Hemen hemen her hafta çevremden gelen “WordPress kurduk güvenlik için ne yapabiliriz? “sorularına cevap olması açısından genel olarak WordPress ve güvenlik hakkında yazayım dedim.
Klişeleşmiş ama bir o kadar da geçerliliği olan bir söz vardır “Bir zincir, en zayıf halkası kadar kuvvetlidir”;
Genelde bana genel sorularda sorduğum ilk şey “nerenin güvenliğini sağlıyoruz ?” şeklinde oluyor Çünkü güvenlik çok geniş kavram ve neyin nasıl güvenliğini sağladığımız önemli. Zincir olayına dönecek olursak;
- WordPress kendi başına çok süper güvenli bir yazılım olabilir ancak sizin kullandığınız hosting sağlayıcıda açık vardır, sunucuyu ele geçiren birisi sizin sitenizin bilgilerine de kolayca erişebilir.
- Hosting sağlayıcınız mysql ‘i uzak sunucuda tutuyordur sadece db sunucusunun hacklenmesi nedeniyle içerikleriniz zarar görebilir.
- Kullandığınız temada thumbnail oluşturmak için kullanılan scriptin versiyonu eskidir, uzak sunucudan exploid yersiniz.Kullanıcı adı olarak “admin” şifre olarakta tahmin etmesi basit bir kombinasyon kullanıyorsunuzdur brute force’da hacklenir
Bu örnekler uzar gider…
Güncel WordPress Sürümü Kullanmak
WordPress’i güncellemeye üşenmeyin, minor sürümlerde Türkçe sürümün yayınlanmasını beklemeyin çünkü minor versiyonlarda çoğu zaman güvenlik ve bakım sürümü olarak yayınlanıyor ki kullanıcı tarafında dil paketinde herhangi bir değişklik olmuyor.
Zaten 3.7 ile beraber minor sürümlerde aynı chrome tarayıcısında olduğu gibi otomatik güncelleme özelliği ile beraber gelecek.
Botlara Karşı Çözüm
Güçlü bir botnet karşısında çoğunluğun shared hosting kullandığını varsayarsak pek fazla şansınız yok ( siteniz mutlaka hacklenir demiyorum tabii ki, ancak saldırı yoğunsa site muhtemelen açılmayacaktır) (managed hostingleri deneyebilirsiniz wpengine,pagely gibi). Ancak bana kalırsa bu tarz saldırıları mümkün mertebe firewall’da halletmek lazım. Fiziksel firewall konusunda yer sağlayıcınızla görüşebilirsiniz, onun yanında web sunucunuza yazılımsal firewall kurabilir linux ortamlarda iptables konfigurasyonu yapabilirsiniz.
Çok yüzeysel olsada web sunucu olarak apache yada litespeed kullanan sunucularda .htaccess’in gücünden de faydalanabilirsiniz.
Botlarla gelen saldırıları brute force olarak nitelendirebileceğimiz için kullanıcı adı ve şifre kombinasyonunun oldukça zor tahmin edilebilir olmasını sağlamayı unutmayınız.
JavaScript Tabanlı Sorunlar
WordPress kullanıcı tarafından gönderilen verilere çok fazla güvenmez, yani genellikle gönderdiğiniz veriler filtreden geçirilerek zararsız şekilde saklanır. Ancak multisite’ler için global yöneticilerde ve normal tekil kurulumlar için admin kullanıcılarına unfiltered_html dediğimiz yani istediğini embed edebilme hakkı verir ki, eğer bu rol’de kullanıcı ile işlem yapıyorsanız dikkat etmeniz gerekir. Özellikle wp’nin login mekanizması cookie tabanlı çalıştığından güvenlik riski içermektedir.
Eklenti Tabanlı Çözümler
Güvenlikle ilgili eklentileri kullanabilirsiniz sıkıntı yok ancak, çok önemli olsaydı emin olun WordPress çekirdeğinde o özellikler bulunurdu zaten. Yine başa gelecek olursak WordPress’in kendisi oldukça güvenli yazılım. Düşünün wp.com’da kaç milyon site barınıyor ve onların kullandığı WordPress yazılımı ile sizinki arasında temelde bir fark yok.
B Planınız Olsun!
Her ne kadar güvenliğe dikkat etsekte olaki site hacklendi, minimum zararla bunu eski haline getirmek için periyodik ve düzenli yedek almakta fayda var. Düzenli yedekleme için kullanabileceğiniz ve kullanışlı (amason s3’e yedekleme, dropbox’a yedekleme vs…) gibi opsiyonlar sunun eklentilerin yanında isterseniz vaultpress gibi profesyonel bir online serviside deneyebilirsiniz.
Bir yanıt yazın