Sıradan WordPress anlatımları sadece popüler güvenlik eklentileri ve şifreler gibi kaba detayların üzerinde durur, Arama Motorlarındaki sıralarını değiştirmek için de neredeyse bütün güvenlik eklentilerinin adlarını çekip yazanlar bile vardır… Ne yaptıklarından emin olmadıkları gibi, sonuçları da umurlarında değildir; göz dolduran gösterişli metinler olması yeterlidir, zaten acemi bir kullanıcı hatayı kendisinde aramaya yatkındır.

Bir WordPress web sitesinde güvenlik nasıl takip edilir ve kritik anahtarları nedir?

1 – Hosting Firması

Paylaşılan bir hosting tercih ediliyorsa; güvenli bir hosting firması ile işe başladığınızdan emin olun. Eğer hosting firmanız; paylaşılan sunucuları için güncel güvenlik politikalarını yönetmekte başarısız olursa, bu durum WordPress ve tema için alacağınız diğer bütün güvenlik önlemlerini de anlamsız hale getirecektir. Sunucudaki zayıflıklar; ileride ortaya çıkabilecek tema ve eklentilerdeki açıklardan da yararlanılmasının önünü açacaktır. Yaygın saldırı metotları arasında olan Exploit ve Shell de, sunucuya yetkisiz komutların yüklenmesidir. Dolayısıyla bilinen yaygın saldırı metotları dahil, birçok WordPress Hackleme girişimleri;  sunucu güvenliklerini sorgular… Brute Force / Kaba Kuvvet Saldırısı dışında kalan diğer saldırı teknikleri sunucu güvenliğinizle bağlantıya geçecektir: Sunucu modüllerini zorlayan SQL Injection girişimleri dahil.

Paylaşılan Sunucu Güvenli mi?

Jargonda aşağılama anlamında kullanılan; Lamer denilen bu grup -ya da- kişiler paylaşılan hosting’in çok riskli olduğunu iddia ederler. İddiayı kanıtlamak için de hedef bir web sitesine saldırılmadan önce Class IP taraması yapılır ve böylece aynı sunucuda barınan diğer web siteleri bulunur. Bulunan siteler arasından da genellikle artık sahipsiz gibi duran ve saldırıya açık eski bir web sitesi yakalanarak, bu web sitesi üzerinden Sunucuya root / kök erişimi yapılır. Sunucu ele geçirildiğine göre, asıl hedef olan site de başarıyla hacklenir.  Bu senaryoya göre; hedef sitede bir açık olmamasının önemi yoktur, çünkü barındığı o sunucuda genellikle güvenlik açıkları bulunan komşu bir site vardır ve bu zayıf komşu site diğer komşu siteleri de etkileyecektir.

Bu senaryo çok eski bir strateji olmakla birlikte artık Web Güvenlik Teknikleri için büyük bir efsane olmuştur. Senaryo geçerli olsaydı, saldırganın Class IP taramasına gerek yoktu; sadece hedef sitenin barındığı sunucu firmasını bulmak yeterli olacaktı. Böylece, aynı sunucuda bir hosting sipariş edecek ve bu hosting hesabına da; sunucuyu ele geçirmek için güvenlik açıklarıyla dolu bir web sitesi kurabilecekti. Bu daha kolay olurdu.

Yine bu senaryo geçerli olsaydı, Hosting Firmalarının çalışmalarını engelleyen büyük sorun haline gelmişti. Gövde gösterisi yapmak isteyenler; Paylaşılan Hosting hesaplarına güvenlik açıklarıyla dolu bir web sitesi kuracaktı ve bu strateji ile sunucuda kök erişimini ele geçirerek firmanın yüzlerce müşterisini etkileyecekti. 20 yıl önce Hosting Firmaları için böyle bir saldırı tekniği gerçekten de keşfedilmişti; ancak neredeyse her güvenlik açığı gibi bunun ömrü de kısa oldu. Artık Hosting Firmaları için bu önlem standart bir güvenliktir. Artık Hosting Firmalarının; güvenlik düzeyleri farklılık gösterse bile ve bir hosting hesabını etkileyebilecek güvenlik açıkları olsa da, bütün hosting firmaları için bir standart olarak sunucuya kök erişim izni çok katı düzenlenmiştir. FOZZY HOSTING‘de ise yetkisiz komut girişimleri Patchman B.V. sistemi ile güçlendirilmiştir.

2 – Sunucu ve XSS

Paylaşılan bir Hosting planı kullanıyorsanız; Adanmış / Özel IP Adresi kullanın. Hosting Firması, güvenliği sıkı tutmuş olsa bile bu bazı istisnaların hiçbir zaman meydana gelmeyeceği olarak anlaşılmamalıdır. Paylaşılan sunucularda Adanmış / Özel IP Adresinin güvenlikle yakından ilişkisi olmasa da, sunucu taramasının önüne geçmek ve paylaşılan sunucularda istisna bir etkilenme durumu için ekstra güvenlik olarak kabul edilebilir. Ayrıca DNS Zehirleme saldırılarının önüne geçmek için DNSSEC etkinleştirilmelidir. (DNSSEC: Domain Name System Security – Etki Alanı Adı Sistemi Güvenlik Uzantısı) DNSSEC’i anlamak için cloudflare konusuna gidin

WordPress kurulduktan sonra sunucu davranışları da ele alınmalıdır ve bu önlemler Hosting Firmalarının sorumluluğunda kabul edilmezler. Sunucunuzda bu davranışları ele almak için aşağıdaki konuları izleyin:

Yaygın bir saldırı türü olmasa bile, Kontrol Panelleri (cPanel gibi) Hosting firmaları ve Alan adı kayıt firmalarına erişiminizi 2 Adımlı Doğrulama / Two Verification ile yapın; SMS onayı ya da Google Authenticator ve Authy gibi uygulamalar kullanın. Alan Adı Hırsızlığı; Alan Adı kayıt firmasındaki hesabın ele geçirilmesi demektir; erişimin yetkisiz olduğunu ortaya koyacak olsanız da bu süreye kadar alan adınız transfer edilmiş olabilir ve bu süreden sonra Alan Adı firmanızın transfer edilen Alan Adı üzerinde hiçbir kontrol ve yetkisi bulunmaz.

https://wpenvolay.com/wordpress-guvenlik-xss-onlemleri
https://wpenvolay.com/cloudflare-kurulum-ve-kullanimi
https://wpenvolay.com/wordpress-htaccess-guvenlik

3 – FTP Bağlantısı

FTP bağlantısı sunucuda 21 numaralı portu kullanır ve bu port şifrelenmemiş veriler gönderir. 21 numaralı port üzerinden geçen veriler, sabırlı bir izleme sürecinde okunabilirler. Eğer, saldırgan sunucuda bu port’un açık ya da kullanımda olduğunu belirlerse, bu port üzerinden geçen hassas bilgileri de izleyebilir. Paylaşılan sunucularda 21 numaralı port açıktır; bunun nedeni WordPress dahil diğer CMS / İçerik Yönetim Sistemleri varsayılan olarak güncellemeler için 21 numaralı portu kullanır. Hosting Firmaları, paylaşılan sunucularda bütün kullanıcılar için bu yüzden 21 numaralı portu etkinleştirir. Bu 21 numaralı port güncellemeler için de açık kalabilir; paylaşılan bir sunucuda iseniz muhtemelen de açık kalacaktır, ancak, bu port üzerinden veri iletilmediği için 22 numaralı portun güvenliğini çelişkiye düşürmeyecek. 22 numaralı SSH portu üzerinden şifrelenmiş veriler göndermek için konuyu takip edin: https://wpenvolay.com/sftp-nedir-sftp-ve-ssh-kullanimi

 unsplash.com

4 –  WordPress Kurulum

WordPress kurulumunda yapılan yaygın bir yanlış; cPanel (ya da diğer Sunucu kontrol panelleri) parolasının Veritabanı parolası olarak kullanılmasıdır. Paylaşılan sunucularda genelde varsayılan olarak; cPanel parolası da veritabanı parolası olarak ayarlanmıştır. Böylelikle sunucuya erişim parolası da veritabanı parolası olarak wp-config.php dosyasında saklanır. Yani, wp-config.php dosyasındaki veritabanı parolası, aynı zamanda bir cPanel parolasıdır. Böylelikle wp-config.php dosyasına yapılacak girişim, saldırgana açıkça sunucu erişimini verecek ve normal şartlar altında veritabanına yapılacak olan saldırıdan daha tehlikeli imkanlar sunacaktır.

WordPress kurulumunda bir veritabanı kullanıcısı ve parolası belirlenmelidir. Bu durumda cPanel parolası veritabanı parolasından ayrılacaktır ve wp-config.php dosyası ele geçirilmiş olsa bile sunucuya erişim için bilgiler vermeyecektir. WordPress kurulduktan sonra da bir veritabanı kullanıcısı ve parolası ayarlanabilir. Bir kullanıcı belirlemek için konuyu izleyin: (1. Aşama: cPanel) https://wpenvolay.com/wordpress-kurulum

5 –  Tema ve Eklentiler

Tema ve eklentilerde ortaya çıkabilen güvenlik zafiyetleri de önemli olmakla birlikte aslında bu açıklardan yararlanılması yine de yukarıdaki önlemlere bağlıdır; ama durum öyle olsa da tema ve eklenti üreticilerinin güvenlik güncelleştirmeleri hafife alınmamalıdır. Burada dikkat edilmesi gereken bir şey daha: tema, ya da eklenti üreticilerinin ne kadar güvenli / kaliteli kod ürettikleridir. Doğru ve gerekli olarak kullanılmayan veya kapatılmayan kodlar; WordPress sistemindeki kritik dosyaların ele geçirilmesine ya da site üzerinde yetkisiz içeriklerin girilmesine neden olabilir. Bu riskleri en aza indirmek için kod parçacıkları ile yapılabilecek basit fonksiyonlar için eklenti kullanımına alışmamalısınız; mümkün mertebe fonksiyon ve özelleştirmeleri kod kullanarak çözmeye çalışmalısınız. Yalnız yaygın olarak bilinen ve arkasında bir yazılım ekibi bulunan SEO, Önbellek gibi birkaç kod parçacığı ile üstesinden gelinemeyecek fonksiyonlar için eklentiler tercih edilmeli.

WordPress güvenlik eklentilerinin de; bir eklenti olarak güvenlik açığı oluşturabileceklerini de göz önünde bulundurmalısınız. Hide My WP – Amazing Security isimli eklentinin de, daha önceki bir sürümünde gizlilik sızıntısı verdiği bizzat wpcmstest.xyz sitesinde test edildi. (Sürüm: 5.6.1 – Parola korumalı olarak ayarlanan içeriklerde boş olarak zorlanan parola, daha önce gizlenmiş olan yönetici URL adresine yönlendiriliyordu)

Güvenlik eklentilerinin hazır paketler olarak sundukları önlemler yerine, WordPress ve Sunucu üzerindeki kontrolleri; konuda anlatıldığı şekliyle ele almayı öğrenmelisiniz. Hiçbir güvenlik eklentisi bilinçli olarak ele alınmış kontrollerden daha güvenli olmayacaktır. WordPress Admin Paneli Değiştirme gibi basit işlemlerde bile eklenti kullanımı; aslında sisteminizi güvenli hale getirmekten daha çok yeni açık ve sızıntılar oluşturur. Genelde eklentilerle yapılmaya alışılmış bu işlemin de tam olarak kodlar üzerinde nasıl yapıldığını inceleyin: https://wpenvolay.com/wordpress-admin-paneli-gizleme-wp-admin-gizleme bu senaryo wpenvolay.com’a aittir.