WordPress Basit Hack Yöntemlerine Dair Önlemler

12 yıl önce

wordpress güvenlik önlemleri

WordPress'in her zaman en iyi CMS sistemi olduğunu söyleriz ancak yine de her sistemde olduğu gibi WordPress'de de güvenlik açıkları bulunmaktadır. Zaten bu yüzden kendini WordPress'e adamış, sürekli açıkları araştıran ve bu açıkların giderilmesinde rol oynayan birçok gönüllü webmaster vardır. Dediğim gibi genellikle WordPress'den kaynaklanan güvenlik açıkları gönüllü webmaster tarafından tespit edilip, bunlar güncellemeler ile giderildiğinden WordPress'in güncel sürümlerinde pek fazla güvenlik açıkları bulunmaz. Ancak yine de bizlerin yaptığı bazı hatalar, WordPress'i adeta savunmasız bırakabilmektedir.

Dediğim gibi WordPress sitelerin hacklenmesinde ki en önemli faktörlerden biri kullanıcı hatalarıdır. Altta yapılan bazı hataları ve alabileceğiniz önlemleri belirteceğim. Aşağıda ki adımları uygulayarak sitenizi daha güvenli bir hale getirebilirsiniz. Ancak unutmayın ki dünyanın hangi sistemi olursa olsun muhakkak her sistemin bir yerinde muhakkak bir açık, bir savunmasız alan bulunur. Bizim amacımız ise bunları olabildiğince aza indirmektir.

Genel olarak WordPress hack nedenlerine baktığımızda üst sıralarda temalar, eklentiler ve host şirketlerinde ki açıklar yer alıyor. Şimdi gelin hacke karşı alabileceğiniz bazı önlemleri ve kendi önerilerimi inceleyelim.

  • Hacke karşı bir önlem almak istiyorsanız işe ilk önce host şirketinizden başlamalısınız. Genellikle kendini hacker zanneden çoğu kişinin sisteminize sızabildiği nokta host şirketinizde ki açıklardan kaynaklanır. Bu yüzden host aldığınız firmanın ve sunucunuzda bulunan diğer sitelerin güvenilirliğinden emin olmalısınız. Eğer büyük bir proje düşünüyorsanız projenizi olabildiğince kendi sunucunuzda veya kiralık bir sunucu da barındırmaya özen göstermelisiniz.
  • Sitelerinize sızabildikleri bir diğer nokta ise config.php dosyasıdır. Bildiğimiz gibi config.php dosyasında veritabanımıza ait kullanıcı isimlerimiz ve şifrelerimiz bulunmaktadır. Eğer bir kişi config.php dosyanızda ki bilgileri eline geçirebilirse, rahatlıkla WordPress üzerinde istediği değişimleri yapabilir. Bu dosyanızı güvenlik altına almak istiyorsanız ya bu dosyanın bulunduğu konumu değiştirmelisiniz ya da dosyayı şifrelemelisiniz. Şifreleme için kendi betiğinizi kullanmanızı öneririm ama hazır bir şifreleme dili kullanmak isterseniz ioncubeyi size önerebilirim. Her ne kadar ioncube şifreleri çözülebilse de bu işi yapabilen pek fazla kişi yoktur.
  • Üçüncü bir adım olarak hostunuzda ki klasörleri şifreleyebilirsiniz. Bu sayede hostunuza birisi girebilse de yapabileceği tek işlem index atabilmek olacaktır. Her klasöre ayrı ayrı şifre koymanız sizin için daha iyi olacaktır. Bu sayede sisteminize giren bir kişi hiçbir klasöre giremeyecek, ve içeriye virüslü dosyalar bırakamayacaktır.
  • Bir diğer durum ise bilmediğiniz webmaster sitelerinden dosyalar indirmemelisiniz. Çünkü bazı webmaster bloglarında virüslü dosyalar paylaşılarak diğer webmasterların bilgilerine ulaşılabiliyor. Bu yüzden indireceğiniz dosyaları her zaman kaynak sitelerden indirmeye özen göstermelisiniz. Bu gibi durumlar için sağlam virüs programları kullanmalısınız. Eğer bilgisayarınızın özellikleri çok iyiyse size NORTON serisini öneririm. Fakat NORTON normal bilgisayarlarda kasmaya yol açtığından bu bilgisayarlar da Kaspersky serisini kullanmanızı öneririm.
  • Diğer yandan hack yöntemlerinde sık sık kullanılan yöntemlerden bir tanesi ise tema dosyalarına yerleştirilen dosyalar ile sisteme sızmadır. Bazı art niyetli kişiler benim gibi bir çok tema yapımcısının temalarını, içerisine hack için gerekli dosyayı ekledikten sonra internette birçok platformda paylaşıyorlar. Bunun sonucu olarak da hem bu temaları kullanan kişiler hemde tema yapımcılarının güvenilirliği zarar görüyor. Bu yüzden eğer beğendiğiniz bir tema varsa her zaman bu temaları tema yapımcılarının sitesinden indirmeye özen göstermelisiniz.
  • Bir diğer açık oluşturan bölümse eklentilerdir. Kullandığınız her bir eklenti potansiyel bir açık tehlikesi oluşturmaktadır. Bazı eklentiler ise açık oluşturmak yerine bizzat içerisinde ki zararlı kodlar sayesinde sisteminize sızılabilmesine yol açmaktadır. Bu yüzden internet üzerinden eklenti indirmemeye, kullanacağınız eklentileri WordPress üzerinden yüklemeye ve herkesin kullandığı popüler eklentileri kullanmaya özen göstermelisiniz.
  • Son olarak dikkat etmeniz gereken nokta ise /wp-admin klasörünüzün bulunduğu dizindir. Genellikle bu siteadiniz.com/wp-admin şeklinde olur, sitenizi hacklemeye çalışan bir kişinin ulaşmak isteyeceği ilk dizin burası olacaktır. Bu yüzden bu klasörün bulunduğu dizini değiştirmelisiniz. Bu işlem gözüktüğü kadar kolay değildir, eğer bu işlemi gerçekleştirmek istiyorsanız bir araştırma yapmanız gerekecektir.

Yukarıda belirttiğim önlemleri alarak kendini hacker zanneden lamerları durdurabilirsiniz, ancak eğer profesyoneller başınıza dadanırsa er yada geç muhakkak bir açıktan sisteminize gireceklerdir. Bu gibi durumlar için sık sık yedek almanızı öneririm. Eğer sitenize eklentiler ile de ek güvenlik önlemleri sağlamak istiyorsanız daha önceden yazdığım WordPress Güvenlik Önlemleri isimli makalemi inceleyebilirsiniz.

Yorumlar (19)

  1. Taner Aksoy dedi ki:

    Yine döktürmüşsün Burakcım. Eline sağlık faydalı bir makale olmuş.

  2. NUmuyev dedi ki:

    /wp-admin klasörüne girişi BulletProof Security eklentisi ile kolayca deyiştire bilersiniz.

  3. mesut dedi ki:

    Hocam yararli paylasimlariniz sayesinde daha cok ogrenecegimiz sey var elinize dilinize saglik

  4. Harun dedi ki:

    Bu kadar basit şekilde wp hack yapılabileceğini bilmiyodum

  5. Sedat Akbulut dedi ki:

    Yararlı bir makale olmuş.Ellerinize sağlık.

  6. web tasarım dedi ki:

    verdiğiniz faydalı bilgiler için teşekkürler hocam ellerinize sağlık.

  7. Ela Çetin dedi ki:

    Yazınız gerçekten çok güzel olmuş ellerinize sağlık.

  8. trabzon da evden eve nakliyat dedi ki:

    paylaşım için teşekkürler

  9. Basit Hack Yöntemleri için yazınızı okuduk birde pro hack olayları için bekleriz kolay gelsin tşkler

  10. Abdullah dedi ki:

    wp-admin nasıl değiştiricez?

  11. Bertinos dedi ki:

    Çok iyi bir makale olmuş hocam.Çoğu kişi wordpress,wordpress diye öttürüyor ama wordpress bu açıkları kapatana kadar yada google desteğini arakasına blogger kadar alana kadar,hala BLOGGER! :)

  12. Genel Blog dedi ki:

    WordPress her ne kadar güvenli olsa da bir o kadarda uğraşılan bir sistem.Wordpress en çok etkileyen ise eklentiler oluyor,bu eklentiler bazen pahalıya patlıyor o yüzden eklenti kullanmamaya özen gösterilmeli.Faydalı bir yazı olmuş teşekkürler.

  13. takipçi dedi ki:

    Hocam klasörlerin chmod ayaları ile oynanarak bir koruma sağlanabilirmi ?