WordPress Güvenlik Taraması Nasıl Yapılır?

  • Wordpress
  • Veridyen
  • 4 hafta önce
  • 15 Dakikalık Okuma Süresi
Wordpress Güvenlik Taraması Nasıl Yapılır?

Bir internet sitesi sahibi ya da geliştiriciyseniz WordPress güvenlik taramasını neden önemsemeniz gerekir? Dünyanın en popüler içerik yönetim sistemi olan WordPress, dünyadaki tüm internet sitelerinin %39’un da kullanılıyor. Kullanılabilirliği sürekli artan ve kolay bir yönetim paneline sahip olan WordPress, açık kaynaklı olmasından dolayı da siber saldırıların hedefinde bulunuyor.

Sucuri ve Godaddy iş birliğinde yapılan analizlerde, 25 binden fazla virüslü internet sitesi ve 4.4 milyon temizlenmiş dosya incelendi. Sucuri tarafından yayımlanan 2019 Web Sitesi Hack Trend Raporu’na göre WordPress bulaşmalarının oranı 2018 yılında %90, 2019 yılında ise %94 olarak belirtiliyor. Fakat raporun yazarları, açık kaynak kodlu içerik yönetim platformlarındaki ihlallerin yaygınlığının, bu platformların birinin diğerinden daha az güvenli veya daha çok güvenli olduğu anlamına gelmediğini vurguluyor. Bu veriler, en çok kullanılan altyapıları anlatıyor ve içerik yönetim sistemlerinin popüleritesini yansıtıyor. Fakat neyse ki, düzenli olarak WordPress güvenlik taraması ile birlikte güvenlik sorunlarını minimize etmek mümkün ve bu da sitenizin başına bir felaket gelmesini önleyebilir.

Wordpress Güvenlik Taraması

WordPress Güvenlik Taraması Neden Önemlidir?

WordPress açık kaynak kodlu bir içerik yönetim sistemi olduğu için yazılımı oluşturan her bir kod satırı incelenebilir ve herkesin kullanımına açıktır. WordPress’in yayımladığı güncellemeleri inceleyecek olursanız her güncellemenin içinde güvenlik yamaları olduğunu görebilirsiniz. Bu incelemeden internet sitesi sahiplerinin anlaması gereken nokta, WordPress altyapısının güvenli ve çevrimiçi kalabilmeye devam edebilmesi için düzenli bakıma ihtiyaç duyduğudur. WordPress’i ihmal etmek internet sitenizin güvenliğini riske atmak sonucunu ortaya çıkarır.

Fakat düzenli bir şekilde yapılan WordPress güvenik taramaları, internet siteniz hasar aldıktan sonra onarmaya göre daha kolaydır. Sitenizde bir güvenlik ihmali tespit ettiyseniz siteyi sıfırdan tekrar yaratmak veya hangi yedekte kötü amaçlı yazılım bulunup bulunmadığını anlayabilmek için sunucu üzerinde denetleme yapmaktansa doğru zamanlarda yapılan güvenlik taramaları sizi çok büyük bir zahmetten kurtaracaktır.

Barındırma hizmeti aldığınız yerde, aldığınız hizmete ek olarak güvenlik taraması servisinin de bulunması sizi bir nebze daha rahatlatabilir. WordPress altyapısını kullanan site sahipleri, güvenlik taramaları konusunda bilgilendirilmediklerinden dolayı, sitelerinin güvenliği konusunda net bir bilgiye sahip olamıyorlar. Bu da, web sitesinin ihmal edilmesi ve yapılan yatırımların zarar görmesi sonucunu doğuruyor.

Sitenizde bakım uygulamak, hem daha uzun ömürlü bir internet sitesine sahip olmanıza hem de müşterilerinizin gözünde marka değerinizi arttırmanızı sağlar. Öngörülebilir bir işletme sahibi olmanızın yanı sıra, sırtınıza daha az iş yükü binmesini sağlayan bir sistemdir. Markanızın akıllarda yer edinmesi ve müşteriye değerinizi hatırlatarak onlarla kurduğunuz bağın güçlenmesi de elde edeceğiniz faydalardandır.

Wordpress Güvenlik Taraması Nasıl Yapılır?

WordPress Güvenlik Taraması Nasıl Yapılır?

Müşteriniz için güvenli bir internet sitesi sunmanın önemini yukarıda anlattık. Hem de kötü bir senaryoda nasıl en az hasarla işten sıyrılabileceğinizi de anlamış oldunuz. Artık bu önerilerin internet siteniz üzerinde nasıl uygulayabileceğinizi merak ediyor olmalısınız. Kahvelerinizi hazırlayın çünkü bu yazı normal yazılardan biraz daha uzun olacaktır. İşte WordPress güvenlik taraması konusunda uygulamanız gereken temel maddeler:

  • Eklentilerinizi, temanızı ve çekirdek dosyalarınızı güncelleyin,
  • Kullanmadığınız tema ve eklentileri silin,
  • Sitenizde SSL protokolünü kullanın,
  • Güçlü şifreler kullanın,
  • Sitenize güvenlik eklentisi yükleyin,
  • CAPTCHA kullanın,
  • Dosya düzenlemesini kapatın,
  • Oturum açma girişimlerine sınır getirin,
  • Güvenlik anahtarını değiştirin,
  • .htaccess ile çekirdek dosyaları güvenli tutun,
  • XML-RPC inaktif duruma getirin,
  • Dosya izinlerinizi denetleyin,
  • Düzenli yedeklemeler yapın,
  • PHP hata raporlamasını inaktif duruma getirin.

Eklentilerinizi, temanızı ve çekirdek dosyalarınızı güncelleyin

Yazının ilk kısımlarında bütün WordPress güncellemelerinde güvenlik yamaları olduğunu söylemiştik. Bu, WordPress sitenizin güvenliğini sağlamak için en temel adımdır ve uygulanması da çok basittir. Wp-admin panelinde, kenar çubuğundaki seçeneklere gelin ve açılır menüden Güncellemeler ögesinin üzerine tıklayın. Güncellemek istediğiniz ögeleri seçin. Eğer otomatik güncelleme özelliğini aktif etmek istiyorsanız aşağıdaki kod satırını wp-config.php dosyasına ekleyebilirsiniz. Bu şekilde tema, eklenti ve çekirdek dosyalarınız sizin manuel işlemlerinize gerek kalmadan otomatik olarak güncellenir.

// Enable automatic updates for all
define( ‘WP_AUTO_UPDATE_CORE’, true );
add_filter( ‘auto_update_plugin’, ‘__return_true’ );
add_filter( ‘auto_update_theme’, ‘__return_true’ );

Otomatik güncellemeler bazen bir eklenti veya temanın çalışma şeklini etkileyebilir. Ama bu internet sitenizde güvenlik açığı bulunmasından kat ve kat daha avantajlı bir durumdur.

Kullanmadığınız tema ve eklentileri silin

WordPress’in diğer içerik yönetim sistemlerine göre en önemli özelliklerinden birisi de eklenti ve temaların çok kolay bir şekilde indirilip internet sitesine entegre edilebiliyor oluşudur. Bu internet sitenizin işlevselliğini arttırır fakat gereğinden fazla tema ve eklenti bulundurmanız sitenize faydadan çok zarar getirir.

Eklenti ve temaların kod kalitesi farklılık gösterir çünkü kuruluşlar veya bireyler tarafından yazılmış olabilirler ve sonuçta her ikisi de mükemmel değildir. WordPress sitenize eklediğiniz eklentilerin kurulumun aşamasında yeni vektörler açılır ve bu da sitenize saldırı olma olasılığını arttırır. Bu konuda sadece kullanmadığınız eklentileri devre dışı bırakmanız yetmez, kodu sunucudan tamamen kaldırabilmek için bu eklentileri silmeniz gerekir. Kullanmadığınız ögeleri silerek tamamen kaldırdığınızda sunucu üzerinde oluşan yükü de azaltırsınız ve bu sitenizin performansına etki eder. Az sayıda eklentiyi aktif olarak kullanmanız WordPress sitenizin daha hızlı çalışması demektir.

Sitenizde SSL protokolünü kullanın

SSL sertifikasının artık bir zorunluluk haline geldiğini söylemek mümkün. İnternet sitenizde aktif olarak kullandığınız bir SSL sertifikanızın olması, hem trafiğinizi daha güvenli hale getirir hem istemciyi güçlendirir hem de siber saldırılara karşı müşterilerinizin kişisel bilgilerini korur.

WordPress üzerinde SSL sertifikasını aktifleştirmek sadece saniyelerinizi alır ve inanılmaz basit bir işlemdir. Yapmanız gereken tek işlem bir SSL eklentisini kurmak ve eklentinin seçeneklerinden SSL sertifikasını aktive et butonuna tıklamak. Bu şekilde sizde artık WordPress sitenizde SSL kullanıyor olacaksınız.

Güçlü şifreler kullanın

İnsanların genel olarak “123456” veya “şifre” gibi çok basit ve ele tahmin edilmesi kolay şifreler kullanıyorlar. Bu da siber saldırganların şifrenizi kırarak hesabınıza giriş yapmasına ve her şeyi alt üst etmesine neden oluyor. Siber güvenlik şirketleri güçlü bir şifrenin en az 8 rakam, noktalama işareti ve küçül ile büyük harflerin karışımı bir kombinasyondan oluşmalı. Sözcük saldırısına maruz kalmamak için sözcükleri tercih etmeniz tavsiye edilmiyor ve aynı şifreyi asla iki kere kullanmamalısınız.

Sitenize güvenlik eklentisi yükleyin

Güvenlik eklentileri tam olarak gri alanda durur çünkü kimileri hayat kurtarırken kimileri de her şeyi berbat edebilir.  Bu yüzden hangi güvenlik eklentisinin daha iyi çalıştığını öğrenmek gereklidir. Bu eklentiler, eğer güvenlik duvarınız yoksa, internet sitenize güvenlik duvarı özelliği sunarlar ve bunlar sizi bazı saldırılardan korur. Ancak bu eklentilerin dezavantajlı yanı bazen site performansını olumsuz biçimde etkilemeleridir.

CAPTCHA kullanın

Sitenizde ziyaretçilerinizin size ulaşmasını sağlamak için iletişim formu kullanıyorsanız bu formlara mutlaka CAPTCHA ekleyin. Siber saldırganlar size sadece sitenize sızma yoluyla saldırmaz. Bazen sitenizdeki iletişim formlarını kullanarak bazı yazılımlar aracılığıyla iletişim adresinize binlerce spam mail gönderebilirler. CAPTCHA kontrolünün olduğu formlarda size yazan kişinin tamamen insan olduğundan emin olabilirsiniz çünkü botlar CAPTCHA doğrulamasını geçemez. Google Captcha by BestWebSoft eklentisini WordPress sitenize ekleyerek sizde CAPTCHA kullanmaya başlayabilirsiniz.

Wordpress Güvenlik Taraması Nasıl Yapılır?

Dosya düzenlemesini kapatın

WordPress güvenlik taramasını yaparken, sistemin eklenti ve temalarınızı doğrudan yönetici paneli üzerinden düzenlemenize izin verdiğini göreceksiniz. Bu, dikkatli olunması gereken bir konudur ve istenmeyen bazı sonuçlara yol açabilir. Siber saldırganlarının veya bazı kötü niyetli 3. kişilerin siteye zarar vermesini engellemek için bu dosya düzenleme özelliğinin kapatılması gerekir. Aşağıdaki kodu, wp-config.php dosyasında kendi satırına ekleyerek dosya düzenlemeyi kapatabilirsiniz.

// Disable file editting
define(‘DISALLOW_FILE_EDIT’, true);

Güvenlik anahtarını değiştirin

Güvenlik anahtarı wp-config.php dosyasında saklanır ve oturum açma bilgilerinizi şifreler. Bu anahtarların değiştirilmesi demektum oturumların geçersiz olması demektir. Bu şekilde tüm kullanıcılar kontrol panelinden atılmış olur ama aynı zamanda siber saldırganların açık oturumları ele geçirmesinin de önüne geçer. Bu güvenlik anahtarını değiştirmek çok basit bir işlemdir. Bunun için WordPress güvenlik anahtarı oluşturucusu API kullanarak yeni gizli güvenlik anahtarınızı alabilirsiniz. Bu şekilde yeni bir güvenlik anahtarı elde etmiş olacaksınız.

Oturum açma girişimlerine sınır getirin

WordPress üzerinde bulunan Limit Login Attempts eklentisini kullanarak bir kullanıcının sadece belli bir sayıda başarısız giriş yapmasına izin vererek kontrol dışı oluşabilecek durumların önüne geçebilirsiniz. Kaba kuvvet saldırısı da denilen bir sızma yönteminde, hacker yazılımlar aracılığıyla yüzlerce şifre kombinasyonu deneyerek şifrenizi bulmaya çalışır. Bunu engellemek için adı geçen eklentiyi kurup aktifleştirebilirsiniz.

.htaccess ile çekirdek dosyaları güvenli tutun

.htacces dosyası, WordPress güvenlik taramalarında kullanılabilecek en güçlü dosyalardan birisidir. Başlangıç olarak tarayıcılardan çekirdek dosyalara erişimi kısıtlayacağız çünkü bu dosyalara erişmek normal bir ziyaretçi için hiçbir anlam ifade etmez ve genellikle buralara girmeye çalışanlar siber saldırganlar olur. Buna hızlı bir çözüm üretmek adına, BEGIN/END etiketlerinin önüne veya arkasına aşağıdaki kod blogunu ekleyebilirsiniz:

# Block the include-only files.

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

XML-RPC inaktif duruma getirin

Kullanıcıların büyük bölümü, XLM-RCP’nin blog gönderileri oluşturmanıza ve eklentilerle etkileşim kurmanıza yarayan işlevselliğini bilmiyor. Web sitenize otomatik içerik gönderen bir yayınınız varsa bu özellik iyidir, fakat karmaşıktır ve çok nadiren uygulanır.

Siber saldırganların kaba kuvvet saldırısıyla kullanıcı parolalarını ele geçirmek için .htacces dosyasına aşağıdaki kodu ekleyebilirsiniz:

#disable xmlrpc

order allow,deny
deny from all

Dosya izinlerinizi denetleyin

WordPress 777 izninin geliştiriciler ve yöneticiler tarafından verilmesini kesinlikle önermemektedir. Dosyaların bu tarz bir izinle tutulması demek, makinedeki herkesin dosyaları okuması, yazması ve çalıştırması anlamına geliyor. Bunun yerine WordPress’in tavsiyesi 775 izniyle klasörlerin 664 izni ile dosyaların tutulması yönündedir. WordPress, dosyaları düzenli olarak güncellediği, değiştirdiği ve eklemeler yaptığı için güvenli bir ortam sağlanması adında, güvenlik taramasının bir parçası olarak internet sitesi dosyalarını sürekli olarak denetleyin.

PHP hata raporlamasını inaktif duruma getirin

Siber saldırganların internet siteniz ve üstünde bulunduğu ortam hakkında önemli bilgiler elde etmesini engellemek için PHP hata raporlamasını devre dışı bırakmak gerekir. Siber saldırganların kullandığı yaygın teknikten biri de sunucudaki internet sitesi yolunu, hangi uygulamaların çalıştığını ve işletim sistemini görmek için bir dosya belirlemektir.  Bu yüzden PHP hata raporlamasını devre dışı bırakmak gerekir.

Düzenli yedeklemeler yapın

WordPress güvenlik taramasında ihmal edilen fakat çok önemli hususlardan birisi de yedekleme planı yapılmamasıdır. Kötü senaryo gerçekleşir ve internet siteniz bir siber saldırıya kurban giderse, sitenizdeki hasarı nasıl onaracağınıza dair bir planınız olmalı. Sitenizi düzenli olarak yedeklemek ileride pişmanlık duymanız engeller. Doğru bir yedekleme planınız olmazsa, saldırıya uğrayan bir siteyi eski haline getirmek çok ama çok zor olacaktır. Üstelik bu yedeklemeyi bazı WordPress eklentileri aracılığı ile de yapabilirsiniz.