Tufan Tunç

11 Mart 2009

Wordpress’te temel güvenlik önlemleri

Kategori: Wordpress | 591 defa okundu |  Bu Yazıyı Yazdır
Etiketler:güncel, güncelleme, güvenlik, önlem, parola güvenliği, robots.txt, Wordpress

Sıradan bir gününüzü hayal edin. Her sabah ki gibi yine tüm hazırlıklarınızı tamamladınız. Bilgisayar başındasınız ve bu arada da blogunuzda ne var ne yok bakmak için sitenize girdiniz. Tam o sırada aylarca emek sarf ettiğiniz, gözünüzden sakındığınız Wordpress günlüğünüzün anasayfasında eskisinden farklı bir sayfayla karşılaşmak nasıl bir duygu olurdu? Kötü, öyle değil mi? Eminim siz bu yazıyı okumadan önce blogunuzu ziyaret ettiniz ve herşey yolundaydı, peki ya siz bu yazıyı okurken birileri blogunuzla oynuyorsa? Dilerseniz tekrar kontrol edin. Ama unutmayın; sitenizi bıraktığınız gibi bulmanız yalnızca henüz sorun olmadığı anlamına gelir…

Giriş metni sizi korkutmasın. Daha önce blogum bir saldırıya uğradı ve verilerimi de kurtaramadım. Bu nedenle Wordpress güvenliğini öğrenmek zorunda kaldığımı söyleyebilirim. Siz de böyle kötü bir sahne ile karşılaşmadan önce yazının devamında okuyacağınız temel güvenlik önlemlerini alarak Wordpress bloguğunuzun güvenliğini üst seviyeye çıkarabilirisiniz. Aşağıdaki 5 başlık, yapacağımız işlemleri genel hatlarıyla belirtiyor:

1. Parola güvenliği
2. Meraklı gözleri engelleme
3. Arama motorlarını sınırlama
4. Daima güncel eklentiler ve Wordpress kullanma
5. Zararlı botları engelleme

1. Parola Güvenliği

Sitenizin bütün haklarına sahip olmak için denenecek ilk yol sizin hesabınızın ele geçirilmesi olacaktır. Bunun için de en basit yöntem, şifrenizin deneme yanılma yöntemi ile ele geçirilmesi. İngiltere’de yapılan bir araştırmaya göre internet kullanıcılarının %50’si şifrelerini kendi ismi, ailesinden birinin veya bir arkadaşının ismi olarak seçiyor. %30′luk bir kısmı ise sporcu, pop şarkıcı veya masasındaki bir objenin ismini şifre olarak belirliyor. Tabii böyle bir durumda da şifrelerin tahmin edilmesi kolaylaşıyor. Bu nedenle tahmin edilmesi güç, rakam, harf ve özel karakterlerden oluşan kompleks parolalar seçin.

Büyük ve küçük harflerden, rakam ve özel karakterlerden oluşan örnek bir parola bunun gibi olmalıdır: 6/-sncfX
Bu tür parolaları aklınızda tutmanız güç olabilir fakat çok daha güvenlidir. Maord.com sitesi, size böyle bir parola oluşturabilmeniz için yardımcı olabilir. İstediğiniz özellikleri seçip Make Password(s) butonuna basarak istediğiniz özelliklere uygun sizin için oluşturulmuş parolalar elde edebilirsiniz. Yalnızca bununla kalmayıp, Limit Login Attempts eklentisini kullanarak Wordpress yönetim paneline giriş denemeleri yapılmasını da engelleyebilirisiniz. Eklenti, 4 giriş denemesinden sonra ilgili kişinin siteye ulaşımını 40 dk. engelliyor. Buradaki deneme sayısını ve engellenecek süreyi siz de belirleyebiliyorsunuz. En güzeli ise, 4 yanlış giriş denemesi yapıldığında e-posta ile size bildirilmesini de sağlayabilirsiniz.

2.Meraklı Gözleri Engelleme

Kullandığınız eklentileri, yüklediğiniz dosyaları görüntülemek isteyenler olabilir. Bu zararsız bir merak gibi görünse de çoğu zaman tehlikelidir. Wordpress eklenti ve yüklemeler için varsayılan klasör yolları, çoğu zaman bunları görüntülemek için yeterlidir. eklentiler için sitesimi.com/wp-content/plugins ve yüklenen dosyalar için de siteismi.com/wp-content/downloads/ klasörleri genellikle varsayılan olarak kullanıldığından herhangi bir Wordpress sisteminde meraklı kişi burayı görüntüleyebilir. Bu nedenle bu klasörlere boş index.html dosyası koyarak görüntülenmelerini engelleyebilir, tarayıcıda klasörlerin listelenmesi yerine boş bir sayfa çıkmasını sağlayabiliriz. Yükleyeceğiniz index.html dosyasını kendinize göre düzenleyebilirsiniz de. Bu klasöre erişiminiz engellendi veya anasayfaya yönlendirme yapmayı tercih edebilirsiniz.

3. Arama Motorlarını Sınırlama

Arama motorlarının botları, sitenizin içeriğini indekslemek amacıyla dolaşıyor olsa da karşılaştıkları bazı linkler onları görmemeleri gereken içeriklere ulaştırabiliyor. Bir açık bulunmasıyla birlikte, arama motorlarında yapılan bir aramayla bu açığın bulunduğu siteleri listeleyerek sıradan saldırı yapılmaya başlanır. Bu robotların erişimini sınırlayarak hem arama motorlarından gelebilecek tehlikeleri önlemiş olacak hem de gereksiz sayfaların indekslenmesini engelleyerek SEO açısından faydasını görmüş olacaksınız. Bu işlem için yalnızca bir robots.txt dosyası oluşturmanız ve blogunuzun anadizinine atmanız yeterli. Wordpress sayfalarından bu konuda bilgi alabilir ve örnek bir robots.txt dosyasının içeriğine ulaşabilirsiniz. Ben buradaki robots.txt dosyasını editleyerek kullandım. Benim sitemdeki robots.txt dosyasına da buradan ulaşabilirsiniz.

Bir diğer dikkat edilmesi gereken nokta da Wordpress temalarının kaynak kodlarına Wordpress sürüm numarasını eklemesi. Siteniz bu kod ile birlikte listeleneceğinden, ilgili sürümde açık bulunduğunda yapılacak bir aramada da listelenecek ve açık hedef halnie gelecektir. Örneğin google’da Powered by Wordpress 2.6.7 aramasıyla Wordpress 2.6.7 sürümü kullanan sitelere ulaşabilirsiniz. Bu sürümde bir açık olması durumda da tüm bu listelenen siteler tehdit altında olacaktır. Bu nedenle Wordpress sürümünüzü gizli tutun. Bunu yapmaksa çok basit;  Görünüm’den Editör seçeneğine tıklayın ve Üst Kısım(header.php)’yi seçip buradaki <meta content=”WordPress &lt;?php bloginfo(’version’); ? /&gt;” name=”generator” /> kodunu silin ve kaydedin. Hepsi bu kadar.

4. Daima Güncel Eklentiler ve Wordpress Kullanma

Eklenti güncellemeleri genellikle bir hatanın giderilmesi ve bir açığın kapatılması nedeniyle olur. Tabi bu sırada yeni özelliklerde eklenebilir fakat bizim asıl ilgilendiğimiz konu bir açığın kapatılmasıdır. Bu nedenle eklentilerimizin daima güncel olmasına, Wordpress sürümümüzün de son sürüm olmasına dikkat etmemiz gerekiyor. Wordpress’in 2.7 sürümüyle birlikte geliştirilen Otomatik güncelleme de bizim işimizi kolaylaştırıcı bir özellik. Bu özellik sayesinde kullandığımız bir eklentinin veya Wordpress’in yeni bir sürümü çıktığında, yönetim panelinde için mesaj ile haberdar oluyoruz. Hepsi bu değil, bir tık ile otomatik güncelleştirmeyi çalıştırmanızla birlikte ilgili eklentinin güncel sürümünü indirip kuruyor ve size kullanmak kalıyor.

5. Zararlı Botları Engelleme

Zararlı botlar siteleri ziyaret ederek çeşitli açık denemeleri yapar ve ilgili açığı bulduğunda sahibine haber verir. Aynı zamanda spambotları da konularınıza spam yorumlar yaparak çeşitli mesajlar bırakır veya kendi sitelerine ziyaretçi çekmeye çalışır. Bad Behavior eklentisini kullanarak bu tür zararlı botların sitenize erişimini engelleyebilirsiniz. Eklenti, veritabanında kayıtlı ip adresleri ile zararlı botları tespit ederek sitenize erişimini engelliyor. Ben faydasını gördüğümü söyleyebilirim, eklenti 2 günde 25 bot engelledi.

Yinede unutmayın ki her sistemin bir açığı vardır. Yine de olası bir saldırı durumunda veri kaybını önlemek amacıyla günlük yedek almayı unutmayın. Bunun için WP DB-Manager eklentisini kullanmanızı öneririm. Eklenti belirlediğiniz zaman aralıklarında veritabanı yedeği alarak emailinize gönderiyor. Ben Gmail hesabıma günlük olarak yedek gönderiyorum. Aynı zamanda eklentinin sunduğu optimize seçeneği de veritabanını gereksiz yüklerden arındırıyor.

İlgili Başlıklar:

• Internet Explorer 6 ne zaman ölecek?
• Wordpress’te iletişim sayfası
• Wordpress Yazı Sürümleri Özelliği ve Kontrolü
• Wordpress 2.7 – Yönetim panelindeki yenilikler
• WordPress 2.7.1 yayınlandı

Yazıyı Paylaş: