Dünyanın en popüler blog sistemlerinden birisi olan WordPress’in sanırsam Dünyada en çok hackleten millet olarak Türkiye başını çekiyor..Bu konuda gelen çok fazla soru nedeniyle sizlere karşılaştığım hack yöntemlerini anlatmak istedim..
Öncelikle 2 çeşit hack yöntemi söz konusu..Birincisi sizden kaynaklanan bir şey söz konusu diğeri ise hostçunuzla yani serverla ilgili bir açık söz konusu..
Sunucu açığı ve Shell kullanılarak Hacklenen WordPress BloglarBu konuda gördüğüm kadarıyla açıklar sunucunuzda bulunan bir sitenin hacklenmesinden kaynaklanan açıklardır..Örnek olarak eğer sunucu güvenliğiniz tam olarak sağlanmamışzsa sunucuzdaki herhangi bir siteye atılan shell ile sunucudaki tüm wordpress bloglar kolaylıkla hacklenebilir..Ki bu konuda hackerlerın ekmeğine bal süren tüm temaların dosyalarına verdiğimiz yazma izinleri en çok karşılaşılan hack yöntemlerinden birisidir..
Bu konuda tavsiyem sağlam hosting firmalarıyla çalışmanızdır..Eğer sunucunuzda güvenlik konusunda şikayetler varsa sunucu sahibine durumu hemen iletin..
Diğer konu ise sizden kaynaklanan açıklardır sırasıyla size karşılaşılan açıkları ve yapılması gereken önlemleri sıralıyorum.
Klasik güvenlik önlemleri olarak host,panel ve wordpress’i kurduğunuz mailin şifrelerini zor şifreler seçin ve hiçbir ortamda paylaşmayın..
Mail olarak sitenizin maili yerine daha güvenli olarak gmail,hotmail gibi sistemleri kullanın..Wordpress admin profilinize ait ve sitenin genel mailini başka ortamlarda kullanmamaya özen gösterin.
Panelden permalink ayarları yaparken çoğumuz .htaccess dosyasına yazma izni olarak 777 verip bırakıyoruz.Bu izin ayarlarınızı 644 yapabilirsiniz..
Tema klasörleri içinde aynı şey söz konusu..Özellikle panelden tema editleyenler için eğer düzeltme işleminiz bittiyse tema yazma izinlerini eski haline geri dönderin..
Panel kullanıcı isimlerinizi varsayılan olarak admin olarak kullanmayın..Farklı bir kullanıcı adıyla kayıt olun..Ve o admini kullanmayıp kendinize bir editör hesabı açıp o hesapla yazmaya başlayın..O hesaba zor bir şifre ve zor bir mail adresi kullanın…
Eğer sitenizde üye olmak gibi bir özellik sunmuyorsanız panelden üyelik kaydını kapatınız…
Şifrenizi “editleme yaptırmak” yada eklenti kurulumu vs gibi şeyler yaptırdıktan sonra kesinlikle değiştiriniz..Mümkün olduğu kadarıyla güvenilir kişiler yaptırınız..Ve kurumsal olmasalar bile alternatif sitelerden kişilerin güvenirliğini araştırın.
FTP programını kullandığınız bilgisayarlarda mümkün olduğu kadarıyla güvenilir ve güncel bir virüs programı kullanın..Eğer ftp programınız da virüsten kuşkulanıyorsanız alternatif ftp programları indirip onları kullanmayı deneyin.Yada mümkün olduğu kadarıyla kullanmayın.
En son sürüm wordpressi kullanmaya özen gösterin..Dosyaları alternatif siteler yerine direk olarak tr.wordpress.org adresinden indirin.
Eklenti olarak wordpress.org haricinde yayınlanan eklentileri mümkün olduğu kadarıyla indirmeyin..
İndirdiğiniz temalarla ilgili functions.php gibi dosyalarına açığa yol açıcak veya uzaktan kontrole erişim sağlayan kodları görürseniz başka temalar deneyin..Çoğu kişi tema konusunda hacklenme olayları oldu desede bu oran çok düşük bir orandır..Temalardan kaynaklanan çok az hacklenme olayı yaşanmıştır..
Yine aynı şekilde admin şifrelerini birilerine verdikten sonra hemen geri değiştirin..Mail adreslerinizin güvenliğini arada bir kontrol edip düzenli şifre değiştirme yapın..
Şifre kullanımıyla ilgili olarak Random Password Generator kullanarak tahmin edilemez şifreler kullanın..
Öncelikle bu güvenlik önlemlerini almanıza rağmen hackleniyorsanız kesinlikle bir yerde hata yapıyorsunuzdur..Ama unutmayın ki en güvenli sistem fişi çekilmiş sistemdir..Bu kadar önleme rağmen her site hacklenebilir..
Fakat bu güvenlik önlemlerine dikkat ederseniz hacklenme riskinizi en aza indirebilirsiniz..
Hiç yorum yok:
Yorum Gönder