Wordpress Güvenlik Açıkları ve Önlemleri

Wordpress bir çok beklentiyi karşılama misyonu nedeniyle, platformun kendisi, faydalı ancak bazı güvenlik açıklarına yol açan özellikler sunmaktadır.

WordPress, birkaç tıklamayla web sitesi oluşturulmasını sağlayan, kullanımı kolay, açık kaynaklı bir platformdur. WordPress açık kaynak olduğundan, sürekli güncellenmekte ve gelişmektedir. Bir çok beklentiyi karşılama misyonu nedeniyle, platformun kendisi, faydalı ancak bazı güvenlik açıklarına yol açan özelliklere sahiptir.

Bugün WordPress ile yapılmış web sitelerinin %70’inden fazlası korsan saldırılarına müsaittir.

WordPress neden bilgisayar korsanları için bu kadar popüler bir seçenek?

WordPress’in bilgisayar korsanları tarafından irdelenmesinin birçok zorlayıcı sebebi vardır. WordPress’in 74’den fazla farklı sürümü vardır.
Bazı WordPress siteler güncellenmez ve eski sürümleri kullanır. Açık kaynaklı temalar ve eklentiler daha da fazla risk taşımaktadır. Her gün dünya çapında birçok WordPress site saldırıya uğramaktadır. Bu risk sadece büyük şirketleri ilgilendirmiyor. Saldırıların % 40’ından fazlası küçük işletmelerin web sitelerine yapılıyor.

WordPress’i nasıl daha güvenli hale getirebiliriz?

WordPress bugün her zamankinden daha güvenli bir hale gelmiştir ancak WordPress’i verimli bir biçimde kullanmaya devam etmek istiyorsanız, sitenizi bu tür saldırılara karşı korumak için gerekli önlemleri almayı bilmeniz bir zorunluluktur.

Hosting ve Dizinler

Bir web sitesi oluşturmaya karar verildiğinde ilk yapılan şey barındırma için doğru bir hosting firması bulmaktır. Bu aşama, güvenliğinizin en önemli aşaması ve başlangıç noktasıdır.

Doğru hosting seçimi

Kötü bir hosting firmasıyla çalışıyorsanız, güvenlik seçenekleriniz sınırlı olacaktır. Doğru hosting, sorunlar konusunda proaktif olmalıdır. Hosting seçiminde düşük fiyatlandırma herkese için cazip bir seçenek olsa da, uzun vadede yaşayabileceğiniz sorunlar size çok daha pahalıya gelebilir. Hosting seçiminde kalitesinden emin olduğunuz firmaları tercih etmelisiniz.

SSL Sertifikası

Güvenli Soket Katmanları anlamına gelen ve önceleri sadece e-ticaret vb. hassas bilgilerin girildiği siteler için tavsiye edilen SSL sertifikaları, artık web sitenizin türünden bağımsız olarak isteğe bağlı değildir. Kullanıcılar sitede herhangi bir bilgi paylaşıyorsa, bu bir bir e-posta adresi bile olsa, SSL güvenliğine ihtiyacınız vardır. SSL veri alışverişini şifreleyerek tarayıcınızı korur ve böylece veri trafiği korsanlardan gizlenir. Sitenize SSL özelliği kurmanın ücretsiz yolları da vardır. Birçok hosting firması Open SSL veya LetsEncrypt gibi SSL sağlayıcıları ücretsiz olarak sistemlerine dahil ediyorlar.

Wp-admin gizleme, şifreleme

Wp-admin dizininizde tüm çekirdek dosyalarınız bulunur. Hasar görürse, web sitenizin tamamı risk altına girer. CPanel‘iniz aracılığıyla, daha fazla güvenlik için wp-admin dizininize bir şifre ekleyin. Ek olarak, sitenizin admin panelinin adresini değiştirebilirsiniz. Bu işlemi kolayca yapabilmeniz için birçok ücretsiz eklenti bulabilirsiniz.

Dosya izleme

Yüklediğiniz herhangi bir tema veya eklenti, sitenizde değişiklik yapabilir. Bu değişikliklerden haberdar olmanız kötü niyetli bir yazılımın sitenizdeki etkinliğini farketmenizi sağlar. Dosya izleme için “Sucuri” eklentisini yükleyebilirsiniz. Bu eklenti, dosya değişikliklerini izlemenin yanında, bulut tabanlı bir güvenlik platformu ile sitenizin bir çok yönünü koruma altına alır.

Dosya ön ekini değiştirin

Tüm WordPress dosyaları varsayılan wp önekiyle birlikte kurulur. Bunu benzersiz bir şeyle değiştirmek, veritabanı SQL enjeksiyonlarına karşı daha güvenli bir ortam sağlar. Bu tür değişklikleri yapmadan önce daima web sitenizi yedekleyin.

WordPress yedekleme

Yedeklerden bahsetmek, onları düzenli yapmak. Web siteniz ne kadar güvenli olursa olsun, işler bazen karışabilir. Sitenizi düzenli olarak yedeklemek, aylar, belki de yıllarca uğraşarak oluşturduğunuz içeriği güvence altına alır.

Güçlü şifreleme

Veritabanınızı ve yönetim panelinizin şifresini, rastgele karakterler, sayılar ve semboller kullanarak daha güçlü hale getirin.

Dosya izinleri

Paylaşılan bir hosting kullanıyorsanız, dizin izinlerinizi güvenli hale getirmelisiniz. Dizinleri 755 ve dosyaları 644 olarak ayarlamak tüm sisteminizi koruyacaktır. Bunu cPanel’inizdeki dosya yöneticisi ile yapabilirsiniz.

Hotlinking önleme

Hotlinking, birisinin sunucunuzda barındırılan bir resmi çekmesi ve dosya URL’sine bağlanarak kendi web sitesinde göstermesidir. Bu bir güvenlik riskidir ve sunucunuzdaki yükü artırır. All In One WP Security & Firewall eklentisi bu konuda size yardımcı olur.

Tema ve Eklentiler

WordPress ile yaşadığınız sorunların büyük bölümü temanızda gizlidir. Neyden bahsettiğimi biliyorsunuz, ücretli temaları ücretsiz sunan siteler! Bu tür sitellerden indirilen her tür tema ve eklenti dosyası büyük risk taşır ve etik değildir.

Orjinal tema kullanın

Nulled tema, premium temanın hacklenmiş bir sürümüdür. Profesyonel görünümlü web sitelerini ücretsiz olarak almanın harika bir yolu gibi görünebilir, ancak çok büyük bir risk var. Bu temalar, web sitenize zarar verebilecek, gizli, kötü amaçlı kodlara sahip olabilir.

WordPress’in kendisi gibi, temalar da, kullanım ömrü boyunca çeşitli güncellemeler sunar. Bu güncellemeler, temanın kendi gelişimi olabileceği gibi, bir çoğu da WordPress’in değişen sürümlerine uyum sağlama amaçlıdır.

Bir temanın güvenli olup olmadığını bilmek her zaman kolay değildir. En güvenli temalar, WordPress’in kendi tema dizininde bulunabilir, çünkü bu temalar denetlenir. Diğer bir seçenek de saygınlığını kanıtlamış bir tema mağazası seçmektir. Bildiğiniz gibi en popüler tema mağazası themeforest.net.

Minimum sayıda eklenti

Web sitenizde gerekenden daha fazlasını saklamayın. Kullanmadığınız eklentiler web sitenizin performansını düşürmekle kalmaz, aynı zamanda güvenliğinizi riske atar. Gerçekten işe yarar eklentilerle yetinin, ara sıra işe yarayan veya kullanmadığınız tüm eklentileri devre dışı bırakın ve silin.

Bilgisayarınız veya cihazlarınız güvenli değilse, web siteniz de değildir. Güvenlik sorunlarının farkında olmak için bilgisayarınıza kötü amaçlı yazılım ve virüs tarayıcısı yükleyin. WordPress web sitenize hiçbir zaman genel wifi veya güvenli olmayan bir web sitesi üzerinden giriş yapmayın.

En yaygın WordPress saldırıları hakkında bilgi sahibi olun. Bilgisayar korsanlarının nasıl çalıştığı hakkında ne kadar fazla şey bilirseniz, saldırılarla karşılaşmadan önce önlem almak için o kadar iyi donanıma sahip olursunuz.

Yaygın WordPress Güvenlik Sorunları

WordPress güvenli mi?" Sorusunun cevabı olduğu duruma göre değişir. WordPress en iyi güvenlik tavsiyeleri takip edildiği sürece WordPress çok güvenlidir.

Wpvulndb.com’un son raporuna göre, veritabanlarındaki bilinen 2.837 WordPress güvenlik açığından:

  • %75’i WordPress eklentilerinden
  • %14’ü çekirdek WordPress’ten
  • %11’i WordPress temalarından

kaynaklanmaktadır.

Tema ve Eklentiler

WordPress’te yüklediğiniz temalar veya eklentiler en önemli güvenlik sorunlarının kaynağını oluşturur. wpscan.org’a göre, rapor edilen 5.972 güvenlik sorununun %52’si eklentilerden, %11’i temalardan ve %37’si Wordpress çekirdeğinden kaynaklanır.

Brute Force Saldırıları

Brute Force saldırıları şifre kombinasyonlarını hızlıca deneyen yazılımlarla gerçekleştirilir. Wordpress yönetici giriş sayfasını hedef alır.

Dosya Dahil Etme İstismarları

Tema veya eklentilere dahil edilen bazı kodlar yetkisiz erişim ve istenmeyen yüklemelere neden olur. Bu tür ataklar genellikle bir eklenti veya tema aracılığı ile WordPress wp-config.php dosyasına erişim sağlanarak gerçekleştirilir.

SQL Enjeksiyonları

WordPress MySQL veritabanı kullanır. Veri tabanınıza yetkisiz erişim sağlandığında tüm içeriğiniz yönetilebilir hale gelir. İçerik eklenebilir, silinebilir, yönlendirmeler yapılabilir.

SQL enjeksiyonu, veri odaklı uygulamalara saldırmak için kullanılan bir kod enjeksiyon tekniğidir, burada kötü amaçlı SQL ifadeleri bir giriş alanına eklenir. SQL enjeksiyonu, Worpress’in bir bileşenindeki güvenlik açığından yararlanmalıdır. SQL enjeksiyonu çoğunlukla web siteleri için bir saldırı vektörü olarak bilinir, ancak her tür SQL veritabanına saldırmak için kullanılabilir. SQL enjeksiyon saldırıları, saldırganların kimlik sahtekarlığı yapmasına, mevcut verileri kurcalamasına, işlemlerin geçersiz kılınması veya bakiyelerin değiştirilmesi gibi inkar sorunlarına neden olmasına, sistemdeki tüm verilerin tamamen ifşa edilmesine neden olabilir.

Cros-Site Scripting

Siteler arası komut dosyası çalıştırma (XSS), genellikle web uygulamalarında bulunan bir güvenlik açığı türüdür. XSS saldırıları, saldırganların istemci tarafı komut dosyalarını diğer kullanıcılar tarafından görüntülenen web sayfalarına enjekte etmesini sağlar.

Malware (Kötü amaçlı yazılım)

Kötü amaçlı yazılım Wordpress kullanıcısına zarar vermek için kasıtlı olarak tasarlanmış herhangi bir yazılımdır. Virüsler, solucanlar, Truva atları, fidye yazılımları, casus yazılımlar, reklam yazılımları, hileli yazılım türleri mevcuttur. Kötü amaçlı yazılımların girişine karşı korunmaya yardımcı olmak, olup olmadığını tespit etmeye ve kötü amaçlı yazılımla ilişkili kötü amaçlı etkinlik ve saldırılardan kurtulmaya yardımcı olmak için bir dizi antivirüs, güvenlik duvarı eklentileri bulunmaktadır.

original content (previously published on): https://yilmazsarac.com.tr/wordpress-guvenlik-onlemleri/ by: https://yilmazsarac.com.tr/author/yilmazsarac/