WordPressin her zaman en iyi CMS sistemi olduğunu söyleriz ancak yine de her sistemde olduğu gibi WordPressde de güvenlik açıkları bulunmaktadır. Zaten bu yüzden kendini WordPresse adamış, sürekli açıkları araştıran ve bu açıkların giderilmesinde rol oynayan birçok gönüllü webmaster vardır. Dediğim gibi genellikle WordPressden kaynaklanan güvenlik açıkları gönüllü webmaster tarafından tespit edilip, bunlar güncellemeler ile giderildiğinden WordPressin güncel sürümlerinde pek fazla güvenlik açıkları bulunmaz. Ancak yine de bizlerin yaptığı bazı hatalar, WordPressi adeta savunmasız bırakabilmektedir.
Dediğim gibi WordPress sitelerin hacklenmesinde ki en önemli faktörlerden biri kullanıcı hatalarıdır. Altta yapılan bazı hataları ve alabileceğiniz önlemleri belirteceğim. Aşağıda ki adımları uygulayarak sitenizi daha güvenli bir hale getirebilirsiniz. Ancak unutmayın ki dünyanın hangi sistemi olursa olsun muhakkak her sistemin bir yerinde muhakkak bir açık, bir savunmasız alan bulunur. Bizim amacımız ise bunları olabildiğince aza indirmektir.
Genel olarak WordPress hack nedenlerine baktığımızda üst sıralarda temalar, eklentiler ve host şirketlerinde ki açıklar yer alıyor. Şimdi gelin hacke karşı alabileceğiniz bazı önlemleri ve kendi önerilerimi inceleyelim.
1- Hacke karşı bir önlem almak istiyorsanız işe ilk önce host şirketinizden başlamalısınız. Genellikle kendini hacker zanneden çoğu kişinin sisteminize sızabildiği nokta host şirketinizde ki açıklardan kaynaklanır. Bu yüzden host aldığınız firmanın ve sunucunuzda bulunan diğer sitelerin güvenilirliğinden emin olmalısınız. Eğer büyük bir proje düşünüyorsanız projenizi olabildiğince kendi sunucunuzda veya kiralık bir sunucu da barındırmaya özen göstermelisiniz.
2- Sitelerinize sızabildikleri bir diğer nokta ise config.php dosyasıdır. Bildiğimiz gibi config.php dosyasında veritabanımıza ait kullanıcı isimlerimiz ve şifrelerimiz bulunmaktadır. Eğer bir kişi config.php dosyanızda ki bilgileri eline geçirebilirse, rahatlıkla WordPress üzerinde istediği değişimleri yapabilir. Bu dosyanızı güvenlik altına almak istiyorsanız ya bu dosyanın bulunduğu konumu değiştirmelisiniz ya da dosyayı şifrelemelisiniz. Şifreleme için kendi betiğinizi kullanmanızı öneririm ama hazır bir şifreleme dili kullanmak isterseniz ioncubeyi size önerebilirim. Her ne kadar ioncube şifreleri çözülebilse de bu işi yapabilen pek fazla kişi yoktur.
3- Üçüncü bir adım olarak hostunuzda ki klasörleri şifreleyebilirsiniz. Bu sayede hostunuza birisi girebilse de yapabileceği tek işlem index atabilmek olacaktır. Her klasöre ayrı ayrı şifre koymanız sizin için daha iyi olacaktır. Bu sayede sisteminize giren bir kişi hiçbir klasöre giremeyecek, ve içeriye virüslü dosyalar bırakamayacaktır.
4- Bir diğer durum ise bilmediğiniz webmaster sitelerinden dosyalar indirmemelisiniz. Çünkü bazı webmaster bloglarında virüslü dosyalar paylaşılarak diğer webmasterların bilgilerine ulaşılabiliyor. Bu yüzden indireceğiniz dosyaları her zaman kaynak sitelerden indirmeye özen göstermelisiniz. Bu gibi durumlar için sağlam virüs programları kullanmalısınız. Eğer bilgisayarınızın özellikleri çok iyiyse size NORTON serisini öneririm. Fakat NORTON normal bilgisayarlarda kasmaya yol açtığından bu bilgisayarlar da Kaspersky serisini kullanmanızı öneririm.
5- Diğer yandan hack yöntemlerinde sık sık kullanılan yöntemlerden bir tanesi ise tema dosyalarına yerleştirilen dosyalar ile sisteme sızmadır. Bazı art niyetli kişiler benim gibi bir çok tema yapımcısının temalarını, içerisine hack için gerekli dosyayı ekledikten sonra internette birçok platformda paylaşıyorlar. Bunun sonucu olarak da hem bu temaları kullanan kişiler hemde tema yapımcılarının güvenilirliği zarar görüyor. Bu yüzden eğer beğendiğiniz bir tema varsa her zaman bu temaları tema yapımcılarının sitesinden indirmeye özen göstermelisiniz.
6- Bir diğer açık oluşturan bölümse eklentilerdir. Kullandığınız her bir eklenti potansiyel bir açık tehlikesi oluşturmaktadır. Bazı eklentiler ise açık oluşturmak yerine bizzat içerisinde ki zararlı kodlar sayesinde sisteminize sızılabilmesine yol açmaktadır. Bu yüzden internet üzerinden eklenti indirmemeye, kullanacağınız eklentileri WordPress üzerinden yüklemeye ve herkesin kullandığı popüler eklentileri kullanmaya özen göstermelisiniz.
7- Son olarak dikkat etmeniz gereken nokta ise /wp-admin klasörünüzün bulunduğu dizindir. Genellikle bu siteadiniz.com/wp-admin şeklinde olur, sitenizi hacklemeye çalışan bir kişinin ulaşmak isteyeceği ilk dizin burası olacaktır. Bu yüzden bu klasörün bulunduğu dizini değiştirmelisiniz. Bu işlem gözüktüğü kadar kolay değildir, eğer bu işlemi gerçekleştirmek istiyorsanız bir araştırma yapmanız gerekecektir.
Yukarıda belirttiğim önlemleri alarak kendini hacker zanneden lamerları durdurabilirsiniz, ancak eğer profesyoneller başınıza dadanırsa er yada geç muhakkak bir açıktan sisteminize gireceklerdir.
Düzenlenmiştir.
