayalım! 😉

1 – Sağlam Dostluklar, Güvenilir Hosting

İster WordPress kullanın isterseniz de basit bir HTML web sayfası. Her zaman için güvenilir hosting firmalarını tercih edin. Sağlam dostluklar kurduğunuzdan emin olduğunuz insanlar varsa önce onları tercih edin. Daha sonra ise ihtiyaçlarınızı analiz ederek yetecek seviyede bir hosting planı satın alın. Burada dikkat edilmesi gereken ve tercih sebebi olacak önemli birkaç başlığı sıralayalım;

  • 7/24 destek verebilecek, hızlı geri dönüş sağlayacak ve işinin ehli olan bir hosting firması
  • Barındığı lokasyon ve bant genişliği limitleri
  • Güvenlik hususundaki çalışmaları ve yedekleme hizmetinin sunulması
  • İhtiyaçlarınıza uygun altyapıyı barındırıyor olması
  • Referanslar, kurumsal kimlik ve sosyal medya (aldatıcı olabilirler, soruşturmakta yarar var)

2 – Güncel Kal ve Herşeyden Haberdar Ol

En önemli maddelerden bir tanesi de sisteminizin güncel olmasıdır. Yukarıda da okuduğunuz gibi insanın olduğu heryerde zaafiyetin olacağı düşüncesinden hareketle, her ne kadar büyük bir geliştirici kitlesi olsa da WordPress’in de güvenlik açıkları olması doğaldır. Bu sadece WordPress ile sınırlı değil elbette, örneğin yazdığınız ufak bir hesap makinesi uygulaması bile bir açık bulundurabilir.

Yakın geçmişte WordPress ile kurduğu web sayfasının ele geçirilmiş olduğunu gören çok sayıda kişinin olduğunu unutmayalım. Sebebi ise bulunan güvenlik açıkları idi. Eğer ki bu güvenlik açıklarını kapatan güncellemeleri vaktinde yapmazsanız sonunuz yine bu şekilde olabilir.

WordPress geliştiricileri bunun önüne geçebilmek adına, kritik açıklıkları kapattığı 3.7 versiyonu ile beraber Otomatik Güvenlik Güncellemesi sistemini duyurmuştu. Bu sayede güncellemeler çekirdek (core) ve güvenlik seviyesi olarak ayrılmış oldu. Sadece güvenlik değil çekirdek güncellemelerini de geçmenizi şiddetle öneriyoruz.

Dipnot olarak; güncellemelerin change log (değişim kayıtları: Neler değişti? sorusuna cevap veren kayıtlardır) sayfalarını okuyabilirsiniz.

3 – Geleneklere Uymayın, Güçlü Parolalar Kullanın

Güvenlik firmaları dünya genelindeki gelişmeleri takip ederek yıl sonlarında veya yeni yılın ilk çeyreğinde raporlar hazırlarlar. SplashData firması 2013 yılında en çok kullanılan şifreler için bir liste yayınladı. 

Tahmin var mı?

Söyleyelim. En çok kullanılan şifreler arasında açık ara şampiyonluğunu ilan eden “123456” birinci sırada geliyor 🙂 Diğer bazıları ise şu şekilde;

  1. qwerty
  2. iloveyou
  3. 1234567
  4. password
  5. 000000

Siz siz olun bu geleneklere uymayın ve kendinize sadece sizin hatırlayabileceğiniz güçlü parolalar kullanın. Bunun yanı sıra aynı şifreyi birden fazla yerde hiç değişmeksizin kullanmakta yine hatalı bir davranış olacaktır. Ve elbette ki şifre(leri)nizi aralıklarla değiştirmeyi unutmayın!

4 – Varsayılanlarla Kalmayın, Değişim Şart

Yine sadece WordPress ile sınırlı olmayacak şekilde en yüksek rütbeli kullanıcıların isimlerini varsayılan olarak bırakmayın. Çeşitli bilgilerin özellikle sosyal mühendislik yolu ile elde edilebilirliğini ve/veya tahmin edilebildiğini unutmayarak varsayılan kullanıcı isimleri ile çalışmayın.

Bunlara ek olarak login (giriş) ve admin (yönetim) paneli yollarını değiştirebilirsiniz.

5 – Kullanıcılarınızı Saklayın

WordPress içerisinde yazarlarınız (yani kullanıcılarınız) varsayılan olarak siteisminiz.com/?author=1 şeklinde gelecektir. Dolayısıyla kullanıcılarınızın benzersiz ID numaraları adres çubuğunda kullanıcı adı da sayfada görünecektir. Bu sayede örneğin bir SQL Injection atağında karşı tarafın ekmeğine yağ sürmüş olursunuz.

Bunu engellemek için sitemizdeki ilgili ipucunu okuyabilirsiniz.

[alert style=”beige”]Kullanıcıları Saklamak İçin wp-rewrite Kullanın. Nasıl?[/alert]

6 – Giriş Denemelerine Müdahele Edin; Orası Dingonun Ahırı Değil

Sitenizin yönetim paneline girebilmek için kendiniz dahi şifrenizi hatırlayamıyorsanız  sürekli deneme yaparsınız. Peki, bunu siz yapmıyorsunuz?

Bu yüzden bazı eklentilerle ya da kendi yazdığınız kodlarla bu girişleri sınırlayın. Örnek bir eklenti için WordPress Login Attempts gözatabilirsiniz.

7 – Dosyalarınızı Tarayıcıda Değil, Bilgisayarınızda Düzeltin

Yönetim paneline bağlandınızda tema / eklenti dosyalarınızı tarayıcıyı kullanarak FTP bağlantınız ile güncelleyebilirsiniz. Bu ayarı kapatmanız elbetteki yararınıza olacaktır. Herhangi bir sızma anında bu yolla dosyalarınıza zarar verilebilir, kötü amaçla kullanılabilir.

8 – Tema ve Eklentilere Dikkat

En can alıcı noktalardan biri de tema ve eklentilerdir. Basit bir kullanım istiyorsanız herhangi bir tema almadan varsayılan tema ile yola devam edebilirsiniz fakat bir gün bunu da değiştirmek isterseniz, yolunuzu tema sitelerinde arayacaksınızdır. Bunun yanı sıra sisteminize ya da temanıza katmak isteyeceğiniz fonksiyonellik için de eklenti yüklemeniz gerekecektir.

Bilmeniz gerekiyor ki tema ve eklentiler PHP, CSS ve Javascript odaklı kodlanırlar. Bu sayede WordPress alt yapısından tasarımsal değişikliklere gidilir. Dikkat edilmesi gereken nokta ise sitenizin bilgilerinin bir hedefe, sizin haberiniz olmadan gönderilme olasılığıdır ya da tam tersi yasal olmayan bir takım son kullanıcı verilerin toplanması olasılığı.

Tema ve eklentiler için mümkünse para ödeyin 🙂 Bunun için ThemeForest, CodeCanyon siteleri oldukça işinize yarayacaktır. Genel olarak onaylanmış ve ücretsiz araçları yine WordPress’in resmi sayfalarından da bulabilirsiniz.

9 – Yedeksiz Sistemin Batması Haktır, Sen Yedek Almazsan Sistem Batmayacaktır

Her önlemi alsanız da takdir hacklenmeniz yönünde ise, kısa sürede geri dönüş yapabilmek için düzenli aralıklarla yedeklerinizi almayı unutmayın!

Son zamanlarda yoğun olarak kullanılan Dropbox, Google Drive, Ubuntu One gibi bulut veri depolama sistemleri ile entegre olabilir, fiziksel olarak bu yedekleri elinizde bulundurabilir ya da hosting hizmeti kullandığınız firmadan destek alabilirsiniz.

Yedekleme yaparken bahsettiğimiz host yedeğiniz tüm herşeyi barındıracağından en güvenilir yöntem olacaktır. Buradaki husus da depolama alanınızın kapasitesi ve içerik yoğunluğunuz ile alakalıdır çünkü, tüm site yedeğinizi aldığınızda e-postalarınız, site kök dizininiz, veritabanı yedeğiniz de alınır.

Ek olarak WordPress yönetim panelinizdeki Araçlar > Dışa Aktar yolunu kullanarak tüm içeriğinizi bir XML dosyaları olarak dışarı aktarabilir; FTP programınız ile tema, eklenti ve uploads klasörlerinizi indirip saklayabilirsiniz.

10 – İstiklâl Marşı ve Kapanış

Tüm bunların sonunda elbette sisteminizi aralıklarla kontrol etmeniz, güvenlik eklentileri ya da çevrimiçi araçlar yardımı ile sitenizi açıklıklara karşı taratmanız elzemdir. Elbette bu açıklıklar sizden kaynaklı da olabilir, örneğin bilgisayarınızdaki bir virüs ya da malware FTP programınız ile işlem yaptığınız sırada ya da siteye yüklediğiniz bir öğe ile sitenize bulaşabilir.

Kendi Güvenliğiniz <> Bilgisayarınızın Güvenliği <> Sitenizin Güvenliği

Bu yolda izleyeceğiniz ve yaşanacak tüm süreçlerin birbirleri ile etkileşim içinde olduğunu, iç içe geçtiğini aklınızdan çıkarmamanız yararınıza olacaktır.

İstiklâl marşının ilk cümlesi ile bitirelim 🙂

Korkma!