Merhaba,
Normalde video anlatımı ile konularımı açıyordum ancak hem yazılı hemde videolu anlatım ile açmaya karar verdim. Bugunkü konumuz WordPress site güvenliğini sağlamak. Konumuzun içeriği ve başlığı WordPress üzerine olacak ama genel olarak bazı maddeleri WordPress altyapısını kullanmayan siteler içinde uygulamanız mümkün.
WordPress Nedir ?
İlk olarak 27 Mayıs 2003 tarihinde piyasaya sürülen WordPress PHP ve Mysql ile yazılmış bir CMS'dir. Yani içerik yönetim sistemli bir işleyişi vardır. Kullanıcıları karşılan bir yönetim paneli ile web sitelerinde bulunan yazıları, sayfaları, görünüşü kısacası web sitesine etki eden herşeyi kendilerine göre hazır olan temalarda özelleştirme yapmalarına olanak sağlar. Bu sebeple 2003 tarihinden geldiğimiz bu 2020 senesinde bile en çok kullanılan web site altyapılarından ilk 10 sırasında yer alır. Hatta WordPress dünyanın en popüler CMS sistemleri arasında 1. sırada yer almaktadır.
WordPress'de Güvenlik
Her sistemin açığı olduğu gibi WordPress altyapısında da geçmişten günümüze birçok açık bulundu ve bulunmaya devam ediyor ancak WordPress geliştiricileri bu açıkları sürekli denetliyor ve buna ilişkin sürekli güvenlik güncellemesi getirmeye devam ediyor.
WordPressi Güncel Tutma
Yukarıda bahsettiğim gibi zamanla her sistemde açık bulunabiliyor yayınlanma tarihinden yaklaşık olarak 17 sene geçmesine rağmen xss ve csrf açıklarını duymaktayız, WordPress geliştiricileri ise bulunan bu açıkları sistemi kullanan kişilere güvenlik yaması adı altında göndererek, etkilenmelerini önlüyor. Siz siz olun web sitenizi var olan açıklardan kurtarmak ve ziyaretçinize daha iyi bir görünüm sağlamak amacıyla web sitenizi her zaman güncel tutun. Aşağıda ki resimde gördüğünüz ok işaretlerine bakarak sitenizin güncel bir sürüm kullanıp, kullanmadığını görebilirsiniz.
Daha Az Yaygın Olan Giriş Bilgileri Kullanma
Yıllardır her yerde parola bilgilerinizi koruyun şeklinde uyarılar yapılıyor hatta parolanızın ne kadar karışık olduğunu ölçebilen web siteleri bile açıldı. Benimde herkesin söylediği gibi parolanızı ve kullanıcı adınızı karışık birşey yapın. Kötü niyetli kişiler brute force yani deneme yanılma yöntemi ile web sitenize giriş yapabilirler, özellikle admin kullanıcı adına sahip bir giriş bilgisi kullanıyorsanız; genel olarak bu deneme yanılma yöntemi ile çalışan programlar admin kullanıcı adı ile giriş yapmaya çalışır. Bu sebeple siteniz sürekli saldırıya maruz kalır. Şuanda WordPress altyapısına sahip web site kullanıyorsanız aşağıdaki resime bakarak değiştirebilirsiniz.
1.RESİM
2. RESİM
N+ll+d WordPress Temaları & Eklentileri
N+ll+d yani orjinal temaların ve eklentilerin lisanslama sistemi kırılarak kopya veya orjinal halinin yasa dışı kullanım şeklidir. Söz konusu web siteleri olduğunda tema ve eklentiler sitemize birçok zarar verebilmektedir. Özellikle backlink yani geri bağlantı ile uğraşan kişiler veya kötü niyetli kişiler bu tema ve eklentilerin içine zrarlı kodlar. Örneğin, sh+ll dediğimiz kabuk programlama yazılımları ile web sitelerimize sızıyorlar. Bu sebeple yasa dışı orjinal olmayan dosyaları kullanmamalıyız.
Güvenli Bir Hosting
Web sitemizin dosyalarının barındığı sunucular, hosting hizmetleri her zaman güvenilir olmak zorundadır. örneğin; Turkhackteam.Org bir sunucuda yer almaktadır. Web sitelerinizin barındığı sunucular da ise her zaman tek sizin siteleriniz bulunmaktadır. Diğer hosting hizmetlerinde ise tamamen sunucu dolana kadar nerdeyse her web site aynı sunucu içinde barınır. Yani sunucuda bulunan herhangi bir siteye sh+ll atıldığı veya virüs bulaştığı zaman diğer sitelerin etkilenmesi mümkün olur. Aşağıda resimde 1 ile işaretlenen resimde herhangi bir sitenin barındığı sunucuda bulunan siteleri görmektesiniz. 2. resimde ise sunucu hizmetinde barınan bir siteyi görüyorsunuz.
Tema Düzenleme Bölümünü Tamamen Kapatmak
WordPress panelinden tema düzenleme bölümü ile siteye giriş yapan kötü niyetli kişiler index.php yani web sitemizin ana sayfasının kodlarının bulunduğu yeri düzenleyerek kendi kodlarını yerleştirerek sitemizi h+ckl+mekte. Bu dosyamızı düzenlemeyi tamamen kapatarak, sitemizin h+ckl+nmesini zorlaştırıyoruz.
C-panel arayıcılığıyla veya ftp üzerinden wp-config.php dosyamızı not defteri ile açarak, aşağıda bulunan kodu not dosyamıza kayıt ederek çıkıyoruz. Bu sayede tema düzenleme alanını kullanıma kapatıyoruz.
Kod:
[COLOR="Orange"]define[/COLOR]( '[COLOR="Lime"]DISALLOW_FILE_EDIT[/COLOR]', [COLOR="Magenta"]true[/COLOR] )[COLOR="DeepSkyBlue"];[/COLOR]
Kodlar doğru görünmüyorsa buradan kopyalayınız: Tıklayın
Kullanılmayan Tema & eklenti
Kullanılmayan Tema ve eklentiler sitemize her zaman zarar verir. Şöyle ki; Sitemizin hızını yavaşlatmasının yanı sıra barındığımız hosting sağlayıcısına farklı kodlar entegre ediliyor. Bir tema veya eklentide virüs bulunmuyorsa 2. de bulunacaktır.
İp ( İnternet Protokol Adresi ) Girişleri
Her internete bağlanan cihazın ip adresi bulunmaktadır. Dolayısıyla biz sitemize giriş yaparken ip adresimizde karşı taraf ile iletişim halindedir. Sitemize istersek sadece 1 ip adresi üzerinden giriş yapılmasını kodlar ile sağlamaktayız. Bu işlem bizim ip adresimizden başka birinin siteye girmesini engelleyecektir. Sitemizin dosyalarında yer alan .htaccess isimli dosyayı not defteri ile açıp aşağıdaki kodu ekleyiniz. ( Bu isimde bir dosya yer almıyorsa oluşturun. ) Kodlamada yer alan xx.xx.xx.xxx isimli alanı değiştirerek, kendi ip adresiniz yaparak, kayıt edin.
Kod:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>
Kodlar doğru görünmüyorsa buradan kopyalayınız: Tıklayınız
Fazla Yedek Oluşturma
Sitenizde olacak herhangi bir hata kodlamayı bozabilir ve buda sitenizin görünüşünde ciddi bozukluklara sebep olabilir bu nedenle site yedeğinizi haftalık veya aylık olarak alın. bu sayede eskiye dönüşler daha kolay olacaktır.
Hosting Virüs & Güvenlik kontrolü
Site güvenliği için genelde web site sahipleri her zaman bir uzmana başvurur ancak her ne kadar güvenlik uzmanları kadar olmasa da site güvenliğini tarama işlemi ile gerçekleştirebilirsiniz. WordPress de virüs kontrolü ise isterseniz manuel olarak kod taraması ile gerçekleştirebilirsiniz veya WordPress eklenti yapımcıları tarafından yapılan eklentilere bir göz atmanız mümkün. Benim önereceğim eklenti ise; Güvenlik eklentisi
Bu eklenti sayesinde WordPress sitenizde güvenlik taraması yapabilir, güvenlik için gerekli bazı yapılandırmaları görebilir ve buna göre sitenizi düzenleyebilirsiniz.
Bu konuda size WordPress altyapısına sahip web sitelerinde nasıl güvenlik önlemi alabileceğinizi gösterdim.
Bir dahaki konuda görüşmek üzere
Son düzenleme: