Wordpress Güvenliğinde En Çok Yapılan Hatalar Neler?
Wordpress kullanımında sıkça yapılan hatalar sonucunda meydana gelen güvenlik açıklarını bir araya getirdik. İçeriğimizden edineceğiniz bilgilerle, web sitenizi daha güvenilir hale getirebileceksiniz.
Wordpress kullanımı kolaylığı ve getirdiği müthiş özellikleri nedeniyle milyonlarca sitenin vazgeçilmez yazılımı. Fakat yapılan yanlışlar beraberinde birçok sorunu da beraberinde getirebiliyor. Şimdi Wordpress güvenliğinde en çok yapılan hatalar nedir? Sorusuna birlikte cevap arayalım.
Ayarsız güvenlik eklentileri
Yöneticiler genelde her türlü sorun ve güvenlik problemini güvenlik eklentisi ile giderebileceklerini düşünmektedirler. Güvenlik eklentileri gerçekten güvenlik konusunda birçok kolaylık sağlıyor olsa da kullanım hatası, eksik bilgi gibi etkenler işin içine girince bilakis zarar bile getirebiliyor.
En çok kullanılan güvenlik eklentilerinin başında Wordfence ve Ithemes Security firmaları öne çıkmaktadır. Peki yapılan hatalar nedir ve nasıl kullanım sağlanmalıdır?
- Öncelikle bu eklentileri kurup aktif etmek tek başına yeterli değildir. Kullanıcılar eklentiyi kurup aktif edince her şey düzenli, rayında ve sorunsuz ilerleyeceğine dair fikirlere sahip fakat bu kesinlikle doğru değil.
- Eklentide hangi ayarın nasıl yapılacağı konusu önemlidir zira eklentide yer alan dizin engelleme, chmod ayarları, xml-rpc deaktif etme gibi pek çok özellik kapalı gelebiliyor ve ek/manuel ayarlamalar gerektirebiliyor.
- Bu nedenle hangi ayarların ne işe yaradığını, hangilerinin kullanılması gerektiğine dair muhakkak sundukları dokümanlar incelenmelidir.
- Önemli olan ve es geçilen bir diğer hata ise loglamalardır. Güvenlik eklentileri yapılan girişler, önlenen saldırılar, değişen dosyalar gibi pek çok detayı log sisteminde tutmaktadır. Bu log sisteminin uzun süreler ile temizleniyor olması veya oto temizlenme ayarının kapalı olması gibi durumlar veri tabanınızda çok ciddi yüklerin oluşmasına sebebiyet verebilir.
- Bu nedenle muhakkak manuel şekilde bu temizlikler sağlanmalı veya ayarları sağlanarak oto temizlik yapılması sağlanmalıdır.
Kullanılmayan tema & eklentilerin tutulması
Wordpress dizinlerinde kullanılmayan tema ve eklentilerin tutulması zamanla oluşabilecek sorunlar için açık bir yuva bırakmak gibi anlam taşıyabilir. Öyle ki yapılmayan güncellemeler beraberinde açık getirebilir. Bu açıklardan yararlanan kötü niyetli kullanıcılar, kullanılmayan klasörlerdeki tema/eklenti dosyalarından giriş sağlayıp tüm dizinlere erişim sağlayabilirler.
Bu neden ile kullanmadığınız tema ve eklentileri muhakkak “Plugins” ve "Theme" klasörlerinden kaldırmanız ek önlem anlamında faydalı olacaktır. Ayrıca Shell yedekleme gibi birçok işlem bu kullanılmayan klasörlerde sağlanmaktadır.
Yapılandırılmamış chmod ayarları
Göz ardı edilen konulardan birisi de chmod ayarlarıdır. Öyle ki Wordpress kurulduktan sonra çoğu kişi bu izinlere göz dahi atmamaktadır. Bu da aslında dosyalara erişilmesi veya üzerine yazılması için kapıları açık bırakabilir.
Üstelik ayarları yapması çok kolay bir işlem iken göz ardı edilebiliyor. Doğru şekilde chmod ayarlarını sağlayabilmek için aşağıdaki görseli referans alabilirsiniz;
Kaynağı bilinmeyen tema ve eklentilerin kurulması
Tema ve eklentiler kurulurken genelde Wordpress kütüphanesindeki yazılımlar referans alınmaktadır. Fakat bu konuda yeterli bilgisi olmayan yöneticiler genelde yabancı web sitelerinden, forumlardan indirdikleri eklentilerin işlerini göreceğini düşünebilirler.
Bahsedilen tema ve eklentiler açıklar ile dolu olabilir. Yeterli kontrol ve onay süreçlerinden geçmedikleri için kötü niyetli kullanıcıların da en çok sevdiği saldırı yöntemlerinin başında bu gelmektedir.
Güvenilir gelse de gelmese de Wordpress kütüphanesi haricinde indirme sağlayıp sistemimizin içine yüklememeliyiz. Tabii ki burada ek bir parantez açmak gerekir ise kütüphanede yer alan her eklenti de tamamen güvenilir anlamına gelmemektedir. Öyle ki en çok indirilen, sevilen eklentilerin dahi zamanla açıklar oluşturdukları, exploitlerinin yayınlandığı bilinmektedir.
Bu kapsamda en doğru işlem minimum eklenti kullanmak olacaktır.
PHP sürümünün yanlış seçilmesi
PHP sürümü için Wordpress artık 7.4 ve üstü bir sürüm önermektedir. Zaten daha düşük bir sürüm seçili ise panel başlangıcında eski sürüm kullanıldığına dair uyarı ile karşılaşacaksınız. Bu konuda kullanıcılar genelde kullandıkları eski tema ve eklentiler nedeniyle sürüm yükseltme durumundan korkabiliyorlar.
Öyle ki sürüm yükseldiği zaman güncelleştirme yapılmamış olan eklenti ve temalar hata oluşturabiliyor. Bu hataların oluşmasını engellemek için php sürümleri de eski tutulmak durumunda bırakılabiliyor. Bu tür durumlarda güncel tema ve eklentiler kullanıp, php sürümünüzü güncel tutmanız faydanıza olacaktır.
Yedeklemelere önem verilmemesi
Yedekleme konusunda Wordpress eklenti kütüphanesinde bir çok ücretli ve ücretsiz eklenti sunulmaktadır. Aynı zamanda kullanılan sunucu paneli yardımıyla da kolaylıkla yedekler alınabilmektedir. Fakat tüm bunlara rağmen yedekleme konusunda özensiz davranmak, olası bir tehdidin ardından sitenize ciddi hasarlar verebilir.
Bu nedenle eklenti veya panel yardımı ile yedekler alınmalı, en az son 3 yedek tutularak olası bir sorunda eski haline getirme işlemi sağlanmalıdır.
Veritabanı tablo ekini sabit bırakma
Wordpress kurulumu genelde sunucu panelinden veya manuel oluşturulurken veritabanı tablo eki “wp_” şeklinde sabit bırakılmaktadır. Aslında bu ufak fakat ciddi sorun olası saldırılara karşı sitenizi savunmasız bırakabilir.
Bahsi geçen “wp_” ekini daha spesifik bir şekilde random değiştirmeniz güvenlik açısından sizlere fayda sağlayacaktır. Bu işlemi kurulum sonrasında da değiştirmek mümkündür. Bunun için güvenlik eklentilerini kullanabilir veya manuel işlem sağlayabilirsiniz. Manuel işlem sağlamak için wp-config dosyasında ilgili alanı değiştirmeli daha sonrasında phpmyadmin üzerinden de değişim sağlamalısınız.
Bu konuda internette bir çok detaylı dokümana ulaşabilirsiniz.
Dosya düzenleme erişimlerinin açık bırakılması
Bir tema veya eklenti kodlarında düzenleme yapmak istediğimiz zaman panel üzerindeki editörü kullanıp işlem sağlamak hepimiz için kolay bir işlem olabilir. Fakat beraberinde birçok sorunu da beraberinde getirebilir.
Bu nedenle bu tür işlemleri Filezilla veya sunucu panelinden kolaylıkla sağlayabilirsiniz. Bahsi geçen ayarları kapatmak için, wp-config dosyasına aşağıdaki kodun eklenmesi yeterlidir:
define( 'DISALLOW_FILE_EDIT', true );
.htaccess ayarlarının yapılmaması
Wordpress alt dizinlerinde php dosyalarının çalışmasını engellemek, wp-admin erişiminin sadece belirli iplere tanımlanması gibi pek çok izin ayarını kolaylıkla yapabiliriz. Bu basit ama etkili işlemleri sağlamak için aşağıdaki adımları yapabiliriz:
Belirli iplere erişim izni vermek için:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
/wp-content/uploads/ dizininde php çalışmasını engellemek için:
deny from all
Şeklinde işlem sağlanabilir.
Tabii ki doğru yapılandırılmış güvenlik eklentileri daha pratik şekilde sizin yerinize bu işlemleri sağlayacaktır.
Cloudflare kullanılmaması
Cloudflare tamamen ücretsiz bir şekilde sizler için birçok önlemi ve optimizasyon imkanını tanıyor. Genelde Ddos saldırıları gibi pek çok saldırıyı önlemesi sayesinde tercih edilen cloudflare ayrıca ip adresinizi de Proxy ile maskeleyerek sunucuya erişilmesi konusunda ek önlemler sağlayabiliyor.
Tabii ki pek çok artının yanında bazı eksileri de sunduğu tartışıldığı için iyi bir araştırma sonunda karar verip uygulamaya almanız tavsiye edilmektedir.
-
Ziyaretçi 7 ay öncecloudflare önbellek sorunu olmasa aslında epey faydalı
İlgili İçerikler:
Tamamen Dijital Beyaz Xbox Series X Satışa Sunuldu: Fiyatı ve Özellikleri Neler?
Microsoft, disksiz beyaz Xbox Series X'i 450 dolara satışa sundu. Tamamen dijital bu model, 4K çözünürlük ve 120 FPS performansıyla oyunseverlere hitap ediyor.
Google, Chrome'dan uBlock Origin'i Kaldırıyor: Reklam Engelleyicilere Veda Zamanı mı?
Google, Chrome'dan uBlock Origin'i kaldırıyor. Manifest V3'e geçişle reklam engelleyicilerin işlevselliği sınırlanacak ve kullanıcılar farklı tarayıcılara yönelebilir.
Huawei Yeni Ürünlerini Tanıttı: Sağlık Takibinden Yüksek Hızlı İnternete Kadar Pek Çok Yenilik!
Huawei, Türkiye’deki etkinliğinde yeni akıllı saatler, tabletler ve WiFi cihazlarını tanıttı. Sağlık takibi, üretkenlik ve hızlı internet çözümleri dikkat çekti.
Discord Türkiye'de Neden Engellendi? Bakan Uraloğlu'ndan Açıklama Geldi!
Discord, Türkiye'de güvenlik birimleriyle veri paylaşmadığı gerekçesiyle erişime engellendi. Bakan Uraloğlu, IP adresleri paylaşılmadığı için yasaklandığını açıkladı.