WordPress güvenli midir ?

Bu soruya rahatlıkla “evet” yanıtını verebiliriz. WordPress milyonlarca web sitesini çalıştıran, binlerce gönüllü tarafından geliştirilen ve yoğun kullanımından ötürü açıkların çok hızlı bir biçimde tespit edilip kapatıldığı bir içerik yönetim sistemidir.

Güvenli bir sunucuda barındırılan, ilgili güvenlik önlemleri alınmış ve son sürüme güncellenmiş WordPress tabanlı bir siteye izinsiz erişim neredeyse imkansızdır.

WordPress güvenliğini ikiye ayırıyoruz.

  1. Uygulama Güvenliği : WordPress, eklentiler ve tema.
  2. Sunucu Güvenliği : İşletim sistemi, web servisleri ve network.

En sık yapılan güvenlik hataları

  1. Yönetici adını değiştirmemek.

  2. Kolay bir şifre belirlemek.

  3. Yönetim arabirimi URL’sini değiştirmemek.

  4. Hatalı giriş denemelerini sınırlandırmamak.

  5. Güncellemeleri zamanında uygulamamak.

  6. Wordpress ile ilgili açıklar keşfedildiğinde sizi uyaracak bültenlere kayıt olmamak.

WordPress sitelere yapılan saldırı yöntemleri

Ortam: WordPress web sitenizi barındıran sistem/sunucu yanlış konfigüre edilmiş veya güncellenmemiş olabilir. İzleme, kayıt alma, bloklama, engelleme ve uyarı gibi temel önlemler alınmamış olması muhtemeldir. Ayrıca sunucu üzerindeki diğer hesaplar birbirinden izole edilmemiş de olabilir.

Yönetim: Saldırganın sisteminizi “hack” etmesine gerek yoktur. Varsayılan kullanıcı adı (admin) ve kolay tahmin edilebilen bir şifre WordPress’i ele geçirmesi için yeterlidir. Çeşitli forumlarda kullandığınız şifreyi WordPress sitenizde de kullanıyorsanız, üye olduğunuz forum hacklenerek de şifreniz ele geçirilebilir. Ayrıca WordPress’e giriş yaparken SSL kullanmıyorsanız, şifreniz kablosuz ağdan da kolaylıkla elde edilebilir.

Açıklar: Güncellenmemiş PHP, WordPress, tema veya eklentilerde yer alan açıklar sisteminizi aşağıdaki açıklara karşı korumasız bırakacaktır.

Cross Site Scripting (XSS), MySQL Injection (SQLi), Cross Site Request Forgery (CSRF)

WordPress sitelere en sık yapılan ataklar

güvenlik wordpress

Enjeksiyonlar : Web sitenizin kodlarına siyasi mesajlar, “hack edildiniz” mesajları veya yalnızca arama motorlarının görebileceği “SEO zehirlenmesi” adı verilen dofollow linkler enjekte edilir. Çoğu zaman bundan haberiniz dahi olmaz.

Arka kapılar : Sunucunuza çeşitli shell script ve arka kapılar yükleyerek sunucuda komut çalıştırabilirler. Burada amaç sunucunuzun yönetimini ele geçirmek, sunucunuz üzerinden zararlı yazılımlar yaymak, yüksek sayıda spam mail göndermek veya zararlı başka amaçlar taşıyor olabilir.