WordPress kurulumu yaptıktan sonra siteye ait sayfaların yönetimini sağlayabilmek için admin paneli adı da verilen yönetim panelinin nasıl kullanıldığının bilinmesi gerekmektedir. WordPress yönetim paneli içerisinde bulunan sekmeler ve kategoriler aracılığıyla site içeriği zenginleştirilerek sayfalar düzenlenebilmektedir. Çukurova Marka Patent Kalite Yönetim ve Danışmanlık olarak bugün sizlere WordPress kullanımının sağladığı kolaylıkların yanı sıra günümüzün kaçınılmaz sorunlarından olan yönetim paneli güvenlik açıklarından bahsedeceğiz.
Güvenlik Açıkları
WordPress bir web sitesine sahipseniz hackerların vb. kötü niyetli kişilerin önceliklerinden biri de sizsiniz demektir. Tabii bu önceliği pozitif yönde yorumlayabilmek çok da doğru olmayacaktır maalesef. Genellikle WordPress tabanlı web sitelerinde bulunan bir açık birçok web sitesinin hacklenmesi anlamına gelmektedir. Sıkça kullanılan aynı eklentiler, aynı temalar ve aynı wordpress sürümleri bu açıkların oluşmasına olanak sağlamaktadır.
Admin Panel Güvenliğini Sağlayabilmek İçin Dikkat Edilmesi Gerekilen Hususlar
- Güçlü bir şifre oluşturulmak
- Kullanıcı adının “Admin” olmamasına dikkat edilmeli. Bunun sebebi birçok kullanıcının aklına ilk gelen kullanıcı adının admin olmasıdır. Durum böyle olunca en ulaşılabilir kullanıcı adı olmasına karşın hacklenme riskinin yüksek olmasına ortamsağlamaktadır.
- Admin panelinden hata mesajlarını kaldırın. Wordpress Admin paneldeyken yanlış bir şifre girilmesi durumunda WordPress bir hata mesajı vermektedir. Kötü niyetli hackerler bu hatayı kullanarak sitenize saldırı yapabilir. Bunu önlemenin basit bir yolu vardır. Temanızın belli bir dosyasına bir takım kod satırları ekleyerek hata mesajlarının ortadan kalkmasını sağlayabilirsiniz.
- Yanlış giriş sayısına bir limit ekleyerek istenmeyen misafirlere güle güle diyebiliriz. Bazı hackerler deneme yanılma yöntemi ile basit şifrelerin bulunduğu bir liste kullanarak admin paneline erişim sağlayabilmek için uğraşır. WordPress içerisinde bulunan Ayarlar-Limit Login Attemps eklentisini kurarak yanlış giriş sayısına sınır ekleyerek sitenizi koruyabilirsiniz.
Hadi gelin birazda WordPress üzerinde karşılaşabileceğiniz açıklar ve bu açıkları çözüme kavuşturabilmek için izlenmesi gereken yolları inceleyelim.
WordPress v2 sürümlerinden kurtulun
Yapılan araştırmalara göre en çok güvenlik açığına 2.8.x sürümlerinde rastlanmıştır.
Güvenlik Açığının Çalışma Mantığı
Normalde şifre hatırlatma sayfası bir kullanıcı adı ve ya e-posta adresi soruyor. E-postanın geçerli olması durumunda e-posta aracılığıyla kullanıcıya link gönderiyor bu sırada şifre değişmiyor. Fakat şifre değiştiren fonksiyon skey değişkenin geçersiz veya boş olması durumda değişikliğe izin vermiyor ama birisi boş bir array (dizi)gönderirse durum değişiyor.
Wordpress eklentilerinde ki açıklar
Eklentilerin sürümler halinde çıkmasına dikkat edin, wordpress.org veya Türkçe sitesinden iyice araştırın. PHP diliniz varsa kodlamayı gözden geçirin. Eklentilerde bile ciddi hasarlar verebilecek kodlar, virüsler çıkabiliyor.
WordPress Çoklu Komut Dosyası Ekleme Güvenlik Açıkları
"Post"-parametre manipüle sınırlı olan bu açığı ek olarak, yukarıda belirtilen birbirine çok benzeyen diğer bazı güvenlik açıkları vardır. İletişim bilgisi kullanan her işletme, bu tür saldırıları için savunmasızdır.
Sık Yedek Alın
Eskilerin “Hırsıza kilit dayanmaz” diye bir lafı vardır. Özellikle de internet gibi bir ortamda hangi önlemi alırsanız alın, bir risk taşıdığınızı unutmamanız lazım. O yüzden alınacak ilk önlem sık sık yedek almak olmalı. WordPress’te bu işi otomatik olarak yapmaya yarayan eklentiler mevcut.
Yönetici Kullanıcı Adını Değiştirin
WordPress, ilk kurulumda otomatik olarak yönetici hesabının kullanıcı adını “admin” olarak atıyor. Bu da özellikle doğrudan yönetim panelini ele geçirmek için yapılan kaba kuvvet saldırıları (Brute Force) için bir güvenlik tehdidi oluşturuyor. O yüzden yönetici kullanıcı adını ya database yönetim programı (phpmyadmin) üzerinden ya da yine bir eklenti kullanarak değiştirin.
Kuvvetli Bir Şifre Kullanın
Maalesef çoğumuz çok da kuvvetli olmayan, internetten hakkımızda toplanabilecek basit verilerle tahmin etmesi nispeten kolay şifreler kullanıyoruz. Hatta bu şifreleri genelde sitelere göre de farklılaştırmayıp pek çok yerde kullanıyoruz. Öncelikle, yönetim hesabı şifrenizin karakter zenginliğini ve uzunluğunu arttırıp şifrenizi daha kuvvetli yapın. Siteniz için kullandığınız şifreyi başka yerlerde kullanmayın.Ürün analiz ve fiyat karşılaştırma sitesi veritabanı için ayrı bir kullanıcı adı tanımlayın ve farklı bir şifre kullanın.
Bizler Çukurova Marka Patent Kalite Yönetim ve Danışmanlık web departmanı olarak bahsettiğimiz bütün güvenlik önlemlerini alarak siz değerli müşterilerimizin web sitelerini koruyoruz. Daha fazlası için bizimle 444 8 148 numaralı sabit hattımızdan ulaşabilir ya da dilerseniz bizleri ziyaret edebilirsiniz.
Wordpress Yönetim Paneli Açıkları
Çukurova Patent