Her gün haberlerde hacklenen popüler web siteleri, e-mail hesapları vs. görüyoruz. Aslında sadece bunlardan ibaret değil. Bunların dışında cep telefonu, bilgisayar gibi ünlü teknoloji markalarının ürünleri de bazen bundan nasibini almakta. Hacklenen şey her zaman bir ürün ya da web sitesi değil elbette.
WordPress site hack ve güvenlik önlemleri
Tarayıcılardan, uygulamalara, e-posta hesaplarımızdan sosyal medyaya kadar internete bağlı olan her şey hack ile yüzleşmek zorunda. Her yıl birçok marka hacklenmelere karşı güvenliklerini test etmek için milyonlarca dolarlık yarışmalar düzenliyor. Ayrıca Dünya çapında güvenlikle ilgili donanım, yazılım ve hizmet harcamalarının 2019’da 103,1 milyar dolara ulaşacağı tahmin ediliyor.
WordPress Güvenlik Açıkları
Yazıya başlarken bu konulara girme nedenim şu. Bazen etrafımda şunları duyuyorum.
- “WordPress güvenlik olarak çok zayıf. “
- “WordPress’in hacklenmesi kolay”
- “WordPress’in güvenliği yok. Hacklenme olasılığı çok yüksek.”
Yukarıda bahsettiğim gibi internete bağlı her site her cihaz ya da ürün hacklenebilir. Bu risk her zaman var. Peki neden WordPress hack konusu gündeme geldiğinde bu kadar ön plana çıkıyor?
İnternette en çok kullanılan web sitesi altyapısı
Çünkü WordPress, 2019’da İnternet’te var olan web sitelerinin % 34’üne sahip. Yani internette her kurulan 100 web sitesinden 34’ü WordPress. Her ay 400 milyondan fazla kişi WordPress sitelerini ziyaret ediyor. Her saniye WordPress’te 17 blog yazısı yayınlanıyor. Bu her gün 5.000’den fazla içerik yayınlandığını anlamına geliyor. Bu kadar çok kullanılan bir altyapının hacklenme düşüncesi diğerlerine nazaran daha fazla oluyor.
WordPress güvenlik açıklarını kapatmak
Mayıs 2003’ten bu yana 16 yıldır 55.000 plugini binlerce geliştiricisi ve milyarlarca kullanıcısı olan ve sürekli saldırılara maruz kalıp yeni güvenlik önlemleri alan bir sistem mi daha güvenli olur? yoksa çok kişinin kullandığı bir kaç kişi tarafından geliştirilen bir sistem mi? Elbette bu da tek başına yeterli değil.
Bu nedenle bir gün WordPress sitenizin hacklenme ihtimali var. Buna teknik anlamda hazırlıklı olmalı, hacklendiğiniz zaman neler yapacağınızı biliyor olmalısınız.
Diyelim ki saldırıya uğradınız ve WordPress siteniz hacklendi. Hacklenmiş sitenizi eski haline döndürebilmek için aşağıdaki maddeleri uygulayabilirsiniz:
Hack’in nedenini bulma ve sitenize neler yaptığını tespit etme
Bunun için öncelikle şu soruları cevaplandırarak işe başlayabilirsiniz.
- WordPress Yönetici Panelinize giriş yapabiliyor musunuz? (yourwebsite.com/wp-admin)
- Web siteniz sizi başka bir web sitesine mi yönlendiriyor?
- WordPress web siteniz yasadışı bağlantılar içeriyor mu?
- Google zaten web sitenizi güvensiz olarak işaretledi mi?
3. Hosting firmasına ulaşma
Öncelikle siz ya da yer sağlayacınız (hosting firması) günlük, haftalık aldığınız yedeklerinize(backup) ulaşın.
Bu işlemleri yaptıktan sonra geldik teknik olarak sizin yapacağınız müdahalelere
WordPress site hacklendikten sonra yapılacaklar
WordPress güvenlik eklentileri
- Öncelikle tema dosyanızda zararlı dosya var mı yok mu aşağıdaki pluginler ile kontrol edin.
- Theme Authenticity Checker (TAC), Exploit Scanner, Anti-Malware
- Ardından log kayıtları için bu plugin ile sitenizde gerçekleşen tüm haraketleri görün.
- Web sitenizdeki kullanıcıları kontrol edin. Daha önceden görmediğiniz şüpheli bir kullanıcı hesabı açılmış ise bu hesabı silin.
- FTP, Cpanel şifrelerinizi değiştirin.
- wp-admin ve wp-includes klasörlerini tamamen silin ve yerin WordPress.org’dan indirdiğiniz versiyonlarını koyun.
- wp-config.php dosyasını açın ve WordPress.org’dan indirdiğiniz versiyon ile karşılaştırın. Tuhaf görünen herhangi bir kod bloğu varsa silin.
- Sitenizin ana dizinindeki ve wordpress klasörleri içindeki php dosyalarını silin (wp-config.php hariç) ve yine WordPress.org’dan indirdiğiniz versiyonları bu dosyalarla değiştirin.
- Kötü Amaçlı Malware Yazılımların Taranması ve Kaldırılması.
- Sitenizde yer alan admin, editör, yazar ve tüm kullanıcı şifrelerini değiştirin. Tahmin edilmesi zor içinde rakam, sayı, sembol, büyük küçük harf içeren zor şifreler belirleyin.
- Tüm eklentileri silin ve Wordpress Plugins den aynı eklentileri tekrar yükleyip kurun.
- Wp güvenlik eklentilerini kurmanız gerekli.
WordPress siteler için alabileceğiniz güvenlik önlemleri
- Sizde ya da hosting firmanızda (yer sağlayıcı) mutlaka günlük, haftalık yedekleriniz bulunsun. Yedekleriniz olursa aylarca yıllarca emek verip ürettiğiniz içerikler günlerce uğraşıp tasarımını yaptığınız siteler bir anda uçup gitmez. Sitenizi eski haline döndürebilir işlerinize devam edebilirsiniz.
- WordPress’in en son güncel versiyonunu kullanın ve güncelleme çıkınca hemen web sitenizi güncelleyin. Tüm eklentilerinizi güncel tutun. WordPress admin panele girince her yerden güncelleme fışkırmasın.
- En önemli maddelerden biri ücretli/paralı olup ücretsiz-warez sitelerde dağıtılan tema ve eklentileri lütfen kullanmayın. En fazla hack nedenlerinden biridir.
- WordPress’i kurduğunuzda açılan “admin” kullanıcısını silin ve yerine tahmin edilmesi güç bir kullanıcı adıyla admin hesabınızı oluşturun.
- Admin giriş url adresini (siteadi.com/wp-admin) değiştirin. Tahmin edilemeyecek bir adres yapın.
- Mutlaka wordpress güvenlik eklentilerinden birini kullanın.
- Kullanıcıların, kullanıcı adları ile sitede görünen yazar adı aynı olmasın. Sitenizi hackleyecek kişinin işini elinizden geldiğince zorlaştırmaya çalışın.
- Adı sanı duyulmamış, tostçu, uyduruk hosting firmaları ile çalışmayın.
- WordPress web sitenizin tüm dosya izinlerini 777 yapmayın.
WordPress Güvenlik
Herhangi bir web sitesi ya da WordPress web sitesi hiç fark etmez tüm güvenlik önlemlerinden önce şunu bilmek ve kabullenmek gerekir ki bütün web siteleri hacklenebilir, saldırıya uğrayabilir bu nedenle her ihtimale karşı siz ya da hosting firmanız mutlaka ama mutlaka düzenli (günlük, haftalık, aylık) otomatik yedeklerinizi almak zorundasınız. WordPress’te bunun için otomatik yedek alan ve bulut sunucularda veya fiziki sunucularda yedekleyen pluginler var. Güvenlik eklentileri dışında mutlaka kullanmanız gereken wordpress eklentileri var. Kurulumdan sonra kurulması gereken bu wordpress eklentilerine dilerseniz göz atabilirsiniz. Sizin güvenlikle ilgili eklemek istediğiniz varsa yorum kısmında yazın WordPress güvenliği ile ilgili yazımızı güncelleyelim.