Bir WordPress siteniz varsa mutlaka güvenlik açıklarıyla ilgili zamanında bir sorun yaşamışsınızdır. Bu durum merak etmeyin öyle ya da böyle bizimde başımıza geldi. Bunların nedenleriyle ilgili yakın zamanda bir nedenler araştırmasını Sucuri ve Wordfence‘nin araştırmalarını derleyerek bir makale oluşturmaya karar verdik.
Araştırmalarımızda ulaştığımız en net veri şunu mutlaka belirtmeliyim ki “Eklentilerden kaynaklanan” sorunlar. WordPress sitenize 3. bir kaynak harici bir yerden eklenti indirip yüklememeye çalışın. Şu kaynaklar siteniz için güvenilir eklentiler barındırır.
- WordPress.org Plusing
- Codecanyon WP Plusing
Şimdi araştırmalar yaptınız ve İnternet üzerinde bir eklentiye ulaştınız. Bu eklenti WordPress’e ekli değil ve kendi barındırmasından size eklenti dosyası sunuyor. Bunu sisteminize yüklerseniz büyük bir güvenlik acıgına yol açmış olursunuz. Şu an sitenize zarar vermez, fakat; bir süre sonra sitenizde oldukça sıkıntılı sorunlara neden olabilir.
Wordfence Nedenler Araştırma Raporu
WordPress’te eklentiler başlıca güvenlik açığı kaynağı diyebiliriz. Bu sebeple siteniz eklentilerine olabildiğince dikkat etmeniz gerekli. Site sağlığınız için mümkün olduğunca az eklenti kullanmak daha iyidir. Arkasını düşünmeden her birimiz eklentileri kuruyor ve sonra siliyoruz. Fakat; bu eklentiler her kurduğumuzda kaldırsak bile arkasında izler bırakıyor. WordPress site hızlandırma yazımızda bu konuyu detaylıca anlattık.
PHP Sürümü de Çok Önemli
Mümkün olduğunca PHP sürümünüzü en son kullanmaya çalışınız. Elbette bu sürümle uyumlu tema ve eklentiler size kullanmanız gereken en üst Php versiyonunu işaret ediyor. Tek tek deneyip, sağlıklı çalışan PHP versiyonunu bularak sitenizi güncelleyin.
Peki Güvenlik İçin Ne Yapmalısınız?
2 faktörlü doğrulama işinizi şimdilik çözebilecek işlevsel bir eklentidir.
Bu eklenti sayesinde sitenizi yönetecek admin hesabını telefonunuzdan onaylanmadan bağlanmasını engelleyebilirsiniz. Tabi bu çözüm bundan sonrası için bir çözüm eğer hali hazırda siteniz güvenlik sorunu yaşadıysanız çözmek için bir eklentiden daha fazlasına ihtiyacınız var.
WordPress Sitenizde Virüsü Nasıl Bulursunuz?
Elbette bu konu aslında çok daha uzun bir konu. Fakat; bizim başımıza bu tarz durumlar çok geldi ve burada sizlere izlediğimiz yol haritasını anlatacağız.
- Cpanel üzerinden virüs taramasını başlatmanız iyi bir başlangıç olabilir.
- Phpmyadmin üzerinden Mysql’inize bağlanıp virüs kodlarını arayabilirsiniz.
- WordPress Wordfence veya Sucuri eklentilerini indirmelisiniz.
- Diğer tüm eklentileri FTP hesabınızdan silmelisiniz.
- Diğer tüm tema dosyalarını FTP hesabından silmelisiniz.
- Tüm uploads klasörü dosyalarını kontrol etmelisiniz
- WordPress çekirdek dosyalarını silip, güncel WordPress dosyalarını yüklemelisiniz.
- FTP ve veritabanı kullanıcı şifrelerini değiştirmelisiniz.
- WordPress admin şifrenizi değiştirin.
Kısaca FTP dosyanızda sadece upload klasörü kalmalı ve diğer tüm dosyalar baştan yeniden kurulmalıdır. Uploads klasörünüde örneğin; “2024 > 01” gibi tüm klasörlerini kontrol ederek yüklemelisiniz. İçerisinde .php uzantılı veya alakasız bir dosya varsa FTP sunucunuza asla yüklemeyin.
WordPress “users” kısmından sizden başka admin olmadığına emin olun. Mümkünse tüm yöneticilikleri ve editörlükleri şimdilik kısıtlayın. Umarım burada yazdığımız adımlar işinize yarar ve sitenizle ilgili sorunları en kısa sürede çözersiniz.