WordPress, internette bulunan popüler içerik yönetim sistemlerinden biridir ve birçok web sitesi WordPress’i web sitesi ihtiyaçları için kullanmaktadır. WordPress yıllar içinde gelişti ve birçok WordPress güvenlik açığı ortaya çıktı. Tüm güvenlik makalelerini WordPress.org web sitesinden kontrol edebilirsiniz. Bunların farkındaysanız, bilgisayar korsanlarının listesinden çıkarabileceğiniz birkaç genel WordPress güvenlik açığı var. Bu WordPress güvenlik açıklarını gözden geçirin ve adımları izleyerek bunları düzeltin. 1. Veritabanı Tabloları için Varsayılan Önek WordPress'i kurarken, tablolar için veritabanı önekini girme seçeneğini göreceksiniz. WordPress'e yeni başlayanların çoğu WordPress'i “wp_” tablo öneki ile kurar. Bu, WordPress web siteniz için önemli bir güvenlik riskidir, çünkü hackerlar için çok kolay bir yem oldunuz. Kullanıcıların listesini ve mesaj tablosu gibi diğer önemli tabloları almak için WordPress kullanıcı tablonuzu doğrudan hedefleyebilirler. Bu sorunu çözmek için, tablo önekini “wp_” dan seçtiğiniz başka bir ön ek ile değiştirin, bu tablo önekini değiştirerek WordPress web sitesini daha güvenli hale getirin. 2. Varsayılan Yönetici Kullanıcı Hesabı WordPress'i kurarken, WordPress Yönetici kullanıcı hesabı giriş bilgilerini girmeniz gerekir. “Admin” ile bir yönetici hesabı oluşturduysanız, web siteniz saldırılar için daha savunmasızdır. “Yönetici” hesabını kullanıyorsanız, web sitenizin kullanıcı adını tahmin etmenin daha kolay olacağı anlamına gelir. Ve bilgisayar korsanı doğrudan WordPress web sitelerinin şifresini kırma üzerinde çalışabilir. Yani iş yükünün yarısını bilgisayar korsanından aldınız. Endişelenmeyin, eğer hala “admin” hesabını kullanıyorsanız, bunu kolayca düzeltebilirsiniz. Bu sorunu çözmek için, yönetici ayrıcalıklarına sahip yeni bir hesap oluşturun. Yeni hesapla giriş yapın ve “admin” hesabının ayrıcalıklarını azaltın veya bu hesabı tamamen silin. 3. Brute-Force Giriş Denemeleri Brute-Force saldırısı, korsanların bir web sitesinin oturum açma kimlik bilgilerini tekrar tekrar kullanıcı adı ve şifre kombinasyonlarını deneyerek almaya çalıştığı bir saldırı türüdür. Kötü haberse tamamen otomatik bir saldırı olduğu için hacker'ın kullanıcı adı ve şifreyi her zaman manuel olarak girmesi gerekmiyor. Varsayılan olarak WordPress, birden fazla başarısız oturum açma denemesi olsa bile, oturum açma sayısını sınırlamaz. Böylece bilgisayar korsanı, başarılı olana kadar bir kaç deneme girişiminde bulunabilir veya kaynakları ve bant genişliğini tamamen kullanması nedeniyle web siteniz kapanır. Eğer paylaşımlı hosting kullanıyorsanız, bu web siteniz için bir problem olacaktır. Bir kullanıcının birden fazla başarısız oturum açma girişimi varsa, giriş denemelerini sınırlandırarak bu sorunu çözebilirsiniz. Ücretsiz olarak sunulan birçok eklenti var, Loginizer eklentisini kullanabilirsiniz . 4. WordPress SQL Injection WordPress popüler web programlama dili olan PHP ile geliştirilmiştir ve içerik, sayfalar ve kullanıcılar gibi veriler MySQL'de saklanır. SQL, veritabanlarıyla iletişim kurmak için kullanılan dildir. SQL Injection tüm veritabanı tabanlı uygulama türlerinde gerçekleşir, WordPress istisna değildir. WordPress ayrıca SQL Injection saldırılarına açıktır. SQL Injection saldırılarını durdurmak için veritabanındaki veritabanı kullanıcısına uygun yetkileri atayın. Yapılandırma dosyalarındaki dosya izinlerini kontrol edin. Eklentileri, temaları ve WordPress Core dosyalarını güncelleyin. SQL Injection sorunu için Veritabanı sürümünün güncel olmaması gibi birçok faktör vardır. Eğer Paylaşımlı hosting kullanıyorsanız bunun için hiçbir şey yapamazsınız. 5. Hassas Dosyalara Erişim WordPress web sitenizde wp-config.php ve install.php dosyaları gibi pek çok önemli dosya vardır. wp-config.php dosyası, WordPress ile ilgili tüm yapılandırma ayrıntılarını içerir, bu dosyaya başka hiç kimse tarafından erişilmemelidir. Bunu, varsayılan izni 755'den 644 olarak değiştirerek yapabilirsiniz; bu, herkesin erişimini zorlaştırır. Dosya izinlerini kontrol etmek için eklentileri kullanabilirsiniz ya da cPanel'e giriş yapabilir ve dosya yöneticisini açabilirsiniz, dizin izinlerini 755 olarak değiştirin ve dosya izinlerinin tüm dosyalar için 644 olması gerekir. Bu değişikliği yaparsanız, WordPress web siteniz hassas dosyalara erişime izin vermez. 6. Siteler arası komut dosyası çalıştırma (XSS) Siteler Arası Komut Dosyası Oluşturma (Cross-Site Scripting) veya XSS saldırıları, web sitesi ziyaretçilerinin verilerini çalmak veya kullanıcıları farklı bir web sitesine yönlendirmek için en yaygın saldırıdır. XSS saldırganları web sitenize javascript kodunu belirli sayfalarda enjekte eder, bu JavaScript kodu ziyaretçinin verilerini çalar ve saldırgana gönderir. Yorumlar gibi kullanıcı tarafından oluşturulan verileri etkinleştirdiyseniz saldırganlar JavaScript kodunu enjekte edecektir. Bu yorumlar içinde, güçlü, italik ve altı çizili gibi sınırlı etiketlere izin veriyorsanız, sorun yoktur. Ek etiketlere izin veriyorsanız, web siteniz Cross-Site Scripting veya XSS saldırıları altında olabilir. 7. Kötü amaçlı yazılım Kötü amaçlı yazılım, web sitesi dosyalarınıza enjekte edilen kötü amaçlı bir koddur. Bu kötü niyetli kodla, saldırgan web sitenizin tüm verilerini silmek için web sitenizde herhangi bir işlem yapabilir. Bunlar bir sürü kötü amaçlı yazılım, ancak yukarıdaki önlemleri alıyorsanız, bu kötü amaçlı yazılımlar için endişelenmenize gerek yok. Web siteniz bu kötü amaçlı yazılımları içeriyorsa, web sitesini Chrome'da ve Google gibi Arama Motorlarında açarken bir bildirim görebilirsiniz. Sonuç Sorunları çözmek için yukarıdaki ipuçlarını uyguladıysanız, web sitenizdeki birçok sorunu ortadan kaldırmış olursunuz. Sadece adımları izleyin ve bu sorunları düzeltin.
