WordPress, Dünyanın en gelişmiş içerik yönetim sistemi olma ünvanına sahip bir yazılımdır. WordPress gibi geniş, dinamik bir cms’nin tema,eklenti ve benzeri bir çok uygulamayı desteklemesi sonucunda bu tema, eklentilerden kaynaklı güvenlik açıklarının oluşma olasılığı yüksektir.
Temalar ve eklentiler wordpress bünyesi dışında çalışan insanlar tarafından kodlanabilmektedirler. Buda art niyetli kişilerin bu tarz birimleri, içinde açık bırakarak kodlamasına neden olabilmektedir.
WordPress açık kaynak kodlu bir sistem olduğundan, art niyetli kişiler bu yazılımın kaynak kodlarında açıklar arayabilmektedirler. Açıkların tespit edilmesi sonucunda ise wordpress tabanlı bir çok web sitesinin bu açıktan etkilenmesi yüksek olasılıklıdır. WordPress’in kendi yazılımı, wp temaları, eklentileri gibi birimlerden kaynaklanabilecek açıklardan etkilenmemek için veya en az şekilde etkilenmek için sizlere bir eklenti önereceğiz.
Bu eklentimizin adı wp better security eklentisidir. Bu eklentimiz sayesinde wordpress kurulumumuzu çok daha güvenli bir hale getirebiliriz. Özellikle wordpress default kurulumunda oluşturulan default birimlerin güvenlik açığı teşkil edebilme durumuda vardır.
WordPress Default Kurulumunda
- Site yönetici id’si 1 olmaktadır. Buda sql injection gibi açıklarda admin’in id numarasından kolayca tespit edilmesini sağlayacaktır.
- Default kullanıcı adı admin olabilmektedir. Buda olası bir şifre ulaşımında, yönetici girişi için kişiye avantajlar sağlar.
- Wp tablo ön eki, ilk kurulumda defaultta wp_ olarak belirlenir. Sql injection’da tablo tahminini kolaylaştırır.
- WordPress sürüm numarası defaultta belirlidir.
- Default kurulumda WordPress yönetici panelinin yolu /wp-admin dir. Olası bir kullanıcı adı şifre ulaşımında art niyetli kişi, panelin yolunu tahmin etmesine gerek kalmaz. Kişi kolaycana sisteme yönetici olarak giriş yapabilir.
- .htaccess dosyasının chmod ayarları default’ta sıkıntılıdır. Dıştan Htacess’e olası bir yazımda site kötü olarak etkilenebilir.
- Önemli dosyaların chmod ayarları defaultta yapılmamıştır.
Yukarda saydığımız kriterlere çok daha fazla madde ekleyebiliriz. Bu kriterleri tek tek uğraşarak düzeltmektense, wp better security eklentisini kurarak yukarda saydıklarımızdan çok daha fazla riskli durumları düzeltebilirsiniz. Wp better security web sitemiz tarafındanda uzun yıllardır kullanılan eklentilerin başında gelmektedir. Bu eklenti sayesinde wordpress’te açık çıksa bile, bu açıktan etkilenmeden yolunuza devam edebilirsiniz.
Eklentiyi kurduktan sonra en çok dikkat etmeniz gereken madde olan “yönetici panelinin yolunun değiştirilmesi” konusuna daha fazla önem verin. Yönetim panelinizin yolunu “wp-admin” olarak sakın bırakmayınız ve yönetim panelinizin yolunu tahmin edilmesi zor bir cümle ile oluşturabilirsiniz.
Eklentiyi indirmek için bağlantıyı kullanabilirsiniz. Eklentiyi kurup, etkinleştirdikten sonra mutlaka veri tabanı yedeğinizi öncelikle alınız. Olası bir yanlış ayarda, geri yükleme imkanı yakalamanız için. Zaten eklenti açtığınız size yedek alın uyarısı verir ve eklentinin kendi özelliği sayesinde veri tabanı yedeğinizi alabilirsiniz.
Better wp security : https://wordpress.org/plugins/better-wp-security/
Bu eklentiyi daha öncede denemiştim ama sanırım bazı şeyleri yanlış yaptım ve sitem hata vermeye başladı. Yazınızı okuduktan sonra tekrar denemek istiyorum. Ayarları konusunda bana yardımcı olurmusunuz? Şimdiden teşekkürler.
WordPress güvenlik açısından çok sorunlu bir cms, bazı güncellemelerinde açık kapattıklarını söyleyerek yeni açıklar açtıklarını gördük hatta kapattıklarını söyledikleri açıkların güncellemeden sonra halen açık olduğunu gördük. WordPress’in bu açıklarını eklentiyle kapatmak bence imkansız çünkü devamlı yenilerini açıyorlar.
Merhaba, yönetici panelinin yolunun değiştirilmesi konusunda daha fazla bilgi paylaşırsanız sevinirim. Anlattığınız kısmı anladığım kadarıyla yapmaya çalıştım sanırım bir yerde hata yapıyorum. Şimdiden teşekkür ederim.