Wordpress güvenlik taraması, özellikle kendine has bir yapısıyla karşımıza çıkıyor ve çok daha fazlası için bizlere ulaşıyor. Bu yüzden de detayların ve etkili çözümlerin tamamında Wordpress temaları kullanılabiliyor. Güvenlik taramaları, yazılımla ilgili merakları ve sorunları karşımıza çıkaracak diyebiliriz. Blog sayfamızda bugüne kadar WordPress hakkında pek çok farklı detayı okuyucularımızla paylaşmış olsak da hala WordPress’i tanımayanlar olabileceğini düşünerek konuyu giriş kısmından ele almakta fayda görüyoruz. WordPress oldukça basit ve popüler bir internet sitesi veya blog oluşturma yöntemi olarak ortaya çıkmıştır. Pek çok kullanıcıya sahip olan WordPress hakkında daha detaylı bilgi verelim. KİVİ HOST ailesi olarak bu konuda neler yaptığımıza göz atalım isterseniz.
WordPress Nedir?
İnternet üzerinde yer alan İçerik Yönetim Sistemine (Content Management System – CMS) sahip veya özel-kodlanmış CMS’ler içeren web sitelerinin tamamının yarısına yakını WordPress aracılığıyla oluşturulmuştur. Bir diğer ifadeyle WordPress’in pazar payı neredeyse %50’yi bulmak üzeredir. Bu bağlamda WordPress, GPLv2 altında lisanslı, yani yazılımı herhangi bir kimse tarafından ücretsiz şekilde kullanıp modifiye edilebilen, açık-kaynak içerik yönetim sistemidir. İçerik Yönetim Sistemi ise herhangi bir programlama bilgisine sahip olmadan web sitenizin önemli unsurlarını yönetmenizi sağlayan bir araçtır.
Sonuç olarak WordPress, yazılım geliştiricisi olmayanlar tarafından bile internet sitesi oluşturulmasını olanaklı kılar. Kendi kişisel blogunuzu bile WordPress ile saniyeler içinde kurabilirsiniz. Tabii ki sonraki bakımlarını yaparak ve etkileşimli içerikler girerek blogunuzu sürekli geliştirebilirsiniz.
WordPress Güvenliği Neden Önemli?
İster WordPress aracılığıyla ister başka içerik yönetim sistemleri veya profesyonel hizmet sonucunda kurulmuş olsun, internet sitenizi güvenli tutmanız için pek çok sebep var. Bugün, kapsam ve içeriğinden bağımsız olarak tüm internet siteleri ciddi oranda siber saldırı altında. Son dönem raporlarında özellikle vurgulandığı üzere malware (kötü amaçlı yazılım) ve phishing (e-dolandırıcılık) saldırısı içeren pek çok internet sitesi her hafta Google’ın kara listesine alınıyor.
Okuyucularımız arasında hacker saldırısına uğrayacak kadar büyük bir işletme olmadığını düşünen birçok küçük işletme sahibi olabilir. Ancak durum tam anlamıyla öyle işlemiyor. Zira kişisel bilgilerin satılarak paraya dönüştürülmesi söz konusu olduğunda hacker’lar için herhangi bir işletme av olabiliyor, işletmenin büyük veya küçük olması pek de fark yaratmıyor denebilir. Bu yüzden internet sitenizin ne zaman ve nerede siber saldırıya maruz kalacağından emin olamayacağınız için daima güvenlik önlemlerini devrede tutmanız son derece önemli.
WordPress Tabanlı İnternet Sitenizi Nasıl Koruyabilirsiniz?
Yukarıda bahsettiğimiz üzere internet siteniz her an güvenlik tehdidi altında olsa da onu koruma altında tutmanın da belirli yolları yok değil. Bu anlamda WordPress tabanlı internet sitenizi güvenlik tehditlerinden korumanın pek çok farklı yolu mevcut. Örneğin, şifrelerinizi güçlendirmek yapılacaklar listenizin başında yer alabilir. Çoğunlukla hatırlamakta ve hızlı kullanmakta zorlansak da güçlü bir şifre daima gereklidir. Ayrıca belirli periyotlarda şifre değiştirmek de şifrenizin bulunurluğunu önlemekte oldukça faydalıdır.
Bunun yanı sıra, WordPress kullanırken size doğrudan atanan “admin” kullanıcı adını değiştirmek de hacker’ların size direkt olarak ulaşmasını engelleyecektir. Aynı şekilde sizin de bir hacker gibi düşündüğünüzde ilk deneyeceğiniz kullanıcı adının “admin” olacağını tahmin ediyoruz. Bu yüzden, internet sitenizin güvenliğini artırmak istiyorsanız mutlaka kişiselleştirilmiş bir kullanıcı adı kullanmalısınız.
Günümüzün kurtarıcı güvenlik önlemlerinden biri de “Two-Factor Authentication“, diğer deyişle İki Aşamalı Kimlik Doğrulamadır. Kullanım kolaylığına oranla son derece yüksek düzeyde koruma sağlayan bu yöntem sayesinde, kimlik doğrulaması için yalnızca şifre değil; ayrıca parmak izi, SMS, yüz taraması gibi ikinci bir aşamanın daha geçilmesi istenir. Dolayısıyla herhangi bir hacker tarafından ikinci aşamanın geçilmesi oldukça zordur.
Bunun yanı sıra, internet sitenizi düzenli şekilde güncelleyerek de güvenlik tehditlerini minimize edebilirsiniz. Hacker’ların WordPress tabanlı internet sitelerine saldırırken başarılı olmalarının temel sebeplerinden biri yazılımın eski olmasıdır. Bu yüzden, internet sitenizin yazılım güncellemesine ilişkin bildirim gönderdiği her zaman bu güncellemelere öncelik tanımanızı öneririz.
Son olarak düzenli backup (yedekleme) yapmak siber saldırılara karşı bir koruma sağlamasa da herhangi bir tehdit ile karşılaşılmasının akabinde internet sitenizi geri kurmanızı sağlayacak önemli bir araçtır. Cloud vb. harici cihaz kullanımı ile yedekleme yapmak, bilgisayarınıza virüs bulaşması gibi durumlarda da işinizi kolaylaştıracaktır.
WordPress Güvenlik Taraması Nedir?
Bu yazımızın odak noktası olan WordPress güvenlik taramalarına doğru adım adım ilerlerken öncelikle bu taramaların ne anlama geldiğinden kısaca bahsetmek isteriz.
Güvenlik taraması, WordPress’in eklentileri ile gelen zayıflıklara karşı geliştirilmiş bir çeşit testtir. Tüm WordPress kullanıcılarının kendi başlarına gerçekleştirebileceği bu testler ile yönetici sayfası üzerinden internet sitenizin sağlıklı ve etkili şekilde çalışıp çalışmadığı kontrol edilebilir. Bu tarz kontrol testleri yapılmadığı takdirde, kötü amaçlı yazılımlar genellikle uzun süre fark edilmeyebilir, ta ki internet sitenizde her şeyin iyi şekilde işlemediğine dair bir uyarıyla karşılaşana kadar.
Geri dönüşü olmayan bir sonuçla karşılaşmadan evvel güvenlik taraması yaparak internet sitenizin saldırıya uğramasını engelleyebilir veya kötü amaçlı yazılım vb. yollarla enjekte edilmiş olsa bile bundan sonra internet sitenizin güvenli kullanımını güvence altına alabilirsiniz.
WordPress Güvenlik Taramasına Neden İhtiyaç Duyulur?
Daha önce de bahsettiğimiz üzere WordPress açık kaynak kodlu bir yazılım olup tasarlanan kod satırları tüm kullanıcılar tarafından kolaylıkla incelenebilir. Bu yüzden de saldırılara karşı hassas bir yapıya sahiptir.
WordPress sitenizde güvenlik açığı oluşturan unsur aşağıdakilerden herhangi birisi olabilir:
- Güncel olmayan eklentiler ve tema,
- Zayıf şifreler,
- WordPress web sitenizdeki kötü amaçlı yazılım,
- SEO spam kötü amaçlı yazılım,
- E-dolandırıcılık,
- Kötü amaçlı yönlendirmeler,
- Yeniden kullanılan şifreler,
- Ele geçirilen yazılım,
- WordPress sitenizdeki izinsiz girişler,
- wp-vcd.php kötü amaçlı yazılımı,
- Kaba kuvvet saldırıları,
- SQL enjeksiyonu,
- Siteler arası komut dosyası çalıştırma saldırıları,
- Web sitesinin HTTPS değil HTTP tabanlı olması,
- WordPress’ten gönderilen spam e-postalar,
- Hareketsiz kullanıcı hesapları,
Web sitenizin normale kıyasla daha yavaş çalışması, ziyaretçi sayısında anormallikler sergilemesi veya kontrolünüz dışında başka sitelere yönlendiren bağlantıların eklenmesi gibi durumlar, sitenizin ciddi bir tehdit altında olduğunun belirtisi olabilir.
Bununla birlikte, güvenlik taramasının özellikle işlevsel olduğu durumlardan biri, internet sitenizde herhangi bir anomali ile karşılaşmadığınız ancak sitenizin saldırıya uğramış olduğu durumlardır. Dolayısıyla bu halde, ancak güvenlik taraması ile saldırıyı ortaya çıkarabilirsiniz.
Tüm bu açıklamalardan yola çıktığımızda, güvenlik taraması düzenli aralıklarla gerçekleştirildiğinde neredeyse %100’e yakın koruma elde edebileceğinizi söylemek doğru olur. Herhangi bir olumsuzlukla karşılaşmamak için en az ayda 1 kez güvenlik taraması yapmak sitenizin güvenliğini garanti edecektir.
WordPress Güvenlik Taraması Nasıl Yapılır?
WordPress sitelerini her dakika 90.000 civarında saldırı tehdit etmektedir. Fakat bu durum her an korku içerisinde olmanızı gerektirmez zira kötü amaçlı yazılımın güvenlik taraması ile önüne geçmek mümkün. WordPress tabanlı internet sitenizdeki kötü amaçlı yazılımları ortaya çıkarmanın kolay ve güvenilir bir yolu güvenlik eklentisi kullanmaktır. Güvenlik taraması yapmak için sitenize öncelikle bir güvenlik eklentisi yükleyebilirsiniz. Eklenti yüklendikten sonra düzenli aralıklarla kötü amaçlı yazılım taramaları yapmaktadır. Bununla beraber, sitenizde herhangi bir güvenlik sorunu olabileceğini düşünüyorsanız, manuel olarak güvenlik taramalarını aktive edebilirsiniz.
Wordfence eklentisi, taramalar tamamlandıktan sonra olası güvenlik sorunlarına karşı yapabileceğiniz eylemleri göstermektedir. Kullanımı oldukça basit olan bu eklentiyi hem ücretli hem ücretsiz sürümde bulabilirsiniz. Üstelik ücretsiz sürüm, temel güvenlik taramalarını çalıştırmada ve görece küçük çaplı kötü amaçlı yazılım sorunlarını düzeltmede oldukça başarılı sonuçlar vermektedir.
Bunların yanı sıra, kötü amaçlı yazılım tarama özellikleri sunan başka bir araç ise Sucuridir. Sucuri SiteCheck sayesinde hızlıca sitenizin URL’sini girerek, web sitenizi kolay bir şekilde tarayabilirsiniz. Ayrıca siz de diğer güvenlik eklentilerini keşfederek WordPress sitenize entegre edebilirsiniz.