WordPress Güvenlik Terimleri

WordPress Nedir?
WordPress, açık kaynak kodlu olarak ücretsiz dağıtılan, kolay kullanılabilir bir arayüz ve geniş bir destek kitlesine sahip, popüler bir blog sistemidir.WordPress ile hazırlanmış olan websayfalarında ücretli ve ücretsiz olarak birçok tema, eklenti ve modül bulunmaktadır. Bu eklentileri kullanarak ihtiyacınıza yönelik websayfasını kolaylıkla özelleştirebilir ve SEO dostu websayfaları hazırlayabilirsiniz.

WordPress hakkında detaylı bilgi için aşağıdaki adresleri incelemenizi öneririz.

http://www.wp-tr.org/hakkinda/
https://tr.wikipedia.org/wiki/WordPress

WordPress'in bu kadar popüler bir içerik sistemi olması hem birçok websayfasının ilgili yazılımı kullanmasını sağladığı gibi hem de bu popülerlik zaman zaman kötü niyetli bilgisayar korsanlarının ilgisini çekmektedir. Bu nedenle standart WordPress kurulumu sonrasında yazılımınızda bazı değişiklikler yapmanız yazılımınızı daha güvenli hale getirebilir. Bu yazıda WordPress içerik sisteminde önerilen güvenlik ayarları ve eklentileri hakkında bilgilendirme yapılmaktadır.

Vulnerability Nedir?
Vulnerability, sistem üzerindeki yazılım/kodlama, işletim sistemi, dosya sistemi vb. kaynaklı saldırıya açık olma durumudur.

Aşağıdaki gibi adreslerden WordPress , eklenti ve temalarına yönetlik bilinen/raporlanan tüm zafiyet listesini tespit edebilir, zafiyet bulunan eklenti/tema veya sürüm kullanmanız halinde tercihinize göre sürüm yükseltme yapabilir, zafiyetin nasıl giderildiğini inceleyebilir ya da zafiyetin bulunduğu sürüme ait eklenti temayı tercihinize göre tamamen kaldırabilirsiniz. Bu nedenle Vulnerability veritabanını düzenli aralıklarla incelemenizi öneririz.

https://wpvulndb.com/wordpresses
https://wpvulndb.com/plugins
https://wpvulndb.com/themes

https://www.exploit-db.com/search/

Brute Force Nedir?
Brute Force web, ftp, veritabanı, e-posta vb. servislerinin login kısımlarına deneme/yanılma yöntemi ile yapılan login olma girişimidir. Bu tür şifre denemeleri bunun için yazılmış olan programları kullanarak ve wordlistleri (sık kullanılan genellikle basit parolalar) ile sürekli login sayfasına atak yaparlar.

Bir şifreyi kırmak için gerekli olan zaman, şifrenin bir uzunluğuna ve karmaşıklığına göre değişiklik göstermektedir. Dolayısıyla 123456 , 1234, 1907, 1905 vb. çok kolay elde edilebilir ve çok sık kullanılan parolaların tespit edilmesi ile BÜYÜK/küçük Harf + Sayı + Alt karakter'ler içeren parolaların tespit edilmesi arasında çok fazla fark vardır. Bu nedenle kötü niyetli bilgisayar korsanları tarafından ilk hedef her zaman 123456 , 1234, 1907, 1905 vb. kolay tahmin edilebilir parolalar kullanan kullanıcılar olmaktadır. Sayı+Harf+Alt karakter içeren şifre tanımları yalnızca WordPress yazılımınız için değil tüm servisler için (e-posta, ftp, mysql vb.) kullanılmalıdır.

Aşağıdaki gibi bir adres üzerinden sayı+harf+alt karakter içeren random parolalar üreterek yazılımınızı Brute Force ataklara karşı yazılımınızı daha güvenli hale getirebilirsiniz.

https://www.gokhanacar.net/toolbox/pass.php?password_length=12
http://passwordsgenerator.net/
https://lastpass.com/generatepassword.php

SQL Injection Nedir?
SQL Injection, SQL dili özelliklerinden faydalanılarak standart uygulama ekranındaki ilgili alana ek SQL ifadelerini (Meta-karakter) ekleyerek yapılan bir tür atak tekniğidir.

Web uygulamalarında bir çok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur.  Örneğin  " select * from urunler; " SQL sorgusu basit şekilde veritabanındaki tüm ürünleri döndürecektir. Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection’ a neden olabilir. (Meta-karakter bir program için özel anlamı olan karakterlere verilen isimdir)

SQL injection kötü amaçlı, normalde çalışmaması gereken SQL komutlarıdır. SQL Injection yöntemi ile SQL cümleciklerinin arasına dışarıdan girdi ekleyerek SQL'i kötü niyetli bilgisayar korsanlarının manipüle etmesine, girdi eklemesine, mevcut verilere ulaşmasına vb. neden olabilir. Bu nedenle yazılım kodlama sırasında GET ve POST ile yollanan verileri doğrulayarak, gönderilen verileri filtreleyerek, önemli verileri encrypt ederek vb. birçok farklı yöntemle SQL injection yazılımcı tarafından engellenmeli ve yazılımın güvenliği farklı yöntemlerle test edilmelidir.  SQL Injection hakkında daha detaylı bilgi için aşağıdaki adresleri incelemenizi öneririz.

https://tr.wikipedia.org/wiki/SQL_Injection
http://ferruh.mavituna.com/sql-injection-a-giris-ve-sql-injection-nedir-oku/

Exploit Nedir?
Exploit bilgisayar, yazılım, program veya dijital herhangi bir sistem üzerinde, sistem açıklarından, kod hatalarından faydalanarak istenmeyen veya planlanmamış hatalar oluşturmak için düzenlenmiş küçük kod veya programlardır. Örneğin bir sunucuya izinsiz giriş yaparak , yetkili kullanıcı oluşturmak, sistemi devre dışı bırakmak için oluşturulan programlardır. Exploitler çalışma prensiplerine göre birkaç farklı türde olabilirler. Detaylı bilgi için aşağıdaki adresi incelemenizi öneririz.

https://tr.wikipedia.org/wiki/Exploit

WordPress 'te Güvenlik Ayarları
WordPress'te güvenlik çok ciddiye alınan ve alınması gereken bir konudur ancak diğer içerik sistemlerinde de olduğu gibi bazı temel güvenlik önlemleri alınmadığı takdirde ortaya çıkabilecek olası güvenlik sorunları olabilir. Aşağıdaki makalede WordPress'te oluşabilecek güvenlik açıklarının giderilmesi ve güvenlik seviyesini arttırmaya yardım için yapabileceğiniz bazı şeyler anlatılmaktadır.

http://destek.doruk.net.tr/index.php?/Knowledgebase/Article/View/369/1/wordpress-gvenlik-ayarlar