Tipik Bir WordPress Kurulumunu Güvende Tutmanın 10 Temel Yolu
Yayınlanan: 2016-02-20On yıldan fazla bir süre içinde WordPress, yeni bir içerik yönetim sisteminden çevrimiçi olarak en çok kullanılan çözüme dönüştü. Genel olarak konuşursak, bu kötü şöhret tüm topluluk için iyidir ve şu anda mevcut olan herhangi bir içerik yönetim sistemi için en büyük geliştirici grubuna yol açmıştır. CMS, büyük ölçüde boyutu, kapsamı ve çevrimiçi yayıncılıktaki etkisi nedeniyle değişir, gelişir ve daha gelişmiş hale gelir.
Ancak WordPress'in kötü niyetli bilgisayar korsanlığı girişimlerinin ve mahremiyet istilalarının düzenli hedefi olmasına neden olan şeylerdir. Bilgisayar korsanları, bağımsız web siteleri ve büyük medya kuruluşları arasında CMS'nin yaygınlaşmasına dikkat çekti ve Pano'ya ve hatta WordPress veritabanının kendisine erişmelerini sağlayan bir dizi güvenlik açığından yararlanıyorlar.
Neyse ki, WordPress kullanıcıları giderek daha kötü niyetli bir çevrimiçi ortamda yalnızca “oturan ördekler” değildir. Bir WordPress kurulumunun güvenliğini önemli ölçüde artırmak ve bilgisayar korsanlarının bir web sitesinin içeriğini, veritabanını ve genel güvenilirliğini ele geçirme girişimlerini engellemek için yapılabilecek birkaç şey vardır.
1. WordPress Veritabanı Önekini Değiştirin
Varsayılan olarak, her WordPress kurulumu, tablolarını “wp_” öneki ile bir MySQL veritabanına yerleştirir. Bu genellikle daha sezgisel hale getirmek için yapılır, çünkü WordPress genellikle “WP” olarak kısaltılır ve bu tabloların hangi CMS'ye ait olduğu konusunda herhangi bir karışıklık yoktur.
Bununla birlikte, İnternet'in daha kötü niyetli kullanıcıları, WordPress'in içeriğini varsayılan olarak bu önekle tablolara yerleştireceğini bilir ve bu, bir kuruluma girmelerinin veya yazılımın veritabanında dışarıdan sorunlara neden olmalarının ilk yollarından biridir.
Ön ekin kendisi, kurulum işlemi gerçekleşmeden önce wp-config.php dosyasında ayarlanır. O zaman, WordPress web sitesi sahipleri yapılandırma dosyasında gezinmeli ve aşağıdaki satırı aramalıdır:
$table_prefix = 'wp_';
Bu satır, varsayılan önek dışında hemen hemen her şeyle değiştirilmelidir. Web sitesinin başlığı veya birincil yöneticinin adı gibi bir şey seçmek, kurulumun güvenliğini sağlamak ve kötü niyetli bilgisayar korsanlarını İnternet'ten uzak tutmak için harika bir ilk adım olabilir.
2. WordPress Kurulumunun Sürüm Numarasını Halktan Gizleyin
Her WordPress şablonu, temel WordPress bilgilerini görüntüleyen ve eklentiler aracılığıyla başlığın sürekli olarak değiştirilmesine izin veren bir değişkenle birlikte gelir. Bu değişken <?php wp_head() ?> 'dir ve her zaman header.php dosyasının açılış ve kapanış <HEAD> etiketleri arasına yerleştirilir. Bu değişken tarafından gerçekleştirilen ana şeylerden biri, mevcut WordPress kurulumunun sürüm numarasını halka göstermektir.
Bu aslında Automattic geliştirme ekibi tarafından analitik amaçlar için kullanılır, çünkü en çok hangi sürüm numaralarının kullanıldığını ve çok sayıda güncel olmayan kullanıcı olup olmadığını görmelerini sağlar.
Ayrıca bilgisayar korsanlarının WordPress kurulumunun sürüm numarasını görüntülemesine ve saldırılarını buna göre planlamasına olanak tanır. WordPress'teki güvenlik açıkları genellikle sürüme özel olduğundan ve sonraki sürümlerde düzeltildiğinden ve sürüm numarasını gösteren eski kurulum, Gösterge Tablosuna veya veritabanına yetkisiz erişim elde etmek isteyenler tarafından saldırıya hazırdır.
Bu bilgi "wp_head" değişkeninden kaldırılabilir ve kaldırılmalıdır; geçerli temanın functions.php dosyasına aşağıdaki kod satırını ekleyerek yapılabilir:
remove_action('wp_header', 'wp_generator');Bu dosyayı kaydedin ve sunucuya yükleyin; WordPress kurulumunun güncel, eski veya hatta beta olup olmadığını kimse bilmeyecek. Hiçbir şey halka açık olarak ilan edilmeyecektir.
3. Başarısız Oturum Açma Denemelerinin Sayısına Bir Sınır koyun
Tipik olarak, kötü niyetli İnternet kullanıcıları, on binlerce parolayı hızla giren bir "kaba kuvvet" saldırısı yoluyla WordPress Dashboard'a erişim kazanacaktır. Bu saldırı, kullanıcının güvenlik kimlik bilgilerini bulmak için sözlük sözcükleri ve yaygın sayılar kullanıyor gibi görünüyor. Bu tekrarlanan girişimlerde uygun bir engelleme olmadan, onları durduracak hiçbir şey yoktur.
İşte burada Login LockDown eklentisi devreye giriyor. Eklentiyi kullanarak, WordPress kullanıcıları, bir saat boyunca Gösterge Tablosunda kilitlenmeden önce yapılabilecek başarısız giriş denemelerinin sayısı için bir sınır belirleyebilir. Bu başarısız denemeler IP adreslerine bağlıdır ve bu eklentiyi daha da etkili hale getirir.
4. Yöneticiler Kendilerini “Yönetici” Olarak Adlandırmamalıdır
WordPress'i yerleşik yükleyiciden yüklerken, yönetici kullanıcı genellikle varsayılan olarak “ admin ” olarak adlandırılır. Kötü niyetli İnternet kullanıcıları bunu bilir ve WordPress Dashboard'a kaba kuvvet erişimi elde ederken tahmin etmeye çalışacakları ilk isim budur.
WordPress'i ilk kez kurarken, yönetici kullanıcıya tahmin edilmesi zor bir ad verdiğinizden emin olun (belki bir takma ad veya başka bir şey). Bir kaba kuvvet parola saldırısı, yalnızca yöneticinin kullanıcı adı biliniyorsa etkilidir. Aksi takdirde, erişim elde etmek iki kat imkansız olacaktır.
5. WordPress'i Her Zaman Güncel Tutun ve Bu Konuda Hızlı Olun
WordPress'in yeni bir sürümü genellikle birkaç haftada bir yayınlanır ve küçük güncellemeler ve güvenlik düzeltme ekleri, kullanıcıları İnternet'teki Gösterge Tablolarını ve veritabanlarını giderek daha fazla hedef alan bilgisayar korsanlarından korumaya hizmet eder.
WordPress'i güncel tutmamak aslında bilgisayar korsanlarına içeri girmeleri, bazı gönderileri silmeleri ve web sitesinin güvenliğini tehlikeye atmaları için açık bir davetiye vermek gibidir. Bu güncellemelerin gerisinde kalmak gerçekten kötü bir şey, özellikle de değiştirilmemiş bir tema, sorgulayan zihinlerin görmesi için sürüm numarasını bile gösterecek.
3.0 sürümünden bu yana WordPress, Kontrol Panelinin yalnızca tek bir tıklama ile otomatik olarak güncellenmesini etkinleştirmiştir. Aslında, Gösterge Tablosu kullanıcıları güncellemeler konusunda otomatik olarak bilgilendirir ve onları oldukça kalın, olağanüstü metinlerle yükseltmeye teşvik eder. Bu, bir yükseltme hazır olur olmaz yapılmalıdır; herhangi bir dosya, eklenti, tema veya ayar kaybına neden olmaz.
Bunun yerine, WordPress'i güncellemek, yalnızca son sürümün yazılımın 60 milyon kullanıcısına gönderilmesinden bu yana keşfedilen yeni özelliklerin ve yama güvenlik açıklarının etkinleştirilmesine hizmet edecektir. Bilgisayar korsanlarını savuşturmak için daima güncel kalın.
6. WP-Config.PHP Dosyasını Neredeyse Tüm İnternet Kullanıcılarından Gizleyin
WordPress kullanıcıları, dosyaları gizlemeye ve WordPress Dashboard ve veritabanlarının bütünlüğünü korumaya çalışırken .htaccess dosyasının gücünü asla unutmamalıdır. Aslında bu dosya, WordPress'in uzun vadeli güvenliğini çeşitli şekillerde sağlamak için gereklidir. Birkaç basit kod satırı kullanarak, “.htaccess” dosyası, uygun dosya izinleri o dosyada ayarlanmamış olsa bile, dosyaları genel İnternet kullanıcılarından tamamen gizleyebilir.
Bu, bir kurulumu tehlikeye atmak için gereken API anahtarları ve veritabanı öneki gibi şeyleri içeren "wp-config.php" dosyasının herkese açık olarak görüntülenmesine yönelik çözümdür.
Bu dosyayı kötü niyetli İnternet kullanıcılarından korumak için WordPress kurulumunun kök klasöründe bulunan “.htaccess” dosyasına aşağıdaki kod satırlarını eklemeniz yeterlidir. Böyle bir dosya yoksa, bir tane oluşturun:
<Dosyalar wp-config.php> izin ver, reddet herkesten inkar </Dosyalar>
Dosyaya yerleştirilen bu kod satırı ile kaydedin ve bir FTP istemcisi aracılığıyla sunucuya yükleyin. İlgili WordPress kurulumunun yapılandırma dosyası artık genel olarak gözden kaybolacak ve bu yalnızca güvenlik ve gönül rahatlığı için iyi şeyler anlamına gelebilir.
7. Ve Dosya İzinlerinden bahsetmişken, Güvenliği Sağlamak İçin Kontrol Edin
WordPress, düzgün çalışması için dosya erişimi ve değişiklik için çok izin veren kurallar gerektirmez. Nitekim sitenin tüm ayarları ve içerik bilgileri sunucu tarafında PHP dosyalarında saklanmak yerine veritabanına yazılır. Bu nedenle herhangi bir WordPress dosyasında 777 CHMOD değeri kullanmanın kesinlikle hiçbir gerekçesi yoktur. Bunun yerine, yalnızca bilgisayar korsanlarının yapılandırma ayarlarına veya kurulumu tehlikeye atabilecek diğer dosyalara kolayca erişmesini sağlamanın bir yoludur.
İzinleri kontrol etmek ve daha güvenli bir kurulum için potansiyel olarak düzeltmek için bir FTP istemcisi açın ve kök WordPress dizinine gidin. Herhangi bir PHP dosyasına sağ tıklayın ve izinlerle ilgili bir menü seçeneği arayın. Açılan pencerede dosyanın kullanılabilirliğini gösteren bir sayı arayın. Kesinlikle 777 olmamalı. Çoğu durumda, dosyalara erişimi ve dosyaların değiştirilmesini yalnızca sunucunun kök FTP kullanıcısı ile sınırlayan bir 744 CHMOD değeri kullanılması önerilir. Gerekirse bu ayarı değiştirin ve ardından kaydedin. Sunucu buna göre güncellenecektir.
8. .htaccess Dosyasını Gizlemek için .htaccess Dosyasını kullanın
Çoğu kişi bunu bir olasılık olarak görmez, ancak .htaccess dosyası aslında kendisini halktan gizlemek için kullanılabilir. Bunu, bir nokta ile başlayan, ancak Windows tabanlı bilgisayarlarda çalışmayacak bir dosya adı kullanarak büyük ölçüde başarır. Bu makineler, ".htaccess" içindeki talimatları kullanarak dosyayı erişilemez bulması gerekir. İzinler, burada görüldüğü gibi, WordPress'in PHP yapılandırma dosyasını gizlemek için kullanılan yönteme oldukça benziyor:
<Dosyalar .htaccess> izin ver, reddet herkesten inkar </Dosyalar>
Yine, bu satır dosyaya yerleştirildikten sonra kaydedilebilir ve sunucuya yüklenebilir. Artık kök yönetici kullanıcı dışında siteyi ziyaret eden hemen hemen herkes tarafından görülemeyecek.
9. Boş Bir HTML Belgesinin Gücünü Anlayın ve Kullanın
Güvenliği ihlal edilmiş bir WordPress kurulumuna erişmek isteyen herkes, yazılımın eklentilerini ve temalarını belirli bir dizine yerleştirdiğini bilir. Güvenlik eklentileri eksikliği veya bir dizi XHTML ve CSS tabanlı güvenlik açığı aramak için bu dizinleri kontrol edecekler ve ardından erişim elde etmek için bu şeylerden yararlanacaklar. Bunu önlemek aslında oldukça kolaydır.
Bu dizinlerdeki dosya listelerinin herhangi bir İnternet kullanıcısına görünmediğinden emin olmak için boş bir HTML belgesi oluşturup klasöre yerleştirmeniz yeterlidir. Belge, başlık etiketleri ve “ Kısıtlı Erişim ” gibi bir şey söyleyen bir başlık ile oldukça basit bir şey olmalıdır. Bu başlık, site yöneticisinin güvenlik hakkında bir iki şey bildiğini ve kötü niyetli kullanıcıları diğer web sitelerine göndereceğini gösterebilir.
10. Daima En Son Bir Yedeklemeniz Olsun
Bir WordPress kurulumunun güvenliğine yaklaşmanın doğru yolu, bunun bir kısım hazırlık ve bir kısım önleme olmasıdır.
Bu sürecin “hazırlık” yönü, bir yedekleme şeklinde gelir. Hem gerçek WordPress dosyaları hem de bilgileri depolamak için kullanılan veritabanı düzenli olarak yedeklenmelidir; bu, Pano için birkaç WordPress eklentisi de dahil olmak üzere bir dizi farklı yolla yapılabilir.
Dosyaları yedeklemek için daha gelişmiş bir yöntem gerekiyorsa, kullanıcılar cPanel veya Plesk Panel arka uç yönetim alanlarındaki yedekleme araçlarını kullanabilir. Ek olarak, yöneticiler süreci otomatikleştirebilir ve yeni bir yedeklemenin her zaman hazır olması için Cron işleri oluşturabilir.
WordPress güvenliğiyle ilgili önemli olan şey, her zaman en kötü senaryoya hazırlıklı olmaktır. Çalışma süresi ve güvenilirliği sağlamak söz konusu olduğunda, kötü niyetli bir bilgisayar korsanının saldırısına uğradığında bile, güvenlik açığı kapatıldıktan sonra tekrar çevrimiçi olmanın en kolay yolu bir site yedeklemesidir.
Dikkat ve Akıllı Kullanım, Güvenli WordPress Kurulumunun Anahtarlarıdır
Genel olarak konuşursak, WordPress son yıllarda katlanarak daha güvenli hale geldi. Kısa bir süre için, her hafta yeni bir güvenlik açığı varmış gibi görünüyordu. Bu model özellikle daha büyük ve daha kurumsal kullanıcılar için rahatsız ediciydi ve Automattic'teki ekip hızla tam bir yeniden başlatma üzerinde çalışmaya başladı.
Bu yeniden başlatma, büyük ölçüde 3.0 sürümüydü ve çok daha güvenli bir mimariye ve en son güvenlik yamaları ve düzeltmeleriyle güncel kalmanın zor işini alan otomatik güncelleme araçlarına sahipti.
Güvende kalmaya gelince, bu sürümler kesinlikle güncel tutulmalı ve kullanıcılar kötü niyetli internet kullanıcılarından korunmak için katı izinler, kısıtlamalar ve güvenlik hileleri kullanmalıdır.