WordPress Güvenlik Taraması Nasıl Yapılır?

Blog sayfamızda bugüne kadar WordPress hakkında pek çok farklı detayı okuyucularımızla paylaşmış olsak da hala WordPress’i tanımayanlar olabileceğini düşünerek konuyu giriş kısmından ele almakta fayda görüyoruz. WordPress oldukça basit ve popüler bir internet sitesi veya blog oluşturma yöntemi olarak ortaya çıkmıştır. Pek çok kullanıcıya sahip olan WordPress hakkında daha detaylı bilgi verelim.

WordPress Nedir?

İnternet üzerinde yer alan İçerik Yönetim Sistemine (Content Management System – CMS) sahip veya özel-kodlanmış CMS’ler içeren web sitelerinin tamamının yarısına yakını WordPress aracılığıyla oluşturulmuştur. Bir diğer ifadeyle WordPress’in pazar payı neredeyse %50’yi bulmak üzeredir. Bu bağlamda WordPress, GPLv2 altında lisanslı, yani yazılımı herhangi bir kimse tarafından ücretsiz şekilde kullanıp modifiye edilebilen, açık-kaynak içerik yönetim sistemidir. İçerik Yönetim Sistemi ise herhangi bir programlama bilgisine sahip olmadan web sitenizin önemli unsurlarını yönetmenizi sağlayan bir araçtır.

Bu konuda daha detaylı bilgi edinmek için “WordPress Nedir? | Neden WordPress Kullanılmalı?” başlıklı yazılarımıza da göz atabilirsiniz.

Sonuç olarak WordPress, yazılım geliştiricisi olmayanlar tarafından bile internet sitesi oluşturulmasını olanaklı kılar. Kendi kişisel blogunuzu bile WordPress ile saniyeler içinde kurabilirsiniz. Tabii ki sonraki bakımlarını yaparak ve etkileşimli içerikler girerek blogunuzu sürekli geliştirebilirsiniz.

WordPress Güvenliği Neden Önemli?

İster WordPress aracılığıyla ister başka içerik yönetim sistemleri veya profesyonel hizmet sonucunda kurulmuş olsun, internet sitenizi güvenli tutmanız için pek çok sebep var. Bugün, kapsam ve içeriğinden bağımsız olarak tüm internet siteleri ciddi oranda siber saldırı altında. Son dönem raporlarında özellikle vurgulandığı üzere malware (kötü amaçlı yazılım) ve phishing (e-dolandırıcılık) saldırısı içeren pek çok internet sitesi her hafta Google’ın kara listesine alınıyor.

Okuyucularımız arasında hacker saldırısına uğrayacak kadar büyük bir işletme olmadığını düşünen birçok küçük işletme sahibi olabilir. Ancak durum tam anlamıyla öyle işlemiyor. Zira kişisel bilgilerin satılarak paraya dönüştürülmesi söz konusu olduğunda hacker’lar için herhangi bir işletme av olabiliyor, işletmenin büyük veya küçük olması pek de fark yaratmıyor denebilir. Bu yüzden internet sitenizin ne zaman ve nerede siber saldırıya maruz kalacağından emin olamayacağınız için daima güvenlik önlemlerini devrede tutmanız son derece önemli.

WordPress Tabanlı İnternet Sitenizi Nasıl Koruyabilirsiniz?

Yukarıda bahsettiğimiz üzere internet siteniz her an güvenlik tehdidi altında olsa da onu koruma altında tutmanın da belirli yolları yok değil. Bu anlamda WordPress tabanlı internet sitenizi güvenlik tehditlerinden korumanın pek çok farklı yolu mevcut. Örneğin, şifrelerinizi güçlendirmek yapılacaklar listenizin başında yer alabilir. Çoğunlukla hatırlamakta ve hızlı kullanmakta zorlansak da güçlü bir şifre daima gereklidir. Ayrıca belirli periyotlarda şifre değiştirmek de şifrenizin bulunurluğunu önlemekte oldukça faydalıdır.

Bunun yanı sıra, WordPress kullanırken size doğrudan atanan “admin” kullanıcı adını değiştirmek de hacker’ların size direkt olarak ulaşmasını engelleyecektir. Aynı şekilde sizin de bir hacker gibi düşündüğünüzde ilk deneyeceğiniz kullanıcı adının “admin” olacağını tahmin ediyoruz. Bu yüzden, internet sitenizin güvenliğini artırmak istiyorsanız mutlaka kişiselleştirilmiş bir kullanıcı adı kullanmalısınız.

Günümüzün kurtarıcı güvenlik önlemlerinden biri de “Two-Factor Authentication“, diğer deyişle İki Aşamalı Kimlik Doğrulamadır. Kullanım kolaylığına oranla son derece yüksek düzeyde koruma sağlayan bu yöntem sayesinde, kimlik doğrulaması için yalnızca şifre değil; ayrıca parmak izi, SMS, yüz taraması gibi ikinci bir aşamanın daha geçilmesi istenir. Dolayısıyla herhangi bir hacker tarafından ikinci aşamanın geçilmesi oldukça zordur.

Detaylı bilgi için bu linke tıklayarak ilgili blog yazımızı inceleyebilirsiniz.

Bunun yanı sıra, internet sitenizi düzenli şekilde güncelleyerek de güvenlik tehditlerini minimize edebilirsiniz. Hacker’ların WordPress tabanlı internet sitelerine saldırırken başarılı olmalarının temel sebeplerinden biri yazılımın eski olmasıdır. Bu yüzden, internet sitenizin yazılım güncellemesine ilişkin bildirim gönderdiği her zaman bu güncellemelere öncelik tanımanızı öneririz.

Son olarak düzenli backup (yedekleme) yapmak siber saldırılara karşı bir koruma sağlamasa da herhangi bir tehdit ile karşılaşılmasının akabinde internet sitenizi geri kurmanızı sağlayacak önemli bir araçtır. Cloud vb. harici cihaz kullanımı ile yedekleme yapmak, bilgisayarınıza virüs bulaşması gibi durumlarda da işinizi kolaylaştıracaktır.

WordPress internet sitenizin güvenliğini nasıl sağlayacağınıza dair hazırladığımız detaylı blog yazısını bu link üzerinden ulaşabilirsiniz.

WordPress Güvenlik Taraması Nedir?

Bu yazımızın odak noktası olan WordPress güvenlik taramalarına doğru adım adım ilerlerken öncelikle bu taramaların ne anlama geldiğinden kısaca bahsetmek isteriz.

Güvenlik taraması, WordPress’in eklentileri ile gelen zayıflıklara karşı geliştirilmiş bir çeşit testtir. Tüm WordPress kullanıcılarının kendi başlarına gerçekleştirebileceği bu testler ile yönetici sayfası üzerinden internet sitenizin sağlıklı ve etkili şekilde çalışıp çalışmadığı kontrol edilebilir. Bu tarz kontrol testleri yapılmadığı takdirde, kötü amaçlı yazılımlar genellikle uzun süre fark edilmeyebilir, ta ki internet sitenizde her şeyin iyi şekilde işlemediğine dair bir uyarıyla karşılaşana kadar.

Geri dönüşü olmayan bir sonuçla karşılaşmadan evvel güvenlik taraması yaparak internet sitenizin saldırıya uğramasını engelleyebilir veya kötü amaçlı yazılım vb. yollarla enjekte edilmiş olsa bile bundan sonra internet sitenizin güvenli kullanımını güvence altına alabilirsiniz.

WordPress Güvenlik Taramasına Neden İhtiyaç Duyulur?

Daha önce de bahsettiğimiz üzere WordPress açık kaynak kodlu bir yazılım olup tasarlanan kod satırları tüm kullanıcılar tarafından kolaylıkla incelenebilir. Bu yüzden de saldırılara karşı hassas bir yapıya sahiptir.

WordPress sitenizde güvenlik açığı oluşturan unsur aşağıdakilerden herhangi birisi olabilir:

• Güncel olmayan eklentiler ve tema,
• Zayıf şifreler,
• WordPress web sitenizdeki kötü amaçlı yazılım,
• SEO spam kötü amaçlı yazılım,
• E-dolandırıcılık,
• Kötü amaçlı yönlendirmeler,
• Yeniden kullanılan şifreler,
• Ele geçirilen yazılım,
• WordPress sitenizdeki izinsiz girişler,
• wp-vcd.php kötü amaçlı yazılımı,
• Kaba kuvvet saldırıları,
• SQL enjeksiyonu,
• Siteler arası komut dosyası çalıştırma saldırıları,
• Web sitesinin HTTPS değil HTTP tabanlı olması,
• WordPress’ten gönderilen spam e-postalar,
• Hareketsiz kullanıcı hesapları,

Web sitenizin normale kıyasla daha yavaş çalışması, ziyaretçi sayısında anormallikler sergilemesi veya kontrolünüz dışında başka sitelere yönlendiren bağlantıların eklenmesi gibi durumlar, sitenizin ciddi bir tehdit altında olduğunun belirtisi olabilir.

Bununla birlikte, güvenlik taramasının özellikle işlevsel olduğu durumlardan biri, internet sitenizde herhangi bir anomali ile karşılaşmadığınız ancak sitenizin saldırıya uğramış olduğu durumlardır. Dolayısıyla bu halde, ancak güvenlik taraması ile saldırıyı ortaya çıkarabilirsiniz.

Tüm bu açıklamalardan yola çıktığımızda, güvenlik taraması düzenli aralıklarla gerçekleştirildiğinde neredeyse %100’e yakın koruma elde edebileceğinizi söylemek doğru olur. Herhangi bir olumsuzlukla karşılaşmamak için en az ayda 1 kez güvenlik taraması yapmak sitenizin güvenliğini garanti edecektir.

WordPress Güvenlik Taraması Nasıl Yapılır?

WordPress sitelerini her dakika 90.000 civarında saldırı tehdit etmektedir. Fakat bu durum her an korku içerisinde olmanızı gerektirmez zira kötü amaçlı yazılımın güvenlik taraması ile önüne geçmek mümkün. WordPress tabanlı internet sitenizdeki kötü amaçlı yazılımları ortaya çıkarmanın kolay ve güvenilir bir yolu güvenlik eklentisi kullanmaktır. Güvenlik taraması yapmak için sitenize öncelikle bir güvenlik eklentisi yükleyebilirsiniz. Eklenti yüklendikten sonra düzenli aralıklarla kötü amaçlı yazılım taramaları yapmaktadır. Bununla beraber, sitenizde herhangi bir güvenlik sorunu olabileceğini düşünüyorsanız, manuel olarak güvenlik taramalarını aktive edebilirsiniz.

Wordfence eklentisi, taramalar tamamlandıktan sonra olası güvenlik sorunlarına karşı yapabileceğiniz eylemleri göstermektedir. Kullanımı oldukça basit olan bu eklentiyi hem ücretli hem ücretsiz sürümde bulabilirsiniz. Üstelik ücretsiz sürüm, temel güvenlik taramalarını çalıştırmada ve görece küçük çaplı kötü amaçlı yazılım sorunlarını düzeltmede oldukça başarılı sonuçlar vermektedir.

Bunların yanı sıra, kötü amaçlı yazılım tarama özellikleri sunan başka bir araç ise Sucuridir. Sucuri SiteCheck sayesinde hızlıca sitenizin URL’sini girerek, web sitenizi kolay bir şekilde tarayabilirsiniz. Ayrıca siz de diğer güvenlik eklentilerini keşfederek WordPress sitenize entegre edebilirsiniz.

Eğer WordPress sitenizin saldırıya uğradığını düşünüyor ya da olası güvenlik ihlallerini ortaya çıkarmak istiyorsanız aşağıdaki dört adımı takip ederek hızlıca sonuç elde edebilirsiniz:

1. Wordfence Güvenlik Eklentisi Kurulumu: Yukarıda bahsettiğimiz Wordfence eklentisini kurmak için WordPress kontrol panelinize giriş yaparak;

• Eklentiler > Yeni Ekle‘ye gidin.
• Ardından Wordfence‘i arayın ve Wordfence Güvenliği – Güvenlik Duvarı ve Kötü Amaçlı Yazılım Taraması altında Şimdi Yükle‘ye tıklayın.
• Eklenti yüklendikten sonra Etkinleştir‘e tıklayarak kurulumu sağlamış olacaksınız.

2. Yedekleme: Üçüncü adımda tarama ve kötü amaçlı yazılım dosyalarını silme aşamasına geçmeden önce web sitenizi yedeklemenizi öneririz. Zira takip eden aşamada olası kötü amaçlı yazılım bulaşmış olabilecek dosyaları silmeniz gerekecek. Eğer bu noktada her şey yolunda gitmezse, önemli verileriniz yanlışlıkla silinebilir. Bu yüzden öncelikle web sitenizi yedekleyerek beklenmedik durumlara karşı siteyi geri döndürebileceğinizi garanti altına alabilirsiniz. Burada da Wordfence kurulumu için takip ettiğiniz adımları izleyebilirsiniz:

• Ayarlar > UpdraftPlus Yedeklemeleri‘ne gidin.
• Ardından da “Şimdi Yedekle“ye tıklamanız yeterli olacaktır.

3. Tarama Çalıştırma ve Kötü Amaçlı Yazılım Dosyalarını Temizleme: Yedeklemeden hemen sonra taramaya geçebilirsiniz. Her ne kadar Wordfence günlük olarak otomatik tarama imkanı sunsa da bu işlemi manuel olarak da başlatabilirsiniz. Bunun için aşağıdaki adımları izleyebilirsiniz:

• WordPress kontrol panelinizden Wordfence > Tara‘ya giderek, “Yeni Taramayı Başlat“a tıklayın.
• ‘WordPress çekirdeğinde bilinmeyen dosya’ etiketli bir sonuç, olası kötü amaçlı yazılımın varlığına işaret eder. Sonrasında tek yapmanız gereken, sonuç günlüğünün üzerinde yer alan Tüm Silinebilir Dosyaları Sil‘i tıklamaktır.
• Karşınıza çıkacak olan uyarı mesajını dikkatlice okuyarak, algılanan dosyaların kötü amaçlı yazılım olduğundan eminseniz, Dosyaları Sil‘e basabilirsiniz. Neyse ki herhangi bir sorun ile karşılaşacak olmanız halinde, web sitenizin önceki sürümünü yedeğinizden geri yükleyebilirsiniz.

Tarama sonrasında tespit edeceğiniz tüm virüs ve kötü amaçlı yazılım içeren sonuçlara karşı hızlıca internet sitenizi temizlemek üzere harekete geçmelisiniz.

Bu aşamada hangi adımları takip edeceğinizi öğrenmek için, “WordPress Sitenize Bulaşan Virüsleri Nasıl Temizlersiniz?” başlıklı yazımıza göz atabilirsiniz.

4. Site Güvenliği İçin Gerekli Önlemleri Alma: Kötü amaçlı dosyaları sildikten sonra da web sitenizin tamamen güvenli hale geldiğini söylemek mümkün değil. Bu noktada sitenizi tamamen güvenli hale getirmek için atabileceğiniz bazı ek adımlar vardır. Bu adımlara yukarıdaki “WordPress tabanlı internet sitenizi nasıl koruyabilirsiniz?” başlığı altında değinmiştik. Tüm bu adımları atmak uğraştırıcı gibi gözükse de kesinlikle sitenizin güvenliği için değecektir.

Bu 4 adımı takip ettikten sonra sitenizin hızlı, ucuz ve etkili şekilde korunmasını sağlamış olacaksınız.

Özetle, hacker’lar sayısız internet sitesine aynı anda ve herhangi bir zamanda saldırıda bulunabilir. Bu noktada sitenizin veya işletmenizin ne kadar büyük finansal değere sahip olduğunun hiçbir önemi yoktur. Günlük kullanım için kurulmuş bir blog sayfasından online alışveriş sitesine kadar her WordPress sitesi sahibinin, hem işletmesini ve sitesinde yer alan bilgileri hem de ziyaretçi kitlesini korumak için düzgün bir güvenlik taraması yaparak, sitenin güvenliğini garanti altına alması son derece önemlidir.

Yukarıda altını çizdiğimiz güvenlik önlemlerini uygulayarak ve bu konuda daha geniş bilgi sahibi olup güncel gelişmeleri takip ederek, siz de kolaylıkla internet sitenizin güvenliğini sağlayabilir ve ziyaretçilerinize daha kaliteli bir deneyim sunabilirsiniz.