3 Adımda Wordpress Güvenliği
Bu yazımızda sizlerle Wordpress içerik sistemi hakkında, alınabilecek güvenlik önlemlerinden ve adım adım bunları nasıl uygulayabileceğinizden bahsedeceğiz. Öncelikle, Wordpress içerik yönetim sistemi kendi içerisinde pek az güvenlik zafiyeti bulunduran bir sistemdir. Sürekli güncellenir ve kadrosu sistemi sürekli geliştirmeye çalışmaktadır. Sürekli geliştirilen ve yeniliğe açık sistemlerde güncellemeler dolayısı ile illa ki güvenlik zafiyetleri bulunacaktır. Bu tür güvenlik zaafiyetleri, Wordpress kadrosunun yayınlayacağı bir sonraki güncellemede kapatılır ya da fixlenir. Bu sayede hem güncel, hem yeniliğe açık hem de olabildiğince zafiyetsiz bir içerik yönetim sistemi amaçlanır. Ancak, Wordpress; sadece ana geliştiricileri ile değil, kitleye hitap eden ve dışarıdan gelen geliştiricilerle de gelişmektedir.
Tema, eklenti ve birçok entegrasyon aracının geliştirilmesi dışarıdan belli başlı, tecrübeli ya da tecrübesiz birçok geliştirici aracılığı ile sağlanmaktadır ve bunların güvenlik analizleri Wordpress’e bağlı bir durum değildir. Bu tarz durumlar açık kaynaklı birçok içerik yönetim sisteminde olduğu gibi Wordpress’te de bazı sorunlara yol açar. Şimdi sizlerle bunları inceleyecek ve bunlar hakkında yorumlar yaparak üç maddede olabildiğince detaylı açıklamalarla; bu tür zafiyetlere ya da yanlışlıklara nasıl önlem alabileceğiniz hakkında bir dizi bilgi vereceğiz. Özellikle Wordpress tarafında kullanıcıların çok memnun olduğu aşikâr ancak bugün bakıldığında en çok hack saldırısı Wordpress tarafında oluşmakta. Bu, yukarıda da belirttiğimiz gibi Wordpress’in ana sistemi ile değil, dışarıdan eklenen eklenti ya da entegrasyon araçları ile ilgilidir. Gerek eklentiler, gerek temalar, gerek geliştirilen pek çok araç; Wordpress’in ana iskeletine eklenir ve çalışması beklenir. Çalışır da, belki çok hoş bir görünüm elde edersiniz bu eklentiler aracılığı ile, belki daha pratik bir çalışma alanı sağlarsınız. Neden eklediğinizi bildiğiniz bu eklentinin ardındaki güvenlik zafiyetleri ise; çoğu zaman umurunuzda olmaz. Olsa da, çok tecrübeli bir webmaster değilseniz; güvenlik zafiyeti olup olmadığını bilemezsiniz.
1. Adım: Warez Kullanımı
Warez kullanımı, Wordpress yayıncılarının en merak duyduğu ve belki de en çok kullandığı etmenlerden biri. Warez, crack ya da kırılmış diyebileceğimiz paralı tema ya da eklentilerin kullanımının açık bir şekilde kullanılmasını sağlayan sistemdir. Yani, paralı bir temaya ya da eklentiye para ödemeden sahip olabilmenizi sağlayan sistem. Uzman bile diyemeyeceğimiz, belli tekniklere sahip olan bazı insanlar bu eklentileri kırarak, yani crack ederek paylaşırlar. Peki, bu paylaşımlarda bir çıkarı olmadan, insanoğlu ne yapar? Asıl soru ve çalışma burada başlar aslında. Kimse, çıkarı olmadan bir şey yapmaz ve kimse çıkarı olmadan herhangi ücretli bir şeyi ücretsiz olarak paylaşmaz. Çoğu crack edilmiş eklenti ya da temada ya hacklink diyebileceğimiz linkler ya da logger diyebileceğimiz giriş/çıkış loglarını kaydedip istenilen adrese yönlendiren zararlı kodlar bulunmaktadır. Bunları, sizin haberiniz olmaksızın koyan da, eklenti yahut temayı yayınlayan da aynı kişidir. Bir çıkar elde eder ve bu çıkar akabinde size ya da sitenize zarar verir. Giriş çıkış loglarının tutulduğu bir dosyanın karşı tarafa gitmesi demek, varsa üyelerinizin, yoksa sizin tüm giriş bilgilerinizin sızdırılması yani ifşa edilmesi demektir. Yani, loglu eklenti ya da temayı paylaşan insan, sizden habersiz sisteminizde cirit atabilir demektir. Aynı zamanda kodlanmış ve şifrelenmiş betiklerle linklerini sitenin herhangi bir yerine koyan sistem korsanı sizden habersiz sitenizden link çıkışı yapabilmektedir ve bunu fark edemeyebilirsiniz de. Link çıkışı yapılan site kalitesiz hale gelir ve olabildiğince sömürüleceği de aşikârdır. Bu sebepten Warez kullanımını kesinlikle önermiyor ve emeğe saygılı olabileceğinizi umuyorum.
2. Adım: Abartı Eklenti ve Tema
Dışarıdan ya da Wordpress arşivinden eklenen tema ve eklentilerin fazlalığından bahsetmek gerekir bu maddede. Zira, her eklentinin kapsayacağı CPU alanının sisteminizi yormasını geçtim, her eklentinin güvenliğinden emin olabilmeniz de pek olası değildir. Bu wordpress eklenti arşivlerinden yahut depolarından alınagelse bile maalesef pek olası değildir. Her eklentide güvenlik zafiyeti bulunabilmektedir ve korsanlar bu zafiyetlerden olabildiğince yararlanabilmektedir. Bu sebepten kullandığınız ve kullanmanızın zorunlu tutulduğu eklentiler dışında sisteminizde herhangi bir eklenti ya da tema bulundurmayın. Özellikle wordpress eklenti deposundan değil de dışarıdan ftp’niz aracılığı ile eklediğiniz her eklentinin sisteminiz için bir tehdit olabileceğini de unutmamanızda yarar var. Özellikle bu işe yeni başlayan Webmaster adayları günümüzün çaylakları olarak bilinirler ve Google’da “kullanışlı wordpress eklentileri” minvalinde aramalar gerçekleştirerek, ne idüğü belirsiz, herhangi bir eklentiyi ya da birçok eklentiyi; sisteme dahil edebilmektedir. Bu durum hem sisteminizi yavaşlatır hem de güvenli olup olmadığından emin olmadığınız bir eklentinin sisteminize girişini sağlar. Bu tür durumlardan uzak durulmalı ve fazla eklenti ya da tema kullanımından kaçınılmalıdır. Kullanılmıyorsa, eklenti yahut tema silinmeli, çok gerekli ise dışarıda depolanmalıdır.
3. Adım: Eklenti & Tema Güvenlik Analizi
Eğer yapılabiliyorsa, eklentilerin ya da temaların güvenlik analizi yapılmalıdır. Bunun bazı araçlarla sağlanabilmesi mümkündür. Wordpress’e dışarıdan gelen her eklenti ana Wordpress geliştiricileri tarafından kontrol edilemez zira kontrol edilebilseydi bu denli fazla güvenlik zafiyeti oluşmazdı. Güvenlik analizi aracı olarak pek çok araç kullanılabilir ve bunun Google araştırmasını detaylı bir biçimde gerçekleştirebilirsiniz. Özellikle PHP dilinde yazıldığı için PHP güvenlik analizi araçlarını kullanmanızda yarar vardır. Bunu yapacak kadar tecrübeli değilseniz, Wordpress eklentileri ve temalarının isimlerini alarak gerekli zafiyet depolarında taramasını yapabilir ve herhangi bir zafiyet bulunup bulunmadığını görebilirsiniz. Gerek Exploit-DB, gerek Google Exploit Database, gerekse Packet Storm Security bu alanda sizler için destek sunmaktadır. Bu sitelere raporlanan her zafiyet halka açık bir şekilde yayınlanmaktadır ve firmaların bu zafiyetleri fixlemesi istenmektedir. Bu sitelerin Search kısmından gerekli eklentinin ismi ile arama yapabilir ve herhangi bir güvenlik zafiyeti olup olmadığını bulabilirsiniz. Eğer var ise, sürümünü de kontrol etmenizde yarar var zira bir sonraki sürümde bu zafiyet giderilmiş olabilir.
Böyle durumlarda bile, hiçbir zaman “search kısmında herhangi bir zafiyet yok bu eklenti %100 güvenlidir” diyemeyiz zira bazı korsanlar 0day adı altında bu zafiyetleri yayınlamayabilirler. Bu tür konularda en doğrusu bu tür dışarıdan gelen ve güvenli olmayan, velhasıl yaygın olarak kullanılmayan eklentileri kullanmaktan kaçınmaktır. Aksi halde bu eklentiler başınıza bela, sisteminize zarar olarak geri dönüş gerçekleştirebilir.