• Anasayfa
  • Nesne
  • En İyi 10 WordPress Güvenlik Açıklığı ve Bunları Düzeltmenin Yolları

En İyi 10 WordPress Güvenlik Açıklığı ve Bunları Düzeltmenin Yolları

Yayınlanan: 2018-11-28

Bu alıntı size tüm dünyada meydana gelen güvenlik sorunları hakkında fikir verecek kadar iyi. Aslında site güvenliği uzun zamandır site sahiplerine uykusuz geceler yaşatan bir konudur. Hiç kimse işletme sitesi için %100 güvenlik sağlayamadı.

Juniper Research tarafından yürütülen bir ankete göre, siber suçlar 2019 yılına kadar işletmelere 2 trilyon doların üzerinde bir maliyete mal olacak. Bu endişe verici bir istatistik ve bir web sitesinin güvenliğinin her geçen gün çok zorlaştığını gösteriyor. Aynı zamanda, en önemli verilerinizi ve hassas bilgilerinizi içerdiğinden sitenizi güvence altına almanın yollarını bulmanız gerekir.

Hepinizin bildiği gibi, WordPress internetin %31'ine güç sağlıyor ve bu nedenle WordPress platformunun en fazla sayıda web güvenliği sorunuyla karşı karşıya kalacağı çok açık. Kullanıcıların çoğu bu harika platforma güveniyor ve bu yüzden iş sitelerini bunun üzerine kurdular.

Ancak Sucuri tarafından yapılan bir araştırmaya göre WordPress, 2018 yılı için en çok virüs bulaşan web sitesi platformu.

WordPress in 2018

Bu nedenle, çeşitli WordPress güvenlik açıklarından ve bunları düzeltmenin yollarından haberdar olmanız hepiniz için önemli hale geliyor. Öyleyse başlayalım ve her bir güvenlik açığını tek tek analiz edelim.

İki tür şirket vardır: Saldırıya uğrayanlar ve henüz saldırıya uğradığını bilmeyenler.

– John Chambers

En İyi 10 WordPress Güvenlik Açıklığı

  1. Güvensiz Web Barındırma
  2. Zayıf Parola Kullanma
  3. WordPress'i Güncellemiyor
  4. SQL Enjeksiyonu
  5. WordPress Yapılandırma Dosyasını Güvenli Hale Getirmeyi Unutmak
  6. Eklentileri veya Temaları Güncellememek
  7. Düz FTP Kullanma
  8. WordPress Tablo Önekini Değiştirmemek
  9. kötü amaçlı yazılım
  10. Yanlış Dosya İzinleri

1. Güvensiz Web Barındırma

Bu belki de WordPress web sitelerinin kolayca virüs bulaşmasının en büyük nedenlerinden biridir. Diğer tüm web siteleri gibi, WordPress web sitesi de sunucuda barındırılmaktadır. Bazen olan şey, barındırma sağlayıcı şirketlerin platformlarını güvence altına almamasıdır. Bu tür bir senaryoda, WordPress web sitenizin bir yabancı tarafından saldırıya uğrama olasılığı vardır.

Bu Sorunu Düzeltmenin Yolu

Bu sorunu çözmenin en iyi yolu, WordPress web sitenizi birinci sınıf barındırma platformlarından bazılarında barındırmaktır. İşte işletme web siteniz için kullanabileceğiniz en iyi WordPress barındırma sağlayıcısının bir listesi.

En İyi WordPress Barındırma Sağlayıcıları

  • mavi ana bilgisayar
  • HostGator
  • SiteGround
  • DreamHost
  • Hareket İçi Barındırma

2. Zayıf Parola Kullanmak

Parolalar, WordPress web sitesi güvenliğinizin çok önemli bir parçasıdır. WordPress hesabınız için her zaman güçlü bir parola kullandığınızdan emin olmanız gerekir. WPTemplate tarafından yapılan bir araştırmaya göre, dünyadaki WordPress web sitelerinin %8'i haftalık şifre nedeniyle saldırıya uğruyor. Bir haftalık şifre aşağıdaki şeylere kolay erişim sağlayabilir:

  • WP Yönetici Hesabı
  • C-Panel Hesabı
  • FTP Hesabı
  • WordPress Veritabanınız

Bu nedenle, WordPress web siteniz için güçlü bir parolaya sahip olmak son derece hayati hale gelir.

Bu Sorunu Düzeltmenin Yolu

  • Karmaşık Bir Parola Oluşturun

    Bu sorunu çözmenin yollarından biri siteniz için karmaşık bir şifre oluşturmaktır. Şifre oluşturmak için daima Alfabe, Rakamlar, Özel Karakterler vs. kombinasyonunu kullanmaya çalışın. Kolay tahmin edilemeyecek güçlü bir şifre oluşturmanıza yardımcı olacaktır.

  • Bir Parola Yöneticisi Kullanın

    Bu sorunu çözmenin diğer bir yolu da parola yöneticilerini kullanmaktır. Parola yöneticisi, tüm parolalarınızı tek bir yerde saklamanıza ve ardından Ana Parola ile yönetmenize olanak tanıyan bir uygulamadır. Herhangi bir şifre yöneticisinin USP'si, otomatik doldurma işlevine sahip olmalarıdır.

    İşte en iyi şifre yöneticilerinin bir listesi:

    • Son Geçiş
    • 1Şifre
    • Dashlane

  • İki Faktörlü Kimlik Doğrulama

    Bu, WordPress web sitenizi parola hırsızlığından korumanın en iyi yollarından biridir. İki faktörlü bir kimlik doğrulama senaryosunda, eğer bir saldırgan WordPress web sitenizin şifresini tahmin edebiliyorsa, sitenize giriş yapmayacaktır. Cep telefonunuza gönderilen bir güvenlik kodu isteyecektir. Bu şekilde web sitenizi koruma altına almış olursunuz.

    WordPress'te iki faktörlü kimlik doğrulamayı kurmanın başlıca yolları vardır:

    1. SMS Doğrulama
    2. Google Kimlik Doğrulayıcı Uygulaması

3. WordPress'i Güncellememek

WordPress sürümlerinden biriyle rahat hisseden birçok kullanıcı var ve bu nedenle WordPress sürümlerini düzenli aralıklarla güncellemezler. Bunun arkasındaki ana sebep, web sitelerini bozacağından korkmalarıdır. Ancak, WordPress'in her yeni sürümü güvenlik hataları için düzeltmelerle birlikte gelir ve bu nedenle web sitenizi güncellemeniz sizin için önemli hale gelir.

Bu Sorunu Düzeltmenin Yolu

Her zaman WordPress'in en son sürümünü kontrol edin ve web sitenizi güncel tutmaya çalışın. Bu, herhangi bir güvenlik sorunu olasılığını en aza indirecektir. WordPress'i güncellemenin bir site arızası yaratacağından korkanlar, web sitelerinin yedeğini alabilir. Bu nedenle, yeni sürüm gereksinimlerinize göre çalışmıyorsa, istediğiniz zaman geri dönebilirsiniz.

4. SQL Enjeksiyonu

SQL Injection, web sitesine erişim sağlamanın en eski yöntemlerinden biridir. Hepinizin bildiği gibi SQL, WordPress veritabanıyla çalışmak için kullanılan bir dildir ve bu nedenle bu tür saldırılarda bilgisayar korsanları bilgileri almak için sitenize SQL komutları enjekte eder. Bilgisayar korsanları her geçen gün daha akıllı hale geliyor ve her gün yeni bir SQL enjeksiyonu yapıyorlar. Dolayısıyla bir web sitesi sahibi olarak bu sorundan kurtulmanın yollarının farkında olmalısınız.

Bu Sorunu Düzeltmenin Yolu

  • SQL Enjeksiyon Güvenlik Açığı Taraması

    WordPress web sitenizde SQL Injection sorununu düzenli olarak kontrol etmelisiniz. Ancak, bu işlemi manuel olarak gerçekleştirmek çok zor olabilir ve bu nedenle bu amaç için bazı güvenlik tarama araçlarını kullanmalısınız. İşte en iyi güvenlik tarama aracının bir listesi:

    • WordPress Güvenlik Taraması
    • Sucuri SiteKontrol
    • WPS taraması

  • .htaccess dosyanıza bir kod ekleme

    SQL Injection'ı önlemenin başka bir yolu da .htaccess dosyanıza belirli bir kod eklemektir. .htaccess, web sunucularında kullanılan bir yapılandırma dosyasıdır ve bu nedenle, o kısmı değiştirerek WordPress veritabanınıza dışarıdan gelenlerin erişimini kısıtlayabilirsiniz.

    .htaccess dosyanıza aşağıdaki kodu ekleyin:

    RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5. WordPress Yapılandırma Dosyasını Güvenli Hale Getirmeyi Unutmak

WordPress Yapılandırma dosyası (wp-config.php), WordPress veritabanı oturum açma kimlik bilgilerini içerir. Bu nedenle, herhangi bir yabancı bu dosyaya erişim sağlarsa, bilgilerinizi çalabilir ve web sitenize zarar verebilir. Bu nedenle, bu dosyayı korumak için mümkün olan her şeyi yapmanız gerekir.

Bu Sorunu Düzeltmenin Yolu

wp-config.php dosyasını korumanın en basit yollarından biri .htaccess'i değiştirmek ve erişimi kısıtlamaktır. Bu amaçla, .htaccess dosyanıza aşağıdaki parçacığı eklemeniz yeterlidir:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Eklentileri veya Temaları Güncellememek

Tıpkı temel WordPress gibi, WordPress web sitesinde eklentilerin veya temaların en son sürümünü kullanmak önemlidir. Herhangi bir eklentinin veya temanın eski bir sürümünü kullanmak sitenizi güvenlik tehditlerine karşı savunmasız hale getirebilir. WPWhiteSecurity tarafından yürütülen bir ankete göre, küresel WordPress güvenlik açıklarının %54'ü eklentilerden kaynaklanıyor.

Bu Sorunu Düzeltmenin Yolu

Eklenti ve temalarınızdan herhangi birinde güncelleme olup olmadığını her zaman kontrol edin. WordPress'te bulunan en son sürümü kullandığınızdan emin olun. Bu metodolojiyi izleyerek, WordPress web sitenizdeki güvenlik tehdidi olasılığını en aza indireceksiniz.

7. Düz FTP Kullanımı

Bilmeyenler için, FTP hesapları, bir FTP istemcisi kullanarak web sitenizin sunucusuna bir dosya yüklemek için kullanılır. Barındırma sağlayıcılarının çoğu, farklı protokol türlerini kullanarak FTP bağlantısını destekler: Basit FTP, SFTP veya SSH.

WordPress web sitesi sahiplerinin çoğu, düz FTP kullanma hatasına düşer. Şimdi, düz bir FTP'de olan şey, şifrenizin sunucuya şifrelenmemiş biçimde gönderilmesidir. Böylece, sunucuyu hackleyebilen herkes WordPress web sitenize kolayca erişebilir.

Bu Sorunu Düzeltmenin Yolu

FTP kullanmak yerine SFTP veya SSH seçeneğini tercih edebilirsiniz. Bu amaçla FTP istemcisini değiştirmeniz gerekmez. Web sitenize bağlanırken protokolü 'SFTP-SSH' olarak değiştirmeniz yeterlidir. Bu protokolü kullanarak, güvenlik sorunları riskini en aza indiren şifreyi sunucuya şifreli bir biçimde gönderebileceksiniz.

8. WordPress Tablo Önekini Değiştirmemek

Hepinizin bildiği gibi, varsayılan olarak, veritabanınızda oluşturulan tüm WordPress tabloları ks29so_ adlı bir önekle başlar. WordPress geliştiricilerinin çoğu, sitenin performansını etkilemeyeceğini düşündükleri için bu öneki değiştirmeyi umursamıyor.

Buna bağlı olarak, bu önek, WordPress web sitenizi güvenlik sorunlarına karşı savunmasız hale getirir. Bunun nedeni, bir saldırganın WordPress veritabanı tablolarınızın adını kolayca tahmin edebilmesidir. Bu nedenle, bu sorunu mümkün olan en kısa sürede diriltmeye çalışmalısınız.

Bu Sorunu Düzeltmenin Yolu

WordPress veritabanı tabloları için varsayılan önek kullanmak yerine, doğası gereği karmaşık olan kendi önekinizi tanımlamanız gerekir, böylece kimse tahmin edemez. Kurulum sırasında WordPress veritabanı tablolarınızın önekini değiştirebilirsiniz. Bu nedenle, her zaman bu noktayı hatırlayın. Bundan sonra öneki değiştirme şansınız olmayacak.

Güvenliği artırmak için WordPress veritabanı önekini şu şekilde değiştirebilirsiniz:

9. Kötü Amaçlı Yazılım

Kötü amaçlı yazılım, kötü amaçlı yazılımın kısaltmasıdır. Başka bir deyişle, bir web sitesine yetkisiz bir şekilde erişim sağlamak için kullanılan koddur diyebilirsiniz. Saldırıya uğramış bir web sitesi, bir kötü amaçlı yazılımın enjekte edildiğini açıkça gösterir. Şimdi, sitedeki kötü amaçlı yazılımları tanımak istiyorsanız, en son değiştirilen dosyalara bakmayı deneyin.

Web'de birçok kötü amaçlı yazılım bulaşması türü olabilir, ancak WordPress için dört ana kötü amaçlı yazılım bulaşması aşağıda listelenmiştir:

  • arka kapılar
  • Drive-by indirmeleri
  • İlaç hileleri
  • Kötü amaçlı yönlendirmeler
Bu Sorunu Düzeltmenin Yolu

Herhangi bir kötü amaçlı yazılım sorunu, en son değiştirilen dosyada arama yapılarak ve ardından bu dosyayı WordPress web sitenizden kaldırarak kolayca tespit edilebilir. Bu sorunla başa çıkmanın diğer yolu, WordPress'in yeni bir sürümünü yüklemek veya WordPress web sitesini en son yedeklemenizden geri yüklemektir. Bu yöntemlerin her ikisi de güvenlik açıklarını en aza indirmenize yardımcı olacaktır.

10. Yanlış Dosya İzinleri

Dosya izinleri, web sunucusu tarafından kullanılan kurallar kümesidir. Sunucunuzun, WordPress web sitenizdeki dosyanıza erişimi kontrol etmesine yardımcı olur. Şimdi, bazen, kullanıcının yanlış dosya izinleri ayarlaması, saldırganların dosyaya erişmesine ve WordPress web sitenize büyük zarar verebilecek gereksinimlerine göre değiştirmesine izin verir.

Bu Sorunu Düzeltmenin Yolu

Bu sorunu çözmenin en iyi yolu, WordPress web siteniz için doğru dosya iznini ayarlamaktır. Herhangi bir WordPress web sitesindeki dosya izni aşağıda listelendiği gibi olmalıdır:

  • Tüm dizinler için 755 veya 750
  • Dosyalar için 644 veya 640
  • wp-config.php için 600

Bu izinleri ayarlayarak, WordPress web sitenize erişimi kısıtlayabileceksiniz, bu da onu saldırganlardan korumanıza yardımcı olacaktır.

Son düşünceler

Güvenlik, yıllar boyunca web sitesi sahipleri için birincil endişe kaynağı olmuştur. Bu alanda yapılan onca araştırmadan sonra bile, hiç kimse %100 güvenli olduğu iddiasında bulunmadı. Bu, kişinin bu sorunla çalışırken uğraşması gereken karmaşıklık düzeyini gösterir.

Bunu göz önünde bulundurarak, size yakın gelecekte kesinlikle yardımcı olacak en iyi 10 WordPress güvenlik açığını ve bunları düzeltmenin yollarını sağlamaya çalıştık.

Bu konuda düşünceleriniz nelerdir? Yorum bölümümüzde onlardan bahsedin. Teşekkürler!