WordPress, tüm zamanların en popüler açık kaynaklı yazılım projesi ve dünyadaki web sitelerinin ciddi bir çoğunluğu bu sistemle çalışıyor. Tabii ki bu açık kaynak durumunun avantajları olduğu gibi, dezavantajları da bulunuyor. Yani WordPress’in kodları herkese görünür durumda ve pek çok kötü niyetli hacker da, sistemde açık kolluyor.
Her ne kadar WordPress bu durumun farkında olarak devamlı güvenlik yamaları ve güncel sürümler yayınlasa da, bilindiği gibi dünya üzerinde aşılamayacak sistem bulunmuyor.
WordPress güvenlik açıkları nelerdir, nasıl kapatılır?
Sürüm, eklentiler ve alt alanlar: Hacker, sisteme sızmaya karar vermeden önce sistemi baştan sona inceler. WordPress sürümüne bakar, açıkları kollar, yeterince bilgi toplar.
Bu işlem esnasında ayrıca siteye kurulu olan eklentilere ve temalara da bakar. Dolayısıyla eklenti ve tema kurarken, hız kadar önemli olan bir diğer etken de güvenlik kısmıdır.
WordPress kullanıcılarının yaptığı bir diğer tembellik de, sitenin tam bir yedeğini almaktan üşenip, siteyi doğrudan alt bir kategoriye yüklemektir. Bu dosyalar da alan adında doğrudan gözükeceği için, hackerın ulaşması hâlinde büyük tehlike arz eder.
Admin sayfası: Hackerlar, WordPress siteleri en çok admin paneliyle hedef alır. WordPress sitelerin yönetim paneli başta site.com/wp-admin.php şeklinde bir alan adına sahiptir, kullanıcı adı da ‘Admin’dir ve değiştirilmezse böyle kalır. Kötü niyetli kullanıcılar da ya şifre tahmin yoluna gider, ya da brute force adı verilen saldırıları dener.
Dolayısıyla, WordPress sitenizde almanız gereken ilk önlem yönetim paneli sayfanızın alan adını tamamen değiştirmektir. Bunu elle yapabileceğiniz gibi, çeşitli eklentiler vasıtasıyla da gerçekleştirebilirsiniz. Aynı zamanda kullanıcı adınızı da değiştirmeyi unutmayın.
Kullanıcı yükseltme: Bir diğer popüler yöntem ise saldırganın WordPress sitesine normal kullanıcı gibi kayıt olması. Bu şekilde sıradan bir hesaba sahip olsa da, çeşitli yöntemlerle admin olabilen sanal korsanlar var. Dolayısıyla, eğer çok zaruri değilse sitenize kayıt olma özelliğini de kapatın.
Paylaşılan hostingle saldırı: Pek çok düşük maliyetli web siteleri, host firmaları tarafından aynı ortamda barındırılıyor. Hâl böyle olunca da, bazı kötü niyetli kullanıcılar aynı hostta bulunan diğer web sitelerine izinsiz erişim sağlayabiliyor.
WordPress Güvenlik İpuçları
– Tüm kullanıcı hesapları için güçlü parolalar kullanın.
– Web sitenizi tutacağınız hosting firmasını güvenilir, ünlü bir firmada tutun.
– WordPress sitenizi olabildiğince sade tutun, tema ve eklentilerinizi hep güncel tutun.
– Tüm kullanılmayan ve tarihi geçmiş web uygulamalarını, sitenizin eski yedeklerini silin.
– Sitenizde herkese açık erişilebilir bir nokta olmadığından emin olun.
– Dilerseniz popüler WordPress güvenlik – antivirüs uygulamalarından kullanın.
Her ne kadar WordPress bu durumun farkında olarak devamlı güvenlik yamaları ve güncel sürümler yayınlasa da, bilindiği gibi dünya üzerinde aşılamayacak sistem bulunmuyor.
WordPress güvenlik açıkları nelerdir, nasıl kapatılır?
Sürüm, eklentiler ve alt alanlar: Hacker, sisteme sızmaya karar vermeden önce sistemi baştan sona inceler. WordPress sürümüne bakar, açıkları kollar, yeterince bilgi toplar.
Bu işlem esnasında ayrıca siteye kurulu olan eklentilere ve temalara da bakar. Dolayısıyla eklenti ve tema kurarken, hız kadar önemli olan bir diğer etken de güvenlik kısmıdır.
WordPress kullanıcılarının yaptığı bir diğer tembellik de, sitenin tam bir yedeğini almaktan üşenip, siteyi doğrudan alt bir kategoriye yüklemektir. Bu dosyalar da alan adında doğrudan gözükeceği için, hackerın ulaşması hâlinde büyük tehlike arz eder.
Admin sayfası: Hackerlar, WordPress siteleri en çok admin paneliyle hedef alır. WordPress sitelerin yönetim paneli başta site.com/wp-admin.php şeklinde bir alan adına sahiptir, kullanıcı adı da ‘Admin’dir ve değiştirilmezse böyle kalır. Kötü niyetli kullanıcılar da ya şifre tahmin yoluna gider, ya da brute force adı verilen saldırıları dener.
Dolayısıyla, WordPress sitenizde almanız gereken ilk önlem yönetim paneli sayfanızın alan adını tamamen değiştirmektir. Bunu elle yapabileceğiniz gibi, çeşitli eklentiler vasıtasıyla da gerçekleştirebilirsiniz. Aynı zamanda kullanıcı adınızı da değiştirmeyi unutmayın.
Kullanıcı yükseltme: Bir diğer popüler yöntem ise saldırganın WordPress sitesine normal kullanıcı gibi kayıt olması. Bu şekilde sıradan bir hesaba sahip olsa da, çeşitli yöntemlerle admin olabilen sanal korsanlar var. Dolayısıyla, eğer çok zaruri değilse sitenize kayıt olma özelliğini de kapatın.
Paylaşılan hostingle saldırı: Pek çok düşük maliyetli web siteleri, host firmaları tarafından aynı ortamda barındırılıyor. Hâl böyle olunca da, bazı kötü niyetli kullanıcılar aynı hostta bulunan diğer web sitelerine izinsiz erişim sağlayabiliyor.
WordPress Güvenlik İpuçları
– Tüm kullanıcı hesapları için güçlü parolalar kullanın.
– Web sitenizi tutacağınız hosting firmasını güvenilir, ünlü bir firmada tutun.
– WordPress sitenizi olabildiğince sade tutun, tema ve eklentilerinizi hep güncel tutun.
– Tüm kullanılmayan ve tarihi geçmiş web uygulamalarını, sitenizin eski yedeklerini silin.
– Sitenizde herkese açık erişilebilir bir nokta olmadığından emin olun.
– Dilerseniz popüler WordPress güvenlik – antivirüs uygulamalarından kullanın.