WordPress ve Güvenlik

Arada sırada işim gereği güvenlik yazıları okuyorum cloudflare blog yazısında bir saldırıdan bahsediliyordu.

Bu açık direk olarak DDOS ile ilgili wordpress pingbackleri kullanılarak büyük çapta ddos yapmaktan bahsediliyor. Cloudflare bunu aşmanın yolunu bulmuş bu tarz saldırılar alıyorsanız cloudflare geçseniz iyi olur.

Virüs ve trojan konusuna gelecek olursak.

WordPressin core açığından bugüne kadar bana hiç virüs yada trojan bulaşmadı. Bulaşması da neredeyse imkansız. Çünkü wordpressin yetki yönetimini aşıp ftp /uploads/ klasörüne ulaşmak virüs-shell atmak mümkün değil. (Kendinize güveniyorsanız gelin vanilla wordpress kurup her türlü yöntemi deneyelim.)

Elbette bunu doğru biçimde yapılandırılmış chmod ve doğru ayarlara sahip sunucuyu kastederek söylüyorum.

Güvenlik sorunlarının wordpress olduğu sanılıyor. Fakat istatistiklere göre %80 sunucu açıkları yüzünden siteleriniz güvenlik ihlaline maruz kalıyor virüs, shell, trojan bulaşıyor. Geriye kalan %20 ise wordpress in kendisi değil wordpress temaları ve eklentilerinin açıkları kullanılarak dolaylı wordpress siteler hacklenebiliyor. Nitekim eklentilerinizi güncel tutuğunuz sürece ve önünüze gelen eklentiyi kurmadığınız sürece bu durumu da yaşamanız pek mümkün olmuyor.

Webmaster Forumunda bir kaç tane konuya “Ucuz hosting almayın” yazmamın sebeplerinden birisi de budur.

Ucuz hosting demek “Türkiye için” kalitesiz hizmet demektir. Türkiye’de iyi hizmet verenlerin pahalı olması tesadüf değildir. Çünkü piyasanın yapısını çözümleyen ve tecrübe sahibi olanlar verdikleri hizmet kalitesini arttırmak için fiyatlarını (mecburen) yükseltiyorlar.

Bana sorarsanız biraz fazla yükseltiyorlar ya neyse. Digitalocean kullanan birisi olarak yerel fiyatlar benim artık umurumda değil.

Dünyada durum farklı fakat Türkiye böyle ve olduğu gibi kabul edeceksiniz.

Kalitesiz hostinglerden hizmet alınca sunucularnızın kötü yapılandırılmasından dolayı %80 sunucu kaynaklı sitelerinize virüs, trojan, malware, shell bulaşıyor.

Haliyle Türkiye’de kurulan her iki siteden birisinin WordPress olmasından dolayı aranızda wordpress sitenize bulaşanlar oluyor. Zannediyorsunuz ki WordPress in açığı var. Halbuki WP kullanım oranı aşırı yüksek olduğu için size öyle geliyor. Sunucu etkenini görmezden geliyorsunuz.

Tecrübesiz ve kalitesiz hostingçiler de sorunun kendilerine olduğunu kabul etmiyor ve size kalitesiz hizmet vererek yalan söylüyorlar. Hem bilmedikleri için hemde umursamadıkları için bu yolu seçmeleri gayet normal.

Halbuki gerçekler böyle değil.

Çözüm nedir?

* Türkiye’de ucuz hosting almayın. Pahalıysa bir sebebi var. Kalite ve zihin sağlığınız için cimri olmayın.

* Eklentilerinizi güncel tutun. WordPress Core kolay kolay açık olmaz. Olduğunda da hızlı güncelleme gelir ve haberiniz olur.

* Daha fazla güvenlik için CloudFlare kullanın hem sunucunuzu gizlemek, ddos önlemek, sql injection ve botların uyguladığı hack yöntemlerinden korunmuş olursunuz. (r10 bile geçti buna)

* Sitenizin temiz olduğuuna emin olun. Bir yerden bir yere hosting taşırken dosyaları olduğu gii taşımak yerine veritabanını ve sadece gerekli resim ve tema dosyalarını taşıyın. Temiz bir başlangıç yaptığınıza emin olun.

Uzun vadede wordpress konusunda hosting hizmeti vermeyi düşünüyorum. Fakat sadece kurumsal müşteriler olacak. Eğer kurumsal ve yasal siteleriniz varsa iletişime geçebilirsiniz. Aslında wordpress hosting o kadar zor iş değil fakat bilinçli biçimde eklenti ve tema kullanımı gerekiyor bunun içinde birebir destek şart öyle olmayınca gördüğünüz gibi yavaşlık ve güvenlik sıkıntıları kaçınılmaz
[email protected]

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir