info@creativeyazilim.com 0212 909 5852
Bizi Takip Edin:
Wordpress: Güvenlik - Eklentiler - Hosting

Wordpress: Güvenlik - Eklentiler - Hosting

Günümüzde, basit bir şekilde site kurmanın adımlarından biri de Wordpress kurulumudur. Wordpress, kişisel, ticari, kurumsal ve benzeri her türlü sitenin kurulumunda, günümüzde en popüler içerik yönetim sistemlerinden biri olarak belirmektedir. Kolay kurulum, kolay yönetim, zengin eklenti seçenekleri gibi kocaman avantajları olan bu içerik yönetim sisteminin arkasında açık kaynak katılımcılarının aktif desteği bulunmaktadır ve sistem, gün geçtikçe kendini katlayarak daha da iyileşmektedir.

Wordpress Güvenliği

Peki, yukarıda iyileşir ve gelişirken, güvenlik zafiyetleri artan bir içerik yönetim sisteminden bahsedildiğini biliyor muydunuz?

Siteniz saldırıya uğradıktan sonra “wordpress güvenliği” hakkında makale araştırmalarına girdiyseniz, biliyorsunuz. Gün geçtikçe acemi ya da “newbie” olarak tabir edilen geliştiricisi de, uzman ya da “expert” olarak tabir edilen geliştiricisi de bu sisteme katkıda bulunuyor. Peki nasıl?

Sıfırdan bir alan adı ve hosting sağlayıp, Wordpress’i kurduğunuz vakit karşınıza salt bir sürüm çıkacaktır. Wordpress’in en çıplak, en yavan halidir bu, belki de en güvenli hali. Zira sadece Wordpress’in asıl kodlayıcıları tarafından hazırlanan bu salt Wordpress sürümü, defalarca, kadronun pentest (sızma) testlerinden geçmiştir ve vulnerability (zafiyet) olasılığı pek azdır. Ne zaman işin içine, süsleme maratonu girer, o zaman Wordpress asıl kadrosunun dışına çıkar, dolayısı ile siz de. Birinci işleviniz tema olmalı muhakkak, değil mi? Wordpress’in en büyük nimetlerinden birincisi tema arşividir. Karşınızda, binlerce tema mevcuttur ve hangisi sizi cezbederse, hangisi amacınıza uygunsa, birkaç tık ile kurabilirsiniz. Temanızı kurduktan sonra kodlarındaki yanlışlıkları, optimizasyon eksikliklerini, belki kalabalık, sunucunuzu yoracak kodlamayı, belki yanlış kodlamayı göz ardı edersiniz. Tema dışarıdan çok güzeldir ve bu sizin için başlangıçta yeterlidir. Ancak, kodlamasında ufak bir hata ile html izinleri açık bırakılmıştır ve yorum butonundan dahi yönlendirme kodu atılıp, siteniz başka bir tarafa yönlenebilir. Yahut daha kötü durumlar gerçekleşebilir. Siz Seo çalışmanızı yapmış, dışarıdan linkler sağlarken; adamın biri sisteminize sızıp, kendi linkini ekleyebilir ve siz daha belinizi doğrultmamışken, kırabilir.

O halde kural bir: Kullanacağınız temanın sadece tasarımına değil, aynı zamanda kodlarına da göz gezdirin. Güvenilir yerlerden tema alışverişi gerçekleştirin ve kesinlikle warez temalar kullanmayın.

Hadi devam edelim. Tema olayını bir şekilde hallettikten sonra akla gelen diğer önemli etken, Wordpress’in plugin (eklenti) hazinesidir. Dışarıdan ya da içeriden her geliştiriciye açık olan bu eklenti arşivinin “hazine” tanımı yapılmasındaki en büyük etken de budur. Herkesin katkısına açıktır. Her geliştirici, uzman ya da yeni başlayan, bir eklenti kodlayabilir ve elbette bunu yayımlayabilir ya da satabilir. En tehlikeli olay da budur. Her geliştiricinin kodladığı veya her beğendiği eklentiyi, yeni başlayan kimseler kesinlikle birkaç tık ile kurar. Ve nihayetinde hem sunucuyu fena bir biçimde yoran hem de kalabalık bir eklenti listesi çıkar ortaya. Bu eklenti listesindeki herhangi bir eklentinin “alelade” kodlandığını düşünürsek, sisteminizin şimdiden mahvolacağını öngörebiliriz. Karşı taraf, yani sistem korsanı için kolay bir hedef olursunuz ve bir o kadar da rahat avlanabilir. Hem emekleriniz hem de kurduğunuz sistem, birkaç dakika içerisinde çöp olabilir.

O halde kural iki: Önünüze gelen her eklentiyi birkaç tık ile kurmak ve sitenizin daha düzenli yahut süslü bir görünüm alması sizi mutlu edebilir ancak unutmayın, bu eklentilerin tamamı bu içerik yönetim sisteminin asıl kodlayıcıları tarafından kodlanmaz ve bu hazine herkesin katkısına açıktır. Bu sebeple, önünüze gelen her eklentiyi sitenize süslü bir görünüm vermek amacı ile eklemeyin, kurmayın. Öncelikle 1337day gibi sitelerden, eklentinin zafiyetinin olup olmadığına dair araştırmalarda bulunun. Kodlayıcısının önceki eklentilerine göz gezdirin, aynı işlemi bu eklentiler için de yapın ve sonunda, güvenebileceğiniz bir eklenti ise bunu kurun. Ancak unutmayın, bu eklentiler size zafiyeti olmadığı konusunda hiçbir şekilde güvence vermez. Bu sebepten eklenti listenizi kalabalık tutmamanızda yarar var.

Wordpress hakkında söylenecek çok söz var ancak, temel olarak güvenlik önlemleri bunlardır ve bu önlemleri alırsanız günümüzde popüler olan hack saldırılarını içerik yönetim sisteminiz ve eklentileriniz tarafında, almazsınız.

Sunucu Güvenliği

Gelelim, saldırıyı alabileceğiniz bir diğer yere: Hosting sağlayıcınız.

Günümüzde, Türkiye şartlarında; yıllık sadece beş liraya hosting sağlayabileceğinizi biliyor musunuz? Bilmiyorsanız, öğrendiniz. Bugün YS belgesinden bir haber, beş liraya hosting buldum diye sevinen ve site açan birçok yeni başlayan “webmaster” adayı mevcut. Peki, ne kadar doğru ya da güvenli? İkisi de değil aslında. Ne doğru ne de güvenli. Ucuz hosting görüp, sitesini bu hosting üzerine kuran ve “ya tutarsa” mantığı ile koşturan birçok “webmaster” adayı, bugün siteleri tuttuğunda ve hosting sağlayıcısı çöktüğünde, veryansın ediyorlar. Ya sunucuları yanıyor ya da tecrübesizliklerinden kaynaklanan bir işe kalkışıyorlar ve hosting içerisindeki siteler bir anda yok olup gidiyor. Belki bir, belki üç yıllık emekler bunlar. Ve bu hosting sağlayıcıları, sunucu güvenliğinden bir haber olarak hosting sağlamaktalar.

Bilgisayar korsanları, sunucudaki tek bir sitede bulduğu zafiyet ile shell atma yöntemini kullanarak sunucuya erişirler; bu, tek bir sitenin yol açtığı bir zafiyettir evet ancak, hosting sağlayıcısı gerekli önlemleri almaz ise ki bu beş, on liraya aldığınız hostingler bunları çoğu zaman almaz; o zaman tehdit tek bir siteye değil, sunucudaki bütün siteleredir. Bu shell aracılığı ile güvenlik durumu olmayan sunucuda izinler aşılır ve tabiri caiz ise sunucu içerisindeki sitelerde cirit atılır. “Root”, yani asli yönetici oldukları sunucuda yapamayacakları herhangi bir şey yoktur. Belki bilgilerinizi araklamak amacı ile girerler, bütün sitelerin içeriklerini arşivleyip çıkarlar; belki eğlence amacı ile hepsinin index.php dosyasını birkaç tık ile değiştirir, egolarını tatmin ederler. Bu, bilgisayar korsanının amacına kalmıştır ve birinci seçenek her zaman daha kuvvetli olur. Siz duymadan, sunucunuzun güvenlik zafiyeti dolayısı ile sitenizde açık bulunmamasına rağmen sizin bilgilerinizi göz açıp kapatıncaya kadar indirebilirler.

Güvenlik Kuralları

O halde kural üç: Ucuz etin yahnisi yenmez. Ucuz olduğu için aldığınız hosting birkaç ay sonra bütün emeklerinizi heba edebilir. Kendisini kanıtlamış, alanında uzman ve kurumsal firmalardan hosting sağlayın. Böylece herhangi bir sorunda bir muhatabınız olur ve bunun yararını oldukça fazla görürsünüz. Kendini kanıtlamış, uzman firmaların her zaman bir sunucularında yedekler bulunur ve olur da sunucu saldırı alırsa ikinci bir plan her zaman mevcuttur. Verdiğiniz emeği önemseyin ve kurumsal firmalar ile çalışın.

Bu yazı sadece ve sadece bilgilendirmek amacı ile yazılmıştır ve herhangi bir hedef gözetilmemiştir. Amaç, sadece yeni başlayan ve webmaster olmak isteyen herkesin, önlemlerini nasıl alması gerektiğini ifade etmeye çalışmaktır.

Wordpress, Wordpress Güvenliği, Wordpress Hosting, Wordpress Eklentiler, Wordpress Güvenlik Açıkları, Wordpress Güvenliği Nasıl Sağlanır?, Wordpress Tema, Wordpress Tema Ayarları