ev borcu WordPress sitesi
WordPress Güvenliği Hakkında Bilmeniz Gerekenler
WordPress Güvenliği Hakkında Bir Geliştiricinin Zor Kazandığı Dersler
Bugünkü konuk blog yazısı Isaac Castillo tarafından yazılmıştır. Isaac, San Antonio merkezli bir WordPress ve WooCommerce geliştirme şirketi olan Echo Design Solutions'ın kurucusudur . Isaac ve ekibi kısa süre önce bir site sahibinin bir WordPress güvenlik ihlalinden kurtulmasına yardımcı oldukları bir projeyi tamamladı. Deneyimden öğrenilen çok değerli dersler vardı ve Isaac bunları bizimle paylaşmayı kabul etti. Bu ipuçlarını yararlı bulacağınızı umuyoruz.
Güvenlik, herhangi bir WordPress sitesinin çok önemli bir unsurudur. Buradaki ironi, çoğu WordPress site sahibinin, siteleri tehlikeye girene kadar WordPress güvenliğini gerçekten düşünmemesidir . Çoğu, bir şeyin tam olarak yolunda gitmediğini fark edene kadar, bir sorun olduğunun farkında olmadan günlük işlerine devam eder. Belki de doğal ev ilaçları sitelerinden oluşan bir ağa geri bağlanan tonlarca yorum fark ederler (en iyi durum). Belki de siteleri saatte yüzlerce spam e-posta gönderdiği için e-posta hesaplarının kara listeye alındığını fark ederler (en kötü durum). Her iki durumda da, haberler iyi değil ve çoğu site sahibi kendilerini pisliği temizlemek için çabalıyor.
Danışmanlık uygulamamın önemli bir kısmı, site sahiplerini WordPress güvenlik tavizlerinden kurtarmaya ve bunun bir daha olmamasını sağlamaya adanmıştır . Nitekim çok uzun zaman önce yukarıdaki örnekte olduğu gibi kara listeye alınmış bir müşteriyle çalışmaya başladım. Bu istemciyle ve diğerleriyle çalışan yaygın güvenlik açıkları türleri ve en iyi iyileştirme yöntemleri hakkında çok şey öğrendim. Bu yüzden, WordPress sitenizi nasıl güvenli hale getirebileceğinizi ve tüm bu pisliklerden nasıl kaçınabileceğinizi göstermek için deneyimlerimi sizinle paylaşacağımı düşündüm.
Aşağıda açıklanan en iyi güvenlik uygulamalarının savaşta test edildiğini ve iyi çalıştığını bilerek içiniz rahat olsun . Bilgin olsun, bu müşteri, biz onlarla çalışmaya başladığımızdan beri bir güvenlik sorunu yaşamadı.
Kurtarmaya Çağrıldı
Müvekkilim aradıktan sonra yaptığım ilk şey, işlerin nerede yanlış gittiğini bulmak için siteye iyice bakmak oldu. Birinin siteye yüklediği erkek geliştirici ilaçların bazı resimlerini buldum. Olabileceği kadar kötü olmasa da müvekkilim için kesinlikle kötü bir haberdi. Güvenlik açığının tam olarak nerede meydana geldiğini belirlemek zordu, bu yüzden en iyi uygulamaları izleyerek siteyi sistematik olarak kilitlemeye başladım.
Eklentilerin Güvenliğini Sağlama
Yaptığım bir sonraki şey, sitedeki tüm eklentileri devre dışı bırakmaktı. Daha sonra müşteriye gerçekte hangi eklentileri kullandıklarını sordum ve ardından yalnızca bunları yükseltip etkinleştirdim. Geri kalan her şeyi sildim.
Gerekenden çok daha fazla eklentinin yüklü olduğu sitelerde ne sıklıkta çalıştığım beni her zaman şaşırtıyor. Çoğu zaman, bu yetim eklentiler de site sahipleri tarafından asla güncellenmez. Bu, kötü adamlar için büyük bir saldırı vektörü yaratır. Bu nedenle, sitenizde bu yetim eklentilerden herhangi biri yüklüyse lütfen kendinize bir iyilik yapın. WordPress güvenliğini hemen iyileştirmek için bunları mümkün olan en kısa sürede devre dışı bırakın ve silin.
Ayrıca güvenilir eklentiler kullandığınızdan emin olmanız gerekir. WordPress harikadır, çünkü sitenize işlevsellik eklemek için aralarından seçim yapabileceğiniz çok çeşitli eklentiler vardır. Bu kadar geniş bir seçimle, iyi yazılmamış ve güvenlik açıkları olan birkaç taneyle karşılaşmanız da olasıdır. WordPress, bir eklentinin kullanıcılar tarafından ne kadar iyi değerlendirildiğini görmenizi sağlayan bir derecelendirme sistemine sahiptir. Çok sayıda WordPress kullanıcısı tarafından yüksek puan alan eklentileri seçtiğinizden emin olun.
Son olarak, lütfen tüm eklentilerinizin güncel olduğundan emin olun. Özellikle eklenti güncellemelerini kontrol etmek için WordPress sitenize en az haftada bir kez giriş yapmayı alışkanlık haline getirin ve ardından mevcut olanları yükleyin. Bu alışkanlığı edinmek, WordPress güvenliği söz konusu olduğunda büyük bir fark yaratabilir.
WordPress Çekirdeğinin Güvenliğini Sağlama
Akılda tutulması gereken başka bir şey de, WordPress'in çekirdeğinin de yükseltilmesi gerektiğidir. Bu özel proje, mevcut sürüm 4.3'teyken 3.5 sürümündeydi. Bu iki sürüm arasında birçok güvenlik ve hata düzeltmesi yapıldı. Yaptığım bir sonraki şey, bu müşterinin WordPress çekirdeğini 4.3'e yükseltmek oldu.
WordPress çekirdeğini güncel tutmanın ne kadar önemli olduğunu vurgulayamam. İyi haber şu ki, Pressable gibi birçok WordPress barındırma sağlayıcısı, WordPress çekirdeğini sizin için otomatik olarak güncelleyecektir. Bu nedenle, bu hizmeti sunan bir sunucuyla çalışmıyorsanız, hemen bir sunucuya geçmeyi düşünmelisiniz.
Sitenize Erişimi Kilitleme
Şimdi WordPress yönetici hesabından başlayarak sitenin erişim noktalarını kilitleme zamanıydı. Güvenli bir kullanıcı adı ve şifre oluşturmaya pek özen gösterilmeyen müşterilerin sitelerine ne sıklıkta rastladığıma şaşıracaksınız. Bu müşteri bir istisna değildi. Güçlü parolalar oluşturmama yardımcı olması için kullandığım araçlardan biri Norton'un parola üreticisidir .
Bu aşamada dikkate alınması gereken diğer bir husus, diğer erişim noktalarının güvenliğini sağlamaktı. İşte kontrol listenize eklemeniz gereken kısa bir liste:
- cPanel/ana bilgisayar erişimi
- FTP erişimi
- Veritabanı erişimi
Tüm bu erişim noktaları için benzersiz bir kullanıcı adı ve güçlü bir parola oluşturduğunuzdan emin olun.
WordPress'in Veritabanı Önekini Değiştirin
Tüm müşterilerimin sitelerinde yaptığım bir şey, WordPress'in varsayılan olarak kullandığı tablo önekini değiştirmek. wp-config.php dosyasında “wp_” yazan satırdır. Bunu genellikle müşterilerimin her birine özgü bazı alfa sayısal öneklerle değiştiririm. Bu, kötü adamların verilere doğrudan veritabanından erişmesini/değiştirmesini zorlaştırır.
wp-config.php dosyasını taşıyın
Başka bir yaygın saldırı vektörü, wp-config.php dosyasının değiştirilmesini içerir. Bu yüzden bu dosyayı başka bir dizine taşımayı düşünüyorum. Yapılandırma dosyası, halka açık dizinin üzerinde bir dizinde yaşayabilir. Normalde klasöre html, www, public veya public_html adı verilir. wp-config.php dosyamı site köküyle aynı seviyede olacak şekilde taşıyorum. WordPress onu önce mevcut dizinde arayacaktır. Orada bulamazsa, WordPress dizin yapısında bir seviye yukarı çıkar ve sitenin kök dizinine ulaşana kadar orada arar ve bu böyle devam eder. Bu dosyayı oraya taşımak, tarayıcı aracılığıyla kamuya erişilemez hale getirecektir.
.htaccess'i düzeltme
Son adımım, müşterimin sitesini bir mobil cihazda kontrol etmeyi içeriyordu. Nedense mobil cihazlarda müşterimin sitesi kumarhane uygulamalarını indirmeye devam etti. .htaccess dosyasını hemen kontrol ettim ve yeterince güvenli olduğundan emin oldum. Muhtemelen bu, çok uzun süredir WordPress'in daha eski, daha az güvenli bir sürümünü çalıştırdıkları için oldu. Bunu düzeltmek, yeni bir .htaccess dosyası oluşturmak ve mobil deneyimlerinin artık tehlikeye girmediğinden emin olmak için test etmek basit bir meseleydi.
Mutlu sonlar
Neyse ki müvekkilimin işinin normale dönmesi uzun sürmedi. Ayrıca WordPress güvenliğini kendi başlarına sürdürecek durumda olmadıklarını da fark ettiler. Bu nedenle , sitelerini güvende tutmaya yardımcı olmak için devam eden bakım paketlerimizden birine memnuniyetle kaydoldular . O zamandan beri işler sorunsuz yürüyor.
Tavsiyemi dinle ve bunun işine gelmesine izin verme . Bu WordPress güvenlik stratejilerini en baştan uygulamaya koyun ve karmaşadan kaçının. Ve nasıl yapacağınızı bilmiyorsanız veya zamanınız yoksa, bunu sizin için yapması için bir uzman kiralayın. İnanın bana, bu tür işleri yapan çoğumuz, kötü adamlar Gotham'ı havaya uçurduktan sonra Batman gibi kurtarmaya koşmamayı tercih ederiz. Joker'in en başta Arkham'dan asla çıkmamasını sağlamak için her gün küçük şeyleri yapmayı tercih ediyoruz.