Sayfalar

3 Mayıs 2014

WordPress için Güvenlik Önlemleri

WordPress Security

WordPress,  en popüler açık kaynak kodlu içerik yönetim sistemi (CMS) olduğu için, web siteleri güvenlik açıklarından ve zayıflıklarından yararlanmak isteyen insanların Hack saldırılarına bir çok kez hedef olmaktadır.

WordPress, ortalama her ay bir kaç kez periyodik olarak sürüm yükseltir ve bu sayede kendi açıklarını bir nebze olsa da kapatır. Ve bu sayede hacker’lar tarafından yapılması muhtemel saldırılara karşı güvenlik önlemini arttırmış olur. Fakat sadece WordPress’in güncellemesi ile iş bitmiyor aynı zamanda wordpress kullanıcılarının da yapması gereken güvenlik önlemleri de var. Saldırılarından korunmak için WordPress platformunda almanız gereken güvenlik önlemleri sıralayacak olursak;

1) WordPress’in Son Sürümüne Güncelleyin
Wordpress son güncelleme uyarısı yönetim panelinin üst kısmında çıkan uyarı ile bildirilmektedir. Bu uyarı çıktığı zaman FTP şifrenizi girerek otomatik güncellemenizi yapmayı ihmal etmeyin. Aynı zamanda kullandığınız temanın da güncel sürümünü kullanmaya özen gösterin.


Çünkü Wordpress sürümünüz en güncel olsa da temadaki bir bug'dan dolayı saldırıya maruz kalabilirsiniz. Birde temanız popüler bir template ise Exploit sitelerinde (1337day.com0-day açıkları yayınlandığı an saldırı almaya başlarsınız.

2) Güçlü Bir Şifre Kullanın
Yönetim paneline giriş şifrenizi basit şifreleme kombinasyonları kullanarak oluşturmayın. Büyük ve Küçük harf ile birlikte rakamlar ve karakterler kullanabilirsiniz.


WordPress parolanızı daha güçlü bir şekilde oluşturmak için sol tarafta bulunan Kullanıcılar bölümünden Profiliniz kısmına tıklayınız ve aşağıda güçlü bir parola oluşturmak için alanları doldurabilirsiniz.

3) Oturum Açma Girişimlerini Önleyin
Oturum açma girişimlerini engelleyen eklenti, Admin paneline giriş yapmak için bir çok deneme yapan hacker’ların saldırı girişimlerini engellemek konusunda kullanışlı olmaktadır.


“Limit Login Attempts” eklentisini ise “Eklentiler” bölümünden “Yeni Ekle” bölümüne tıklayıp arama yaparak kurabilirsiniz. Oturum açma giriş denemelerini ve diğer sınırlamaları ayarlamak için eklentiyi kurabilir ve değişiklikleri kaydedebilirsiniz.

4) Kullanıcı Adı Olan “Admin” Üyeliğini Silin
Hacker’lar sitelerde standart olarak seçilen yönetici olan kullanıcı adı ile ihtiyaçları olan bilgilere ulaşabilirler. Kullanıcı adınızı “admin” olarak kalırsa hackerlar için zaman kazandırmış olursunuz, geriye sadece şifrenizin tahmin edilebilmesi kalacaktır. Şifrenizi de tahmin ettiklerinde sitenize girerek isteklerini yapabilirler.

Sitenizi güvenli hale getirebilmek için atacağınız adımların bir diğeri de yeni bir kullanıcı adı oluşturmanız ve varsayılan yönetici adını silmenizdir. Sitenizin hacklenmesini zorlaştıracaktır. "admin" kullanıcı adı dışında başka bir yönetici giriş kullanıcı adı kullanın.

5) Web Sitenizin Veri tabanını Yedekleyin
Web sitenizi güvenli tutmak için veri tabanınızı yedeklemek çok önemlidir. Sitenizde olası bir saldırı durumları oluşursa , tüm site içeriğinizi baştan yüklemeniz gerekebilir. Eğer elinizde veri tabanı yedekleme (backup) dosyası bulunmuyorsa, tüm site içeriğinizi risk altında tutuyorsunuz demektir.

WordPress de yedek alma işlemini kolaylaştıran ücretli ve ücretsiz eklentiler bulunmaktadır. Örneğin WP-DB-Backup eklentisi yeni başlayan kullanıcılar için ücretsiz sunulmakta ve Dünya genelinde en çok indirilen yedekleme eklentidir. Bu eklentiyi kullanarak yedeklerinizi alabilirsiniz. Ayrıca WordPress Veritabanı Optimizasyonu yaparak sitenizi hızlandırabilirsiniz. Bunun için Wp Optimize eklentisini kullanabilirsiniz.

6) WordPress Sürümünüzü Gizleyin
WordPress siteniz de browser tarayıcınız üzerinde sayfa kaynağını görüntüle yapıldığı takdir de herkes tarafından kulanmış olduğunuz wordpress sürümünüzü görülebilir. Güncel olmayan wordpress versiyonu kullanıyorsanız güvenlik açıkları içeriyor olabilir. WordPress sürümünüzü gizlemek için öncelikle bazı kodlar eklemeniz ve çıkarmanız gerekmektedir.


functions.php dosyanızın içerisine gelin ve kodların en altına aşağıda bulunan kodu ekleyin.
remove_action('wp_head', 'wp_generator');
Sonrasında ana sayfanıza gelip tarayıcınızdan sayfa kaynağını görüntüle yaparak sonucu kontrol edebilirsiniz.

7) WordPress Admin Giriş Adresini (wp-admin) Değiştirme



WordPress'de en çok araştırılan konulardan biridir. Admin paneli ayrı bir klasörde olmadığı için (Örnek olarak Joomla'da administrator klasörü) Cpanel'den ön şifreleme koymakta mümkün değil. Bu yüzden /wp-admin yolunu değiştirmeye gidiyor bir çok kodcu.

Eskiden bunu değiştirmek zordu fakat bir eklenti ile artık daha kolay ve mümkün. "Lockdown WP Admin" eklentisini sitenize kurun. Eklenti kurulduktan sonra etkinleştirin ve admin giriş ayarlarını düzenleyerek kaydetmeniz yeterli.


Kaynaklar
http://blog.natro.com/2014/04/25/wordpressde-6-kritik-guvenlik-onlemi
http://wordpress.org/plugins/lockdown-wp-admin (Lockdown WP Admin)
https://wordpress.org/plugins/wp-optimize (WP Optimize)
http://wordpress.org/plugins/limit-login-attempts (Limit Login Attempts)
http://wordpress.org/plugins/wp-db-backup (WP-DB-Backup)
http://hackertarget.com/wordpress-security-scan (WordPress Security Scaner)
http://tr.wordpress.org/releases (Güncel Sürümler)