28 milyondan fazla web sitesi artık WordPress kullanıyor. Böylesine büyük ve aktif bir topluluğun parçası olmak harika olsa da, bu popülerlik platformu kötü niyetli bilgisayar korsanları için birincil hedef haline getiriyor.
Neyse ki, bazı basit güvenlik taktikleri uygulayarak ve düzenli kontroller yaparak sitenizi saldırılara karşı çok daha güvenli hale getirebilirsiniz. Bu, önlenebilir bir güvenlik ihlali nedeniyle müşteri, trafik, gelir veya gizli bilgileri kaybetmekten kaçınmanıza yardımcı olabilir.
Bu yazıda, WordPress sitenizi korumanın neden her zamankinden daha önemli olduğunu ve sitenizin güvenliğini artırmaya yönelik en önemli dokuz ipucunu paylaşacağız.
İçerik Tablosu
WordPress Güvenliğine Giriş
WordPress, web’in %40’ından fazlasına güç veriyor ve bu da onu bilgisayar korsanları için çekici bir hedef haline getiriyor. Kötü niyetli bir üçüncü taraf, bir WordPress web sitesinde bir güvenlik açığını bulmayı başarırsa, aynı platformda oluşturulan milyonlarca başka web sitesine karşı aynı güvenlik boşluğunu potansiyel olarak kullanabilir.
Bu düşünceyle, WordPress’e karşı saldırıların artması şaşırtıcı değil. Wordfence, 2020’de güvenlik açıklarından yararlanmak isteyen 4,3 milyar kötü niyetli girişim kaydetti. Web güvenliği sorulduğunda, geliştiricilerin, serbest çalışanların ve ajansların %70’inden fazlası web siteleri hakkında giderek daha fazla endişelendiklerini doğruladı. Aslında, ankete katılanların %25’i, ankete katılmadan önceki ay saldırıya uğramış bir web sitesiyle uğraşmak zorunda kaldıklarını doğruladı.
WordPress ekibi, platformdaki güvenlik açıklarını belirleme ve ele alma konusunda güçlü bir geçmişe sahiptir. Ancak hiçbir yazılım mükemmel değildir. Ek olarak, birçok web sitesi sahibi WordPress çekirdeğini temalar ve eklentilerle geliştirmeyi ve daha işlevsel özellikler kazandırmayı tercih ediyor. Bu üçüncü taraf eklenti ürünleri sitenize yeni tasarımlar ve özellikler ekleyebilir, ancak yeni güvenlik açıklarına da sebep olabileceğini unutmamalısınız.
Patchstack’in güvenlik teknik incelemesine göre, üçüncü taraf eklentileri ve temaları, tespit edilen WordPress güvenlik açıklarının yüzde 96,22’sini oluşturuyor. 2020 boyunca tespit edilen aktif ve savunmasız tema ve eklenti kurulumlarının toplam sayısı şaşırtıcı bir şekilde 70 milyona ulaştı.
Bir bilgisayar korsanı sitenizin kontrolünü ele geçirmeyi başarırsa, sonuçları felaket olabilir. Saldırgan sitenizi tahrif edebilir, verilerinizi çalabilir veya sadık müşterilerinizi bir spam web sitesine yönlendirebilir.
Bu kötü niyetli faaliyetlerin etkisi çok geniş kapsamlı olabilir. Ziyaretçilerinizin bilgilerini koruyamamanız, müşterileriniz arasında güven kaybına ve kaçırılan satışların size verdiği zararın yanında, doğrudan potansiyel yasal işlemlere kadar ilerleyen hukuki süreçlere dahil olabilirsiniz.
WordPress Web Sitenizi Güvende Tutabilmek İçin Öneriler
WordPress, bilgisayar korsanları arasında favori bir hedef olabilir, ancak bu, farklı bir İçerik Yönetim Sistemine (CMS) geçmek için bir neden değildir. WordPress web sitenizi yaygın saldırılara karşı güçlendirmek ve korumak için kullanabileceğiniz dokuz ipucuna bir göz atalım.
1. Güvenliği Önceliklendiren bir Hosting Sağlayıcısı Seçin
WordPress web sitenizi güvende tutmanın en önemli yolu, güvenliği önceliklendiren bir hosting sağlayıcısı seçmektir. Mümkün olan her yerde, yerleşik güvenlik özellikleri ve araçları sunan bir barındırma çözümünü seçmenizi öneririz.
IHS Telekom’da güvenliği ciddiye alıyoruz, bu nedenle tüm hosting paketlerimizde IHS’nin kendi sunucularında sağladığı güvenlik stardartlarıyla korunmuş olursunuz. Türkcell veri merkezinde sadece IHS Telekom personelinin girebildiği özel bir bölümde yer alan sunucularımızla verdiğimiz hizmet sayesinde üst düzey güvenliğe sahip sunucularda hosting hizmeti kullanabilirsiniz.
CPanel hosting paketlerimiz ayrıca cPanel kontrol paneli ve Softaculous yükleyicisiyle birlikte gelir. Bu popüler yükleyici, web sitenizi korumanıza yardımcı olabilecek birçoğu da dahil olmak üzere çok çeşitli eklentilere, araçlara ve yazılıma erişim sağlar.
Eski yazılımları çalıştırmak sitenizi saldırılara karşı daha savunmasız hale getirebilir. Softaculous aracılığıyla ek yazılım yüklemeyi seçerseniz, her güncelleme kullanıma sunulduğunda bir e-posta alırsınız. Bu, sitenizin güvenliğini artırmaya yardımcı olabilecek kritik güvenlik güncellemelerini veya hata düzeltmelerini kaçırmamanızı sağlar.
Bir güvenlik endişeniz varsa, hemen ilgilenmeniz önemlidir. Bu nedenle, tüm müşterilerimize 7/24 müşteri desteği sunuyoruz.
2. Web Sitenize Bir SSL Sertifikası Yükleyin
SSL sertifikası olmadan, kötü niyetli üçüncü taraflar web sitenizin gönderdiği ve aldığı verilere müdahale edebilir. Bu, oturum açma kimlik bilgilerini ve ödeme ayrıntılarını içerir. Bir bilgisayar korsanı bu bilgilere erişmeyi başarırsa, itibarınıza zarar verebilir ve kullanıcıların web sitenize olan güvenini sarsabilir. Veri koruma yasaları nedeniyle sizi yasal yönden de zarara uğratabilirler.
Bir SSL sertifikası, Hypertext Transfer Protocol (HTTP) yerine Hypertext Transfer Protocol Secure (HTTPS) yoluyla bilgi aktararak özel verilerinizin gizli kalmasını sağlamaya yardımcı olabilir. Adından da anlaşılacağı gibi HTTPS, web sitenize giren ve çıkan tüm verileri şifrelemenizi sağladığı için HTTP’den daha güvenlidir.
Bu önemli güvenlik gereksinimini karşılamanıza yardımcı olmak için, birkaç farklı tür sunuyoruz:
Web Sitenize Uygun SSL Sertifikalarımızı İnceleyin
SSL sertifikanızı aldıktan sonra, sizin için ücretsiz olarak kurulumunu gerçekleştiriyor olacağız. Kurulum için Web site tecrübenizin olması gerekmez.
Bir cPanel kullanıcısıysanız, hesabınıza giriş yapabilir ve Otomatik SSL Kurulum aracını çalıştırabilirsiniz. Ancak yine de bu konuda tecrübeniz yoksa kurulum için teknik destek ekibimiz gereken desteği ve kurulumu ücretsiz sağlayacaktır.
3. Bir İçerik Dağıtım Ağı (CDN) Kullanın
Kötü niyetli bir üçüncü taraf, brute force saldırısı kullanarak sitenize girmeyi başarırsa, verilerinizi çalabilir, sitenizi tahrif edebilir veya hatta WordPress web sitenizi tamamen silebilirler.
Sayı ve simgelerin yanı sıra büyük ve küçük harfler içeren uzun, karmaşık bir parola kullanarak sitenizi brute force saldırılarına karşı korumaya yardımcı olabilirsiniz. Bununla birlikte, bazı bilgisayar korsanları, sitenizi binlerce giriş bilgileriyle bombardımana tutmak için otomatik komut dosyaları ve botlar kullanır. En iyi şifre uygulamalarını kullansanız bile, siteniz yine de bu brute force (kaba kuvvet) saldırısının kurbanı olabilir.
Bu otomatik komut dosyalarına ve botlara karşı korunmak için, bir İçerik Dağıtım Ağı (CDN) kullanmayı düşünebilirsiniz. Bu araç genellikle web sitesi performansını artırmak için kullanılsa da, kötü niyetli isteklerin sitenize ulaşmasını da engelleyebilir.
Bu, bilgisayar korsanlarının sitenize giriş kimlik bilgileriyle saldırmasını engelleyebilir.
Bir CDN kullanarak güvenli bir WordPress web sitesi oluşturun.
Bazı CDN Servisleri, brute force koruması sunmanın yanı sıra, DDoS saldırılarını izlemek ve azaltmak için tasarlanmıştır. Bu senaryoda, bir bilgisayar korsanı ağınızı o kadar çok kötü niyetli trafikle doldurur ki, web sitenizin istekleri işleme kapasitesini aşar ve bu noktada gerçek kullanıcıdan gelen istekler göz ardı edilebilir.
Güvenli CDN servisleri bu tür saldırıları sizin için bertaraf edeceklerdir.
4. Eklentileri ve Temaları Güvenle Kullanın
WordPress, güzel, zengin özelliklere sahip web siteleri oluşturmanıza yardımcı olabilecek devasa tema ve eklenti dizinlerine sahiptir. Ancak bu üçüncü taraf eklentileri, sitenizi saldırılara karşı savunmasız hale de getirebilir. 2019’da WordPress güvenlik açıklarının yüzde 97,2’si eklentilerle ilgiliydi.
Web sitenizi korumaya yardımcı olmak için, yalnızca saygın kaynaklardan eklentiler yüklemelisiniz. Mümkün olan her yerde, sıkı güvenlik kurallarına sahip olduğu için resmi WordPress Eklenti Deposunu kullanmanızı öneririz.
Alternatif olarak, CodeCanyon, Themeforest gibi saygın üçüncü taraf pazarlarından temalar ve eklentiler satın alabilirsiniz. Kaliteli bir kaynak kullanıyor olsanız bile, en son ne zaman güncellendiğini incelemek de dahil olmak üzere temayı veya eklentiyi değerlendirmek akıllıca olacaktır.
Ayrıca, özellikle en yeni olanlar olmak üzere yazılımın incelemelerini kontrol etmenizi öneririz. Çok sayıda olumsuz yorum, en son sürümde bir güvenlik sorununa işaret edebilir.
Temalar ve eklentiler de sitenize güvenlik açıkları içerebilecek kod ekler. Sorumlu bir geliştirici, temalarında veya eklentilerinde keşfedilen güvenlik açıklarını kapatmak için çok çalışacak ve genellikle yakın zamanda keşfedilen güvenlik açıkları için bir çözüm içeren bir güncelleme yayınlayacaktır. Bu nedenle, temalarınızı ve eklentilerinizi güncel tutmanız önemlidir.
Araştırmalara göre sitelerin yüzde 86’sı eski yazılımlar nedeniyle saldırıya uğruyor. Riski en aza indirmek için, güncellemeleri kullanılabilir olur olmaz yüklemeniz önemlidir.
Bir noktada, artık belirli bir temaya veya eklentiye ihtiyacınız olmayabilir. Söz konusu yazılımı basitçe devre dışı bırakırsanız, bilgisayar korsanları yine de yazılımın kodunu kullanabilir. Örneğin, bilgisayar korsanları genellikle belirli bir eklenti içindeki bireysel PHP dosyalarını hedef alır.
Basitçe temayı veya eklentiyi devre dışı bırakırsanız, bu PHP dosyaları erişilebilir durumda kalacak ve bu nedenle yine de yararlanılabilecektir. Bu, artık ihtiyaç duymadığınız uzantıları silmenizin çok önemli olduğu anlamına gelir.
5. Bir Web Uygulaması Güvenlik Duvarı (WAF) Kurun
Temalar ve eklentiler, web sitenize potansiyel olarak güvenlik açıkları getirebilir. İdeal olarak, böyle bir sorun keşfedildiğinde, tema veya eklenti geliştiricisi sorunu düzeltmek ve bir güncelleme yayınlamak için acele edecektir.
Ancak, bazı karmaşık güvenlik açıklarının düzeltilmesi zaman alabileceğinden bu her zaman geçerli değildir. Her zaman güvenli olmayan yazılımları kaldırmanızı tavsiye etsek de, bu her zaman mümkün değildir. Örneğin, söz konusu eklenti, web sitenizin temel işlevlerini sunabilir.
Savunmasız ve eski sürüm bir eklenti kullanmaya devam etmeniz gerekiyorsa, bilgisayar korsanlarının bu bilinen güvenlik açıklarını kötüye kullanmasını zorlaştırabilirsiniz. Bir yöntem, kötü niyetli istekleri WordPress web sitenize ulaşmadan önce filtrelemek için bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmaktır. Bu, sitenizi Siteler Arası Komut Dosyası (XSS) saldırılarına karşı da koruyabilir.
WordPress için kullanılabilen birkaç WAF eklentisi vardır. Ancak, Wordfence güvenlik duvarı popüler bir seçenektir:
Wordfence’i kurduktan ve etkinleştirdikten sonra, bu eklentiyi daha fazla öğrenme bölümünde güvenlik duvarını etkinleştirmeden önce en az bir hafta bırakmak iyi bir fikirdir. Bu, Wordfence’in meşru etkinlikleri engellediği yanlış eylemlerden kaçınmanıza yardımcı olabilir.
Eklenti öğrenme modundayken, WordPress web sitenizde mümkün olduğunca çok sayıda farklı eylem gerçekleştirmelisiniz. Bu, Wordfence’a sitenizi nasıl koruyacağını öğrenmesi için mümkün olan en iyi şansı verirken, aynı zamanda güvenlik duvarı üzerinden normal faaliyetlere ve ziyaretçilere izin verir.
Wordfence > Firewall’a giderek Wordfence’ı Öğrenme Moduna geçirebilirsiniz. Ardından, Web Uygulaması Güvenlik Duvarı Durumu açılır menüsünü açın ve Öğrenme Modu’nu seçin. Artık hazır.
Değişikliklerinizi kaydedin ve Wordfence sitenizi izlemeye başlayacaktır. Wordfence’ı Öğrenme Modundan çıkarmaya hazır olduğunuzda, Wordfence > Firewall’a giderek güvenlik duvarını etkinleştirebilirsiniz. Ardından açılır menüyü açın, Etkinleştir ve Koru’yu seçin.
6. İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin
Web sitenizi güçlü bir şifreyle korumak önemlidir. Ancak, oturum açmak için kullandığınız kimlik bilgilerinizin şifre gücünün bu saldırının başarılı olup olmaması üzerinde hiçbir etkisinin olmadığı bazı parola tabanlı saldırılar vardır.
Buna, bir bilgisayar korsanının binlerce, hatta milyonlarca kullanıcı adı ve şifre kombinasyonu kullanarak kontrol panelinize girmeye çalıştığı kimlik bilgileri doldurma saldırıları dahildir. Klavyenizi izleyebilen ve şifreniz dahil yazdığınız her şeyi kaydedebilen tuş vuruşlarını kaydeden programları bile vardır.
Bu saldırılara karşı korumanın bir yolu, İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmektir. Bu özelliği etkinleştirdikten sonra, WordPress web sitenize erişmeye çalışan herkesin erişim için doğru giriş bilgilerini girmesi ve ardından telefonundaki bir push bildirimine yanıt vermek veya e-posta adreslerine gönderilen bir kodu girmek gibi ek bir güvenlik kontrolünden geçmesi gerekecektir.
2FA’yı etkinleştirerek, üçüncü bir tarafın web sitenize erişmesini önemli ölçüde daha zor hale getirebilirsiniz. Google Authenticator veya Microsoft Authenticator, Authy gibi bir mobil uygulama kullanarak 2FA kurabilirsiniz.
Seçtiğiniz 2FA mobil uygulamasını yükledikten sonra, WordPress için 2FA eklentisini kurarak sitenize 2FA özelliğini kazandırabilirsiniz. Ancak kurulumda mutlaka sunucu saatinizle mobil uygulamayı kullandığınız cihazın saatlerinin eşleşmesine dikkat etmeli bu saatleri senkronize ettikten sonra kurulumda gereken 2FA kodunu üretip sisteme başarılı bir entegrasyon sağlayabilirsiniz.
7. XML-RPC’yi Devre Dışı Bırakın
Pingback’ler, içeriklerine bağladığınız diğer web sitelerine bildirimde bulunmanın bir yoludur ve bunun tersi de geçerlidir. Varsayılan olarak, WordPress’te etkindirler. Bu özellik sitenizden bahseden yorumlara yanıt vermeyi kolaylaştırırken, web sitenizi DDoS saldırılarına karşı daha savunmasız hale getirebilir.
WordPress pingback özelliği, XML-RPC arayüzü ile mümkün hale getirilmiştir. Ancak bir saldırgan, sitenizi pingback ile bombalamak için bu özelliği kullanabilir. Bu, sunucunuzu aşırı yükleyebilir ve hatta sitenizi çevrimdışı olmasına sebep olabilir. Bu nedenle, REST XML-RPC DATA Checker eklentisini kullanarak XML-RPC arayüzünü devre dışı bırakmayı düşünebilirsiniz.
Pingback’leri devre dışı bırakmaya karar verirseniz, bu eklentiyi WordPress eklentiler kısmından kolayca yükleyip ve etkinleştirebilirsiniz. Ardından Ayarlar > REST XML-RPC Data Checker‘a gidin. Ardından, XML-RPC sekmesini seçin ve XML-RPC API seçeneğini disable olarak işaretleyip kaydedin.
Bu sayede Pingback özelliğini devre dışı bırakarak güvenlik için bir adım daha atmış olacaksınız.
Bir eklenti kullanmak istemiyorsanız, gelen tüm XML-RPC isteklerini sitenize aktarılmadan önce engelleyebilirsiniz.
Bu teknik, sitenizi kod düzeyinde düzenlemenizi gerektirdiğinden, devam etmeden önce tam bir yedek oluşturmanızı tavsiye ederiz.
Daha sonra .htcaccess dosyanızı düzenlemek için açabilir ve aşağıdaki kod parçacığını ekleyebilirsiniz.
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Değişikliklerinizi kaydetmeyi ve dosyayı sunucunuza yeniden yüklemeyi unutmayın. XML-RPC’nin artık devre dışı bırakıldığını doğrulamak için XML-RPC Doğrulayıcı‘ya gidin ve web sitenizin URL’sini girin. XML-RPC düzgün bir şekilde devre dışı bırakılmışsa, Doğrulayıcı bir hata mesajı görüntülemelidir.
8. WordPress Tema Düzenleyicisini Kaldırın
Varsayılan olarak, temanızı WordPress’in yerleşik tema düzenleyicisini kullanarak değiştirebilirsiniz. Bu, özel temalar oluşturmak için yararlı olsa da, bilgisayar korsanlarının web sitenize kötü amaçlı kod eklemesinin bir yoludur.
Tema düzenleyiciye ihtiyacınız yoksa devre dışı bırakmayı düşünebilirsiniz. Bu, web sitenizin kodunu düzenlemenizi gerektirir, bu nedenle devam etmeden önce bir yedek oluşturmanızı öneririz.
Düzenleyiciyi devre dışı bırakmak için, sunucunuza bir FTP istemcisi kullanarak bağlanmanız gerekir. Daha sonra wp-config.php dosyanıza aşağıdaki kodu ekleyip kaydedebilirsiniz.
define( 'DISALLOW_FILE_EDIT', true );
Değişikliklerinizi kaydettikten sonra, tema düzenleyicisi WordPress panonuzdan kaybolacaktır. Herhangi bir noktada tema düzenleyicisini geri yüklemeniz gerekirse, FTP kullanarak sunucunuza bağlanın ve DISALLOW_FILE_EDIT kod satırını kaldırın.
9. Veritabanınızı SQL Enjeksiyon Saldırılarına Karşı Koruyun
Bir bilgisayar korsanı, MySQL veritabanınıza kötü amaçlı SQL sorguları enjekte ederek WordPress hesabınıza erişim sağlamaya çalışabilir. Bilgisayar korsanları, kullanıcıların veri girebildiği herhangi bir içerik aracılığıyla bu SQL enjeksiyon saldırılarını başlatabilir. Bu, yorum bölümleri ve iletişim formları gibi birçok web sitesi modülünü içerir.
MySQL, enjeksiyon saldırılarına karşı savunmasız olduğundan, veritabanınızı güncel tutmanız önemlidir. MySQL veritabanınızı, web sitenizle, şirketinizle veya bir birey olarak sizinle bağlantısı olmayan güçlü bir parola ile korumak da önemlidir. Burada, Strong Random Password Generator veya LastPass gibi bir parola oluşturucu kullanmak yardımcı olabilir:
Ayrıca benzersiz bir veritabanı adı kullanarak bilgisayar korsanlarının veritabanınızı tanımlamasını da zorlaştırabilirsiniz. Bu sayede bilgisayar korsanlarının manık yürüterek deneme yanılma yoluyla sisteminiz hakkında bilgi edinmesinin önüne geçmiş olursunuz.
Sonuç olarak
Dünyanın en popüler İçerik Yönetim Sistemlerinden biri olan WordPress için bilgisayar korsanları, WordPress temaları, eklentileri ve çekirdeğindeki güvenlik açıklarını ortaya çıkarmaya her zaman isteklidir. Kötü niyetli bir üçüncü taraf, bir güvenlik boşluğunu tespit etmeyi başarırsa, bunu sizinki de dahil olmak üzere milyonlarca WordPress web sitesine saldırmak için potansiyel olarak kullanabilir.
Bazı basit güvenlik önlemlerini uygulayarak, sitenizi saldırılara karşı daha güvenli hale getirebilirsiniz. Tüm temalarınızı ve eklentilerinizi dikkatlice inceleyerek ve bir SSL sertifikası yükleyerek temel bilgilerle başlamak önemlidir. Güçlü bir temele sahip olduğunuzda, 2FA’yı etkinleştirmek ve mümkün olduğunda tema düzenleyiciyi ve XML-RPC’yi devre dışı bırakmak gibi daha gelişmiş güvenlik taktiklerini keşfetmenizi öneririz.
Hosting sağlayıcısı seçiminiz de güvenlik için çok önemlidir. Tüm IHS Telekom hosting paketlerimiz, sizin için sunucu tarafında en güvenli hizmeti sunsa da, site içinde güncel kalmanız bu güvenlik etkileşimini güçlendirecektir.
İçeriğimizi paylaşarak daha fazla kişinin web sitesini güvenli hale getirmesine yardımcı olabilirsiniz.