WordPress Güvenlik Rehberi

WordPress Güvenlik
Makaleyi Paylaş

WordPress güvenlik (wordpress security) rehberi.Medyaya dikkat ederseniz, sitelerin sürekli saldırıya uğradığını duyacaksınız. Genellikle, bankalar, e-ticaret şirketleri ve devlet daireleri gibi büyük kuruluşlara olduğu görülmektedir.

Mütevazı bir web sitesi sahibi olarak, güvende olduğunuzu düşünebilirsiniz. Ne de olsa büyük bir hedef değilsin. Neden biri sitenizi hacklemeye çalışsın?

Gerçek şu ki her büyüklükteki siteler her gün saldırıya uğramaktadır.

Medya sadece büyük organizasyonlara yönelik saldırıları rapor ediyor çünkü bu hikayelerin daha şok edici olduğu düşünülüyor. Büyük şirketlere ve hükümetlere yönelik saldırılar kesinlikle endişe verici ancak azınlıktalar.

Çoğu saldırı sitesi küçük şirketlere ve kişilere aittir.

Büyük şirketler, güvende olmalarını sağlamak için 24 saat çalışan güvenlik ekiplerine sahiptir. Küçük operatörler nadiren güvenliği düşünürler. Bilgisayar korsanlarına daha cazip bir hedef yaparlar.

Bir WordPress siteniz varsa, potansiyel bir hedefsinizdir. Bu yazıda size bu konuda ne yapabileceğinizi göstereceğiz.

Makale iki bölüme ayrılmıştır. İlk olarak, WordPress kurulumunuzu nasıl güçlendirebileceğinizi inceliyoruz. İkinci bölüm, WordPress güvenlik artırmak için sunucunuzu nasıl güçlendirebileceğinizi gösterir.

Contents

WordPress Güvenlik Gerçekten Risk Altında mıyım?

ReScan ile sitenizde güvenlik açığı olup olmadığını öğrenebilirsiniz. ReScan, sitenizi bilinen geniş bir istismar listesine karşı kontrol eder ve WordPress yığınının birden çok katmanını kontrol eder. Ağınızdaki, web sunucusundaki, PHP ve WordPress’in kendisindeki kusurları arar.

Yalnızca sitenizin URL’sini yazıp taramaya basarak risk seviyenizi kolayca görebilirsiniz. Bu size kaç tane risk olduğunu söyleyecektir, ancak bunları açıklamayacaktır.

Tüm ayrıntıları öğrenmek için sitenizi kayıt etmeniz ve sitenin sahibi olduğunuzu kanıtlamanız gerekir. Bu bir güvenlik özelliğidir – herhangi bir siteye yazıp tüm zayıf yönlerini görebiliyorsanız, ReScan bilgisayar korsanları için mükemmel bir araç olacaktır!

Çoğu web sitesi birkaç uyarıdan fazlasını tetikler. Sitenizin bileşenlerinden herhangi biri eskiyse, bir ton uyarı görebilirsiniz. Onları görmezden gelmeyin – bu potansiyel istismarlar gerçektir ve hasara neden olabilirler.

Neden İnsanlar Siteleri Hackliyor?

Büyük organizasyonlara gelince, neden saldırıya uğradıklarını anlamak kolaydır. İnsanlar neden bankaları hackliyorlar? Para çalmak için. İnsanlar neden devlet kurumlarını hackliyorlar? Sırları çalmak ya da kaosa neden olmak için.

İnsanlar neden daha küçük web sitelerini hackliyor? İşte bazı nedenler:

  1. gayret
  2. Fidye
  3. Kötü amaçlı yazılım yaymak için
  4. Bir botnet oluşturmak için
  5. Email Spam
  6. Kimlik Avı
  7. SEO (parazit SEO ve backlink kurma)

Yıkım oldukça yaygın bir tehdittir ve birçok ortak neden vardır. Çoğu zaman, tahrifatlar politiktir. Bir saldırgan sitenizi ele geçirecek ve mesajlarını yaymak için kullanacaktır – genellikle bu mesaj meşru bir şekilde yayınlanmayacak kadar tartışmalı olduğunda.

Bir saldırgan, sitenin orijinal içeriğini imha edecek veya şifreleyecek ve düzeltmek için ödeme talep edecektir.

Hacked siteler kötü amaçlı yazılım yaymak için de kullanılabilir. Sürünerek yapılan saldırılar, etkilenen bir siteyi ziyaret etmekten ayrı olarak, bir web sitesi ziyaretçisine, herhangi bir işlem yapmadan, onları etkileyebilir.

Bir bilgisayar korsanı sunucunuzu devralabilir ve diğer hedeflere yönelik saldırılar başlatmak için kullanabilir – DDOS saldırıları gerçekleştirmenin popüler bir yoludur. Hackerlar, hack makineleri koleksiyonuna “botnet” diyor.

E-posta sunucularına sahip web barındırma sunucuları, bilgisayar korsanları için başka bir sulu hedeftir. Küçük mavi haplara milyonlarca reklam vermek zor – spam şikayetleri birçok e-postanın geçmesini engelliyor.

Çözümlerden biri, başka birinin e-posta sunucusunu çalmak ve bu reklamları kurbanların posta kutularına sokmak için iyi itibarlarını kullanmaktır.

Kimlik avı, insanları kişisel verilerini teslim etme konusunda kandırmak için çok çeşitli taktikleri kapsar. Siyah şapka SEO‘ları bazen sıralama işlemini hızlandırmak için siteleri hackliyor. İçeriğini, meşru bir sitenin her yerine iyi bir otorite (parazit SEO) ile sıvalar ve diğer saldırıya uğramış sitelerden geri dönüşlerle patlatırlar. Hatta bazı bilgisayar korsanları, bir hizmet olarak hacklenmiş bağlantılar da sunmaktadır – tabii ki bu kesinlikle yasa dışıdır ve müşterilerini riske sokar.

Bu yüzden sitelerin saldırıya uğramasının birçok nedeni var – bunlar sadece birkaçıydı.

Siteniz Hacklendiyse Ne Yapmalı?

Bir hack kurtarma, kolay veya zor olabilir – bu ne kadar hazırlıklı olduğuna bağlıdır. Günlük yedeklemeleriniz varsa, birkaç dakika içinde sitenizi tekrar çevrimiçi duruma getirebilirsiniz. Eğer yapmazsan – peki, kötü zaman geçireceksin.

Sitenizi yedeklemek zor değil; My WP Backup Pro gibi basit bir eklenti kullanabilirsiniz.

Sitenizi Çevrimiçi Yapın

Genellikle, ilk adım sitenizi geri yüklemek için barındırma şirketinize ulaşmaktır.

Hacklenen siteler genellikle kötü amaçlı yazılımlar yayar; bu da herkes için kötü bir haberdir. Kötü amaçlı yazılım bulaşmış siteler kara listeye alınmış ve sık sık kapatılmaktadır. Barındırma şirketleri itibarlarını korumak isterler ve istenmeyen yazılımları aktif olarak yayan bir hesabı askıya alırlar (istenmeyen olsalar bile).

Eğer barındırma şirketiniz hesabınızı askıya aldıysa, önce onlarla iletişime geçmeniz ve sunucunuzu geri yüklemelerini istemeniz gerekir. Sunucunuz çevrimiçi oluncaya kadar hiçbir şey yapamazsınız.

Çoğu hosting şirketi müşterilerine çoklu iletişim yöntemleri sunar. Onlara bir e-posta gönderebilir, çağrı merkezlerini arayabilir veya anında mesajlaşma yapabilirsiniz.

Basitçe sitenizin saldırıya uğradığını ve hesabınızı geri yükleyebileceklerini açıklayın.

WordPress Güvenlik için Sitenizin Zayıf Yönlerini Belirleyin

Sitenizi tam olarak geri yüklemeden önce, saldırının gerçekleşmesine izin verenleri anlamanız gerekir; aksi halde siteniz birkaç dakika içinde yeniden ele geçirilebilir. Siteniz, bilgisayar korsanlarının devralmak için kullanabileceği bir zayıflığa sahiptir ve wordpress güvenliği için bu zayıflığı düzeltmeniz gerekir.

Zayıflıkları belirlemek için birkaç araç kullanacağız. İlki yukarıda bahsettiğimiz ReScan. İkincisi Sucuri güvenlik eklentisi.

WordPress Güvenlik için Sucuri’yi Yükleyin

WordPress Güvenlik için Sucuri eklentisi, bir grup hack sonrası eylem de dahil olmak üzere etkileyici bir dizi özelliğe sahiptir. Siteniz saldırıya uğradıktan sonra bile kurabilir ve enfeksiyonu gidermek için kullanabilirsiniz.

WordFence başka bir popüler güvenlik eklentisidir, ancak Sucuri sadece özellikler ve performans açısından onu yenmeyi başarır.

Sucuri’yi kurmak olabildiğince kolaydır:

1: Yönetici alanınıza giriş yapın.

2: “Eklentiler” sayfasına gidin.

3: “Yeni Ekle” ye tıklayın.

4: Anahtar kelime alanına “Sucuri” yazın.

5: Sucuri Güvenlik eklentisinin yanındaki “Şimdi Kur” düğmesine tıklayın.

6: Beliren “Activate” butonuna tıklayınız.

7: “API Anahtarı Oluştur” u tıklayarak bir API anahtarı oluşturun.

8: Bir e-posta adresi seçin ve “Devam Et” i tıklayın.

Sucuri başarıyla API Anahtarını oluşturmalıdır – bu da kurulumu tamamlar.

Kötü Amaçlı Yazılım için Tarama

Sonra, siteyi kötü amaçlı yazılım yükü için tarayacağız. Bunlar, özellikle kullanıcılarınızın bilgisayarlarına saldıran kısır komutlar ve programlardır. Google sitenizde kötü amaçlı yazılım tespit ettiğinde, SERP’lerden (Arama Motoru Sonuç Sayfaları) aldığı sırayı düşürür. Chrome tarayıcısını kullanan okuyucular sitenizi ziyaret etmeye çalıştıklarında büyük bir kırmızı uyarı görürler; bu nedenle herhangi bir enfeksiyonu hızlı bir şekilde temizlemek çok önemlidir.

Kötü amaçlı yazılımı nasıl kaldırabileceğiniz aşağıda açıklanmaktadır:

1: “Malware Scan” e tıklayın:

2: “Web Sitesini Tara” düğmesine tıklayın:

Kötü amaçlı yazılım tarayıcısı, web sitenizin her sayfasını ve sunucunuzdaki dosyaları taramaya başlar.

Sahnelerin arkasında, Sucuri sunucuları sitenizi web üzerinden tarıyor – bu şekilde, akıllı bir korsanın tarama işlemini atlatması inanılmaz derecede zor.

Eklenti ayrıca, tarama işleminde bozuk .htaccess dosyalarını kontrol etmede rol oynar.

Siteniz kötü amaçlı yazılım içermiyorsa, bunun gibi bir liste görürsünüz:

Herhangi bir enfeksiyon varsa, sorunu gidermek için bir açıklama ve talimatlar görürsünüz. Sucuri, ödeme yapan müşterilere “kötü amaçlı yazılım temizleme” hizmeti sunar – sağladıkları ekstra destek için ücretli bir hesaba geçmeye değer.

Çekirdek Dosya Bütünlüğünü Kontrol Edin

WordPress‘in çekirdek dosyaları sistemin kalbidir – eğer virüs kaparlarsa, gerçekten kötü bir haberdir. Sucuri, çekirdek dosyalarınıza eklenen kötü amaçlı kodları tespit edebilir.

“Gösterge Tablosu” sekmesine tıklayarak kontrol paneline geri dönün.

Çekirdek dosya durumu gösterge panosu ekranının üstünde görüntülenir:

Çekirdek dosyalarınız temizse, yeşil sekmeli bir mesaj göreceksiniz. Değilse, çekirdek dosyaları değiştirmeniz gerekecektir. 

Değiştirilen Dosyalar İçin Denetim Günlüğünü Kontrol Edin

Şimdiye kadar kötü amaçlı yazılım taraması yaptık ve çekirdek dosyaları değiştirdik. Ancak, bilgisayar korsanlarının sitenize zarar verebilecek başka yolları da var – eklentileri veya temaları bozabilir ve ayrıca sunucunuza yeni komut dosyaları ekleyebilirler. Bu komut dosyaları “arka kapılar” olarak işlev görür ve korsanlara gelecekte sunucunuza kolay erişim sağlar.

Saldırının yaklaşık zamanını biliyorsanız, meydana gelen değişikliklerin sıfırlanması daha kolaydır. Aksi takdirde, biraz daha uzun sürer – olsa da, çok uzun değil.

Denetim günlükleri aynı zamanda pano ekranında, Çekirdek Bütünlüğü bölümünün hemen altında görüntülenir:

IP Nasıl Bulunur?

Bu, en son değişikliklerin bir listesidir. Son 7-30 gün içinde değişen dosyalara dikkat edin. Bu dosyaları kendiniz değiştirmeyi hatırlamıyorsanız, bilgisayar korsanları tarafından bozulmuş olma ihtimali vardır.

Ayrıca yabancı IP adresleri arayın. 127.0.0.1, sunucunun kendi IP adresidir – bu IP ile ilgili herhangi bir değişiklik ana makineniz tarafından gerçekleştirilmiştir.

Ayrıca, kendi IP adresinizdeki değişiklikler de muhtemelen tamamdır.

Kendi IP adresinizi bilmiyorsanız, Google’ı arayarak bulabilirsiniz. Sadece “IP adresim nedir?” 

Bu adres zaman içinde değişebilir – ISS’niz size birkaç saatte bir veya daha sık olarak farklı bir IP adresi verebilir. Sabit bir IP adresiniz varsa, sabit kalacaktır.

WordPress Güvenlik için Şüpheli Hesapları Kontrol Edin

Siteniz saldırıya uğramışsa, korsanların bir kullanıcı hesabına erişme şansı yüksektir. Parolanızı çalmış olabilir veya yönetici ayrıcalıklarına sahip yeni bir hesap oluşturabilirler. Bu nedenle, ilk önce giriş URL’nizi değiştirmek her zaman tercih edilir.

Sucuri size en son giriş yapanların bir listesini gösterebilir – şüpheli bir etkinlik görürseniz, hesabı kaldırarak veya şifreyi değiştirerek düzeltebilirsiniz.

“Son Girişler” sekmesine tıklayın:

Eklentiyi yeni yüklediyseniz, yalnızca kurulumdan bu yana girişleri göreceksiniz. Bir hack şu anda devam ediyorsa, yeni bir giriş veya iki tane görebilirsiniz.

Gelecekte, Sucuri gelecekteki girişleri belirleyecek ve bu ekran daha kullanışlı olacaktır.

Olağandışı girişler görüyorsanız, hesaplarınızın tehlikeye girdiğinin kesin bir işaretidir.

Sitenizi Düzeltme

Hack’i belirledikten sonra, sitenizi bir yedekten geri yüklemelisiniz – eğer varsa. Aksi takdirde, kesmeyi el ile kaldırmak zorunda kalacaksınız.

Elle saldırıya uğramış bir siteyi elden onarmak çok zor olmasa da, kesinlikle size yedeklerin değerini öğretecektir!

Güvenlik eklentiniz çekirdek WordPress dosyalarındaki enfeksiyonları kaldırabilir – veritabanındaki bozulmaları elle onarmak zorundasınız. Eklenti arka kapı ve kötü amaçlı yazılımları bulabilir ve silebilir ve kötü amaçlı yazılım izleme sitelerine bulaşma temizlediğini söyleyebilir.

Şüpheli Kullanıcıları Kaldır

WordPress yönetici panelinden oluşturulan garip hesapları silin. Soldaki menüden “Kullanıcılar” bağlantısını tıklayın:

Bir kullanıcı hesabı listesi göreceksiniz:

Kötü hesabın üzerine gelin, birkaç link görünecektir:

“Sil” e tıklayın.

WordPress, bu kullanıcı tarafından oluşturulan içerikle ne yapmak istediğinizi size soracaktır. “Tüm içeriği sil” i seçin:

Hesabı silmek için “Onaylamayı Sil” e tıklayın.

Bozuk Dosyaları Geri Yükleme

Bunu listede gördüğünüz şüpheli hesaplar için yapın. 
Sucuri Panosuna geri dönün ve çekirdek dosya listesine bakın. Listedeki değiştirilmiş dosyaları kontrol et:

“Eylemler” açılır menüsüne gidin ve “Kaynağı geri yükle” yi seçin:

“Bu işlemin geri alınamayacağını biliyorum” yazan kutuyu işaretleyin. Ardından devam düğmesini tıklayın:

Sucuri, çekirdek dosyalarının resmi sürümünü indirecek ve bozuk yerel sürümleri değiştirecektir. Bu birkaç saniye sürecek.

Şüpheli Veritabanı Girişlerini Kaldır

WordPress içeriği veritabanında depolanır – buna kötü amaçlı bir bilgisayar korsanının sitenize eklediği içerik de dahildir. Sitenizi temizlemek küçük bir veritabanı ameliyatı gerektiriyor.

Çoğu durumda siteniz bir MySQL veritabanı veya MariaDB kullanır (ikisi de aynı arayüze sahiptir, bu nedenle hangisinin yüklü olduğu farketmez).

Veri Tabanı sunucunuzun metin tabanlı bir istemci aracı vardır; bu konuda bilginiz yoksa kullanımı biraz korkutucu olabilir. Çoğu barındırma şirketi, grafiksel bir veritabanı yönetim aracı olan “PHPMyAdmin” i sağlar.

Bunun için genellikle barındırma hesabı panelinizde, veritabanı yönetimi altında bir bağlantı bulabilirsiniz. Ayrıca oturum açmak için kullanmanız gereken kullanıcı adını ve şifreyi göreceksiniz.

PHPMyAdmin bağlantısını açtığınızda şöyle bir ekran göreceksiniz:

Giriş bilgilerinizi kullanın, ana panele ulaşacaksınız:

Solda, bir veritabanları listesi var. WordPress veritabanınız bunlar arasında olacak – genellikle “wordpress” olarak adlandırılıyor. Şimdi tıkladığınızda, WordPress’in kullandığı tüm tabloların bir listesini göreceksiniz:

Düzeltilemeyecek bir şeyi kırmadan önce hızlıca bir yedekleme yapalım. “Dışa Aktar” sekmesine tıklayın:

Formun altındaki “Özel” seçeneğine tıklayın:

Birçok yeni seçenek ortaya çıkıyor! Bu seçenekler, dışa aktarma komut dosyasını gereksinimlerinize göre ayarlamanızı sağlar. Yedeği kullanmak zorunda kalırsak hayatımızı kolaylaştırmak için bu seçeneklerden bazılarını kullanacağız.

“Çıktı” bölümüne doğru aşağı kaydırın ve sıkıştırmayı gzip olarak ayarlayın – bu dosyayı daha küçük yapar, bu nedenle indirmek veya geri yüklemek daha hızlı olur:

Yapmak istediğimiz bir sonraki şey veritabanına, yedeklemeyi aldığımız zaman eski verileri silmesini söylemektir – aksi halde yedekleme ve değiştirilen verilerin garip bir kombinasyonunu elde edersiniz ve iş çok daha kafa karıştırıcı ve karışık hale gelir.

Bunu veritabanı sunucusuna tabloları “bırakmasını” söyleyerek yaparız – başka bir deyişle bunları silmek için. Bu komutlar betiğin başında görünmelidir. Komut dosyasının geri kalanı tabloları yeniden oluşturur ve ardından yedekleme verilerini alır.

“Nesne oluşturma seçenekleri” bölümüne gidin ve “DROP TABLOSU Ekle” yazan kutuyu işaretleyin:

Ayarların geri kalanını olduğu gibi bırakın. “Git” e tıklayın:

PHPMyAdmin, SQL veritabanı dilinde bir metin dosyası oluşturacak ve tarayıcınız size ne yapmak istediğinizi soracaktır. Bilgisayarınızdaki güvenli bir yere indirin.

Veritabanınızı düzene sokarsanız, bu dosyayı içe aktarabilirsiniz ve veritabanını geri yükler.

Kötü Amaçlı Verileri Arama

Veritabanını düzenlemek biraz zor ve sitenize zarar vermek kolaydır. Yani herhangi bir şeyi değiştirmeden önce daima bir yedekleme yapmalısınız. Bu adımı atladıysanız, geri dönün ve şimdi yapın!

Sucuri’nin bulduğu verileri kullanacağız ve genel arama terimlerinin bir listesini ekleyeceğiz. Kötü amaçlı yazılım taraması sırasında Sucuri, bir enfeksiyon olduğunu belirten bilinen metin dizelerini arar. Bu dizelerin bazıları bozuk dosyalardan gelir ve bazıları veritabanındadır.

Yeni bir metin dosyasında Sucuri’nin bulgularının bir listesini yapın. Şüpheli dizeleri kopyalayın, tam listeyi değil.

Tarama sırasında bulduğunuz spam kelimelerini ve spam sitelerinin URL’lerini ekleyin.

Şimdi aşağıdaki ifadeleri ekleyin:

base64_decode

eval

preg_replace

gzinflate

str_replace

Bunlar, bilgisayar korsanları tarafından sıkça kullanılan PHP işlevleridir. Ancak bir eklentinin meşruiyet kurallarının bir bölümünü de oluşturabilirler. Bu nedenle, yalnızca gerçekten virüslü kayıtları silmemeye özen göstermeliyiz.

Bazen bir kaydın meşru olup olmadığını bilmek zor olabilir, bu yüzden sitenizin hala çalıştığından emin olmak için her silme işlemini denemelisiniz. Hiçbir şeyi silmeden önce değişiklikleri tek tek bir adımda yapın ve yedeklemeyi kaydedin.

Şimdi arama dizgelerinin bir listesi var, onları birer birer arayacağız.

İlk önce “ara” sekmesine gidin:

İlk arama dizenizi üst alana kopyalayın (aranacak sözcükler veya değerler):

Veritabanındaki her tabloyu seçin (“tümünü seç” seçeneğini tıklayabilirsiniz):

“Git” e basın, PHPMyAdmin her masayı arayarak bir eşleşme bulacaktır. Hiçbir kayıt bulamazsa, şunun gibi bir sayfa görürsünüz:

Bu Yazıda İlginizi Çekebilir!  Ramazanda Nasıl Beslenmeliyiz? Nelere Dikkat Etmeliyiz?

Aksi takdirde, aşağıdaki gibi bozuk dizeyle her tablo için eşleşme sayısı göreceksiniz:

Tabloyu açmak ve bozuk kayıtları görüntülemek için gözat bağlantısına tıklayın:

Bu noktada, her bir kaydı açmanız ve bunun bozulmuş ya da tamamen yararsız bir kötü niyetli kayıt olup olmadığına dair değerli bir kayıt olup olmadığını görmeniz gerekir. Örnekte, her iki kayıt da gönderilerdir.

Kayıtları silebilir (yararsızlarsa) veya kötü amaçlı kodu kaldırmak için düzenleyebilirsiniz.

Her satırda bir çift bağlantı vardır – düzenlenecek olan:

… Ve silinecek biri:

Bir düzenleme yapmadan önce düzenle bağlantısını tıklayın ve kayıt içeriğini okuyun. Yararlı bir içerik bulamıyorsanız, tamamen zararlı bir kayıt olabilir. Veya bir eklentiye ait bir kayıt olabilir.

Tablo adı size bir ipucu verecektir, ancak emin değilseniz, devam etmeden önce bir veritabanı yedeklemesi yapmanız gerekir.

İşe yaramaz görünen kayıtları silin ve sitenizi test edin. Hala çalışıyorsa, harika! Aksi takdirde, veritabanını silmeniz ve yedeğinizden geri yüklemeniz gerekir.

Bu aşamayı çok ezici bulursanız, yardım edecek birini bulmalısınız – tercihen ne aradıklarını bilen bir güvenlik uzmanı.

Parolaları Sıfırlama

Sucuri eklentisi, kullanıcı parolalarınızı sıfırlama özelliğine sahiptir – “Hack-Post” bölümünde bulunur:

Parolaları sıfırladığınızda, Securi her kullanıcı için yeni bir güvenli parola oluşturur. Her kullanıcının e-posta adresine bir kopya gönderir. Ve mevcut oturumunuzu sonlandıracak (kendi şifrenizi sıfırlarsanız).

WordPress‘ten e-posta alamıyorsanız, şifrenizi Sucuri kullanarak sıfırlamayın! Sunucunuzda yüklü bir posta servisiniz yoksa, WordPress e-posta gönderemez. Bunun yerine, kullanıcı profilindeki “Şifre Oluştur” seçeneğini kullanın.

Arka Kapıları Çıkar

Hacker’lar sitenizi hack ettikten sonra sıklıkla sunucunuza arka kapılar ekler – bunlar makinenize anında erişmelerini sağlayan kötü amaçlı komut dosyalarıdır.

Bazen bu arka kapılar WordPress sitenizden tamamen farklı bir dizinde bulunur. Bu yüzden, onları bulmak için tüm web kök dizin ağacınızı taramanız gerekir.

“Web kökü”, Apache’nin web içeriği sunmak için kullandığı dizindir – genellikle “public-html”, “web-data” veya benzeri bir şeydir. Web kök dizinizin tam yolunu barındırma panelinizde, muhtemelen dosya gezgininde bulabilmeniz gerekir.

Bazı barındırma şirketleri tarama işini sizin için kolaylaştırır – dizinlerinizi yönetici panelinden taramak için bir araç sağlarlar. HostGator müşterilerinin dosyalarını düzenli olarak tarar ve şüpheli bir şey bulursa bir e-posta gönderir. Bazen elle yapmak zorundasın. İşte yapmanız gerekenler:

Dosyalarınızı verimli bir şekilde taramak için SSH erişimine ihtiyacımız var. SSH, komut satırı arayüzünde oturum açmanıza ve Linux komutlarını doğrudan ana makinenizde çalıştırmanıza izin verir.

Komut satırı sadece grafiksel arayüzleri bilen insanlar için biraz korkutucu olabilir. Ama aslında oldukça basit – ve büyük esneklik ve güç sunuyor.

Çoğu barındırma şirketi, bazıları olmasa da, size SSH erişimi sağlar. Barındırma şirketiniz varsa, SSH kimlik bilgilerinizi kontrol panelinde bulabilirsiniz. Tam konum, ev sahibinize bağlıdır – çoğu şirket işleri kendi yollarına yapar, bu yüzden size tam olarak nereye bakacağınızı söyleyemeyiz. Bulamazsanız, yardım sistemlerini kullanın.

Bazı ana bilgisayarlar size “seri terminal” (SSH’ye benzer) verir, ancak sunucunuza erişmek için farklı bir teknoloji kullanır. Her iki durumda da, komut satırı arayüzü aynıdır.

SSH’ye erişmek için makinenizde bir SSH istemcisine ihtiyacınız var. Mac ve Linux makineleri yerleşik SSH istemcileriyle birlikte gelir. Windows kullanıyorsanız, PuTTY istemcisi iyi bir ücretsiz seçimdir.

Sunucunuzda kimlik bilgilerinizle oturum açın – bunlar genellikle C-Panel veya admin panelinizde görünür. Kullanıcı adınıza ve şifrenize ihtiyacınız olacak. Siz oradayken web kökünüze dikkat edin.

Mac ve Linux kullanıcıları, normal terminal penceresinden bir SSH oturumu başlatabilir. Sadece yaz:

ssh username@serveraddress.com

veya

ssh username@163.172.149.111 (IP adresini sunucunuzun IP adresi ile değiştirin).

PuTTY, daha fazla seçeneğiniz olduğu için biraz daha karmaşık.

Kullanıcı adınızı ve sunucu adresinizi “Ana Bilgisayar Adı (veya IP adresi)” başlıklı kutuya girin. Username@host-address.com biçimini kullanın – veya sunucunuzun IP adresini kullanın.

Şimdi bağlantı düğmesine basarsanız, PuTTY sunucunuza bağlanır – ancak bir dakika kullanılmadığında bağlantı kesilir. Bir süre herhangi bir etkinlik alamazlarsa çoğu SSH sunucusu otomatik olarak bağlantıyı keser. Bu çok rahatsız edici olabilir – PuTTY’nin bir çözümü var. Sol taraftaki “Bağlantı” sekmesine tıklayın:

Sağda bir kutu var. Bu kutuya 10 yazın ve PuTTY her on saniyede bir sunucuya sinyal gönderir. Sinyal, sunucuya hala hayatta olduğunuzu ve SSH oturumuna devam etmek istediğinizi söyleyen boş bir karakterdir.

Şimdi ekranın altındaki “Aç” düğmesine tıkladığınızda yeni bir terminal penceresi göreceksiniz. Sizden istendiğinde parolanızı yazmanız yeterlidir ve gitmeniz iyi olur.

Tamam, yani sunucunuza SSH ile giriş yapmayı başardınız. Artık komutları klavyeniz sunucu makineye takılıymış gibi çalıştırabilirsiniz!

Grep adında standart bir Linux programı kullanacağız – dosyalarda dize düzenleri arar.

Web üzerinde milyonlarca farklı arka kapı komut dosyası vardır ve hangilerinin sitenizi etkilediğini tahmin etmek imkansızdır. Fakat çoğunu tespit edecek bazı ortak “parmak izleri” var.

Bunlar, bilgisayar korsanlarının kullanma eğiliminde olan PHP işlevleridir. Ancak, meşru kod bazen bu işlevleri içerir. Bu nedenle, yararlı bir amaca hizmet eden dosyaları silmemeniz için dikkatli olmanız gerekir.

Şüpheli PHP fonksiyonlarının bir listesi:

gzuncompress

base64

create_function

str_rot13

sistem   

eval

exec

stripslashes

ileri sürmek

preg_replace (/ e / ile)

move_uploaded_file

İşte bu dizeleri içeren dosyaları, değiştirilme tarihleriyle birlikte bulabilecekleri bir komut:

grep -rl “sözcük” / yol / dizin / web kök / | xargs stat -c% z ‘:’% n

“Kelime” yi yukarıdaki listedeki şüpheli işlevlerden biriyle değiştirin.

Seçenekler bayrakları (-rl), grep’e dosyanın adını çıkarmasını söyler – bu, xargs’a “piped” tir. Xargs, yeni komutlar oluşturan ve uygulayan özel bir programdır – bu durumda, onu grep bulunan her dosya için “stat” komutları oluşturmak için kullanıyoruz. “Stat” komutu bir dosya hakkında, örneğin oluşturulduğu veya güncellendiği saat gibi bilgileri getirir.

Bazı seçenekleri stat’a iletiyoruz (-c% z ‘:’% n). Bu oldukça arcane görünümlü dize gerçekten oldukça basittir – stat’e değiştirilmiş tarihi, ardından iki nokta ve dosya adını yazmasını söyler.

Bu, şöyle bir çıktı üretecektir:

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/js/wp-api.min.js

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/js/tinymce/tinymce.min.js

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/js/customize-preview.js

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/js/thickbox/thickbox.js

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/js/twemoji.js

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/customize/class-wp-customize-nav-menu-setting.php

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-includes/customize/class-wp-customize-nav-menu-auto-add-control.php

2017-05-26 15:15:53.937914632 +0000: /wordpress_experiment/wordpress/wp-signup.php

Her satır, değiştirilen tarihi ve ardından dosyanın tam yolunu listeler.

Peki, bu liste ne işe yarıyor?

Şüpheli bir işlev içeren dosyaların eksiksiz bir listesi – masum bir eklenti olabilir ya da kötü bir arka kapı olabilir. Değiştirilen tarih gerçek ipucudur.

En son üç ay önce meşru bir eklenti yüklediyseniz, daha yeni bir dosya kesinlikle balıktır. Hack ile aynı zamanda değiştirilmişse, o zaman neredeyse kesinlikle bir arka kapı.

Yaygın “şüpheli işlevler” listesinde çalışarak arka kapıların çoğunu bulabilmelisiniz. Ancak bunları kaldırmak zor olabilir.

Bazen bir arka kapı yararlı bir dosyaya eklenir – örneğin bir şablon veya eklenti dosyası. Bu durumda, şablonu veya eklentiyi silerek kırın. Dosyayı bir düzenleyicide açmanız ve hatalı kodu kaldırmanız gerekir.

Özellikle onlarca, hatta yüzlerce virüslü dosya varsa, bu oldukça göz korkutucu bir görev olabilir. Virüs bulaşmış kodu silmek ve değiştirmek (temaları veya eklentileri yeniden yükleyerek) genellikle daha kolaydır. Bu aşamada kendinizi kaybolmuş ve şaşırmış bulursanız, bir profesyonel aramanın zamanı gelmiş olabilir.

WordPress Güvenlik Zayıflıkları

Artık bozuk kodu ve verileri düzelttiniz, sitenizi gerçekten temiz olduğundan emin olmak için test etme zamanı. Tamamen temizlemiş olsanız bile, düzeltmeniz gereken wordpress güvenlik delikleri var. Bilgisayar korsanları sitenizi geçmişte kullanabildiler ve tekrar yapabilirler.

ReScan.Pro’ya gidin ve sitenizi tarayın. Site sahipliğinizi onaylamak için talimatlarını izleyin ve tarama sonuçlarını ayrıntılı olarak inceleyin.

Güvenlik zayıflıklarının oldukça kapsamlı bir listesini göreceksiniz – ve bunlar muhtemelen sitenizin ilk başta nasıl saldırıya uğradığıdır. Sitenizi güvenli olarak düşünmeden önce bunları düzeltmemiz gerekir.

İlk adım, WordPress’i en son sürüme güncellemektir. Yüklü eklentileri güncellediğinizden emin olun – güncellemeler sorun çıkarsa, şimdilik devre dışı bırakın. Daha sonraki bir bölümde, eklentiler arasındaki uyuşmazlıkların nasıl çözüleceğine bakacağız.

ReScan, barındırma ortamınızla ilgili bazı kırmızı bayraklara neden olabilir. Belki Apache sunucusunun eski bir sürümünü kullanıyorsunuzdur veya PHP kurulumunuz güvensizdir. Bu sorunları çözmek için barındırma şirketinizle konuşmanız gerekebilir.

WP-Yapılandırma

WordPress’i yükselttikten sonra, wp-config.php dosyanızdaki ayarları değiştirmeniz gerekir. Bu dosya önemli güvenlik verileriyle doludur ve saldırganınızın mevcut ayarlarınızı bilmesi yüksek bir risk taşır.

Veritabanı şifresini değiştirmek biraz daha fazla işe yarar. Öncelikle, veritabanınızdaki ayarları değiştirmeniz gerekir. Sonra config.php dosyasındaki kullanıcı kimlik bilgilerini değiştirmeniz gerekir.

PHPMyAdmin’i veritabanına erişmek için kullanacağız. Bir veritabanındaki kullanıcıları “kullanıcı hesabı” sekmesine tıklayarak listeleyebilirsiniz (bunun yerine “kullanıcılar” diyebilir):

Birkaç kullanıcı var – birçoğu MYSQL ilk kez kurulduğunda oluşturulur:

Wp-config.php dosyasında listelenen kullanıcı hesabını arayın – bu, WordPress’in kullandığı hesaptır:

“Ayrıcalıkları Düzenle” yazan bağlantıya tıklayın (WordPress kullanıcısının yanında):

“Şifre Değiştir” yazan düğmeye tıklayın:

Sayfayı “Yeni Parola” bölümüne gidin. Yeni bir şifre girin (tahmin edilmesi zor bir şifre kullanın). Sayfayı göndermeden önce kopyalayın:

Hazır olduğunuzda, “Git” düğmesine basın ve PHPMyAdmin şifreyi değiştirmek için SQL’i çalıştıracak.

Bu noktada, WordPress veritabanına erişemediğinden siteniz bozuk görünecek. Ana sayfanızı yeniden yüklerseniz, şöyle bir hata mesajı görürsünüz:

Çünkü hala eski şifreyi kullanıyor. Bu hatayı wp-config.php dosyasındaki parolayı değiştirerek düzeltebiliriz .

Şimdi wp-config.php dosyasına geri dönün ve parola satırını şuradan değiştirin:

define (‘DB_PASSWORD’, ‘old_password’);

için

define (‘DB_PASSWORD’, ‘NEW_PASSWORD_HERE’);

İşte bir örnek:

Ana sayfanızı tarayıcınıza yeniden yüklediğinizde, hata mesajı kaybolur.

Sitenizi Güçlendirme

Sucuri sitenizi güçlendirmek için çeşitli seçeneklere sahiptir (kırılmasını zorlaştırır). Bunların çoğu elle yapabileceğiniz görevlerdir, ancak bunu yapmak için bir eklenti edinmek daha kolaydır – ve hata yapma olasılığı daha düşüktür!

Sitenizi güçlendirmek için Sucuri Security eklenti arayüzündeki “sertleştirme” sekmesine gitmeniz gerekir. 

Web Sitesi Uygulaması Güvenlik Duvarı

Her şeyden önce, bir şeyi açıklığa kavuşturalım – Sucuri eklentisi ücretsizken, güvenlik duvarı ücretli bir hizmettir. Sucuri sunucularını siteniz ve internetin geri kalanı arasına yerleştirir. Her istek, sitenize ulaşmadan önce makinelerinden geçmek zorundadır.

Sucuri’nin güvenlik duvarı, yaygın ve ortaya çıkan saldırı modellerini tanımak için sürekli güncellenir. Trafiği algılar ve reddederler, böylece sunucunuza asla ulaşmaz. Bu koruma derecesi, gelecekte sitenizi kesmeyi çok zorlaştırır.

WordPress Sürümünü Doğrulayın

Eski bir WordPress sürümünü kullanmak için çok az meşru sebep var – ve bu nedenler sadece mazeret! WordPress yeni özellikler eklemek ve güvenlik açıklarını ortadan kaldırmak için sürekli güncellenmektedir. Eski bir sürümü tutmak, bilgisayar korsanlarının davetidir.

Sucuri sürümünüzü kontrol eder ve sitenizin güncel olmadığını tespit ederse bir güncelleme yüklemenizi önerir.

PHP Sürümünü Doğrula

Sucuri, sunucunuzda çalışan PHP sürümünü kontrol edecek ve güncel olmadığında sizi uyaracaktır.

PHP, WordPress’in temel aldığı programlama dilidir. Bir çalışma zamanı ortamı içerir ve diğer herhangi bir yazılım gibi, saldırıya uğrayabilir. PHP’nin yeni sürümleri, güvenlik açıklarını düzeltmek ve güvensiz kod yazmayı zorlaştırmak için yamalıdır.

PHP’nin en son sürümüne güncelleme yapmak daha iyi performansa yol açar ve bazı yeni eklentiler PHP’nin eski sürümlerinde çalışmaz. Bu yüzden yükseltme kesinlikle iyi bir şey.

Ne yazık ki, bazı barındırma şirketleri PHP’nin yeni sürümlerini benimsemekte yavaştır. Web siteleri telgrafla teslim edildiğinde muhtemelen eski güzel günler için çok uzunlar!

Ana makineye sahip olmadığınızdan, PHP’yi güncellemeye zorlayamazsınız. Ama şikayet edebilirsin. Ve bu işe yaramazsa, siteniz için modern ve güvenli bir ortam sunan birçok hosting şirketi var.

WordPress Sürümünü Kaldır

WordPress’in hizmet verdiği her sayfaya bir jeneratör etiketi eklediğini biliyor muydunuz? Bu etiket, genel dokümanda görünmez, çünkü HTML belgesinin “kafa” bölümünde gizlenir. Ancak bu bilgisayar korsanları için potansiyel bir ipucudur – hangi WordPress sürümünü kullandığınızı bilirlerse, saldırılarını belirli zayıf yönleri hedeflemek için daraltabilirler.

Sucuri, Sürüm numarasının yayınlanıp yayınlanmadığını görmek için sitenizi kontrol eder. Öyleyse, bir düğmeye tıklayarak kaldırabilirsiniz.

Yüklenen Dizini Koru

Uploads dizini medya dosyaları içindir – resimler, videolar, ses klipleri vb. PHP dosyalarını saklamak anlamına gelmez. Hackerlar bu dizini genellikle güvenli olmayan eklentilerle hedefler – ve bu oldukça tehlikelidir. Onlara kötü niyetli kodları sunucunuza yükleme ve çalıştırma yeteneği verir.

Sucuri, PHP kodunun yükleme dizininde çalışmasını engelleyebilir – ancak bu yaklaşımla ilgili küçük bir sorun var. Kötü tasarlanmış bazı eklentiler PHP scriptlerini çalıştırmak için upload dizinini kullanır! Dosyaları dizine yerleştirir ve normal işlemlerinin bir parçası olarak çalıştırırlar.

Uploads dizinini kesinlikle güçlendirmelisiniz, ancak eklentilerinizden birinin veya birkaçının çalışmama riski vardır. Bu durumda zor bir seçim ile karşı karşıya kalacaksınız. Eklentiyi kaldırıyor musunuz, yoksa tutup wordpress güvenlik riskini kabul ediyor musunuz?

Eklenti kesinlikle gerekli değilse, en iyi seçenek silmek. Devre dışı bırakın ve sunucunuzdan kaldırın.

Eklentiye ihtiyacınız olursa, daha güvenli bir değiştirme bulmanızı şiddetle tavsiye ederiz.

Wp İçerik Erişimini Kısıtla

Wp-content dizini, WordPress’in her eklenti ve tema dahil tüm özel dosyalarınızı yerleştirdiği yerdir. Yüklenenler klasörü de dizinin içinde bulunur.

Temalar ve eklentiler PHP dosyalarından oluşur – WordPress onları yükleyebilmeli ve uygulayabilmelidir. Ancak harici kullanıcılar bunlara erişememelidir.

Kötü kodlanmış temalar veya eklentiler, dosyalarını doğrudan wp-içerik dizini üzerinden yükleyerek ve onlara beklenmeyen bir veri göndererek (bir GET veya POST isteği yoluyla) kullanılabilir.

Web sunucunuza bu dosyalara erişimi engellemesi söylenebilir, böylece kullanıcılara doğrudan erişemezler. WordPress hala onları yükleyebilecek, ancak bilgisayar korsanları kaldıramaz.

Bazen bu seçenek, wp-content klasöründeki komut dosyaları ile etkileşimde bulunmak için HTTP kullanan eklentiler için sorunlara neden olabilir. Bu kesinlikle kötü bir tasarım uygulamasıdır, ancak sitenizin işlevselliğinin koduna güvendiğiniz zaman bu konuda yapabileceğiniz çok az şey vardır.

Bu yüzden, bunu yapmadan önce bu seçeneği test etmelisiniz. Bir şey bozulursa, wp-content dizininin içindeki .htaccess dosyasını yeniden adlandırarak düzeltebilirsiniz.

Wp-Access’i Kısıtla

wp-include, WordPress çekirdek dosyalarının bir parçasıdır. WordPress’in çalışması için gereken çok sayıda temel dosya içerir.

Bu dosyalardan hiçbirine web sunucusu üzerinden erişilmemelidir – bu şekilde tasarlanmamıştır. Elbette, Apache web sunucunuz bunu bilmiyor. Sucuri Security eklentisi, bilgisayar korsanlarını uzak tutmak için wp-include dizinini güvence altına alabilir.

Güvenlik Tuşları

Güvenlik anahtarlarından zaten bahsettik – bunlar önemli bir şifreleme wordpress güvenlik aracı. Sucuri, çizilmelerini sağlamak için anahtarlarınızı ve tuzlarınızı kontrol eder. Kötü değerleri güçlü olanlarla değiştirebilir.

Bilgi Sızıntısı

WordPress sürüm numaranızı yayınlamanın kötü bir fikir olduğunu zaten söylemiştik. WordPress’i ilk kez yüklediğinizde, bir “readme.html” dosyası oluşturulur – bu düz bir HTML dosyasıdır, bu nedenle doğrudan kullanılamaz. Sorun, siteniz hakkında çok fazla bilgi vermesidir.

Beş dakikalık kurulum süreci için talimatlarla masum görünen hoş bir mesaj. Ne yazık ki, WordPress sürüm numarasını da içerir.

Sucuri bu dosyayı kontrol eder ve sizin için silebilir.

Varsayılan Yönetici Hesabı

Bilgisayar korsanlarının sitenize küçük bir wordpress güvenlik deliğinden erişmesine izin veren birçok istismar vardır. 

Sitenize “ön kapıdan” giriş yapmak için bir korsanın iki şeye ihtiyacı vardır – bir kullanıcı adı ve bir şifre. Milyonlarca olası kullanıcı adı ve milyonlarca olası şifre vardır. Eğer bilgisayar korsanı kullanıcı adını bilirse, zorla girmek milyonlarca kez daha kolaylaştı.

WordPress’i yüklediğinizde standart bir “admin” kullanıcı hesabı oluşturur. Bu hesabı kullanmaya devam etmek iyi bir uygulama değildir – farklı bir adla yeni bir yönetici hesabı oluşturmanız gerekir.

Sucuri eklentisi bunu sizin için yapabilir.

Eklenti ve Tema Düzenleyici

WordPress, temanız veya eklenti dosyalarınızdaki kodu doğrudan düzenlemenizi sağlayan bir yönetici alanı aracına sahiptir. Kulağa geldiği kadar kullanışlı değil – oldukça basit bir metin kutusu ve geliştiriciler daha çok meraklısı editörü kullanmayı seviyor.

Dahası, bilgisayar korsanlarının yönetici panelinize eriştikten sonra temalarınızı ve eklentilerinizi bozmasını kolaylaştırır.

Çok kullanışlı bir özellik olmadığından devre dışı bırakmak mantıklı geliyor. Sucuri bunu senin için yapacak.

Veritabanı Öneki Tablosu 

Varsayılan olarak, WordPress “wp_” ile başlayan adları olan bir grup veritabanı tablosu oluşturur. Bu ayarı wp-config.php dosyasında değiştirebilirsiniz, ancak çok az kişi var. Sonuç olarak, bilgisayar korsanlarının veritabanı adlarını tahmin etmeleri çok kolaydır.

Bir bilgisayar korsanı veritabanınıza erişim sağlarsa (bir SQL enjeksiyonu ile) verilerinizi değiştirebilir – silebilir, çalabilir veya değiştirebilir. Tablo isimlerini bilmiyorsanız bunu yapmak zor!

Tablo öneklerini değiştirmek mutlak bir savunma değildir. Bir veritabanındaki tabloların tam listesini ortaya çıkaracak veya hepsini tek bir satırda silecek SQL sorguları vardır. Ancak, özel öneklerin kullanılması, bilgisayar korsanının yoluna fazladan bir engel oluşturur.

Tamam, şimdi farklı seçeneklerin ne anlama geldiğini biliyorsunuz. Listeyi aşağı doğru kaydırın ve hangilerinin güvenli (yeşil) ve hangilerinin üzerinde hareket etmeniz gerektiğini (kırmızı) not edin. Her kırmızı giriş için sadece “sertleştir” düğmesine tıklayın ve diğer talimatları izleyin.

Bu Yazıda İlginizi Çekebilir!  En İyi 15 WordPress Temaları

Bir Yedekleme Rejimi Başlat

Eh, bu özellikle de mazoşistler için fena değildi! Çok daha kolay olabilirdi. Sitenizi bir yedekten geri yüklemek sadece birkaç dakika sürer,

Taktığınız güvenlik eklentisinin özelliklerini öğrenmek için biraz zaman ayırın ve uygun bir şekilde korunduğunuzdan emin olun.

Son adım, yedekleme planınızı gözden geçirmektir – veya ihmal ediyorsanız bir tanesini başlatmaktır! Çoğu barındırma şirketi yedekleme hizmeti sunar – bazıları ücretsizdir, diğerleri para ister. Ödemeye değer!

Ayrıca sitenizi ve veritabanı kayıtlarınızı ev PC’nize indirmelisiniz. Böylece, diğerleri başarısız olursa, her şeyini kaybetmezsin.

Umarım, bu adımları takip etmek ve iyileşmek mümkündü. Hepsi saldırganın ne kadar sadist olduğuna bağlı.

Eğer bir fidye yazılımı saldırısının kurbanıysanız, bilgisayar korsanına ödemeyin! Gelecekteki istismarlar için sizi zayıf bir hedef olarak işaretler ve saldırgan size hiç yardımcı olmayabilir. Sitenizi geri yüklerlerse, büyük olasılıkla arka kapılarla dolu olacaklar, böylece geri gelip sizi tekrar zorlayacaklar.

Diğerleri başarısız olursa, içeriğinizi Archive.org veya Google’ın önbelleğinden kurtarabilirsiniz. WordPress’i yeniden yüklemeniz ve eski içeriğinizi kesip yapıştırmanız gerekir – zaman alıcı ve acı verici. Ama işini sonsuza dek kaybetmekten iyidir.

Şimdi iyileştiniz, sitenizi daha güvenli hale getirmek için neler yapabileceğinize bakalım.

WordPress Güvenlik için Sitenizi Statik Yapın

WordPress güvenlik risklerinin çoğu, WordPress’in karmaşık bir sunucu yığında çalışan dinamik bir uygulama olması nedeniyle oluşur. PHP betiklerinin gücü çok fazladır – veritabanlarına erişebilir, veri okuyabilir ve değiştirebilirler. Dosya sistemini okuyabilir ve değiştirebilirler. Ve ana makinede başka (muhtemelen kötülük) süreçleri çalıştırabilirler.

Oldukça sert bir çözüm, WordPress sitenizi statik dosyalara dönüştürmek ve onları Amazon S3 gibi basit bir web sunucusunda barındırmaktır.

Amazon S3 dinamik özelliklere sahip değil. Komut dosyası yok, dil zamanı yok – yapabileceği tek şey statik içeriğe hizmet etmek.

Statik içeriğin kırılması imkansızdır.

Tabii ki, sitenizi el ile yeniden inşa etmek son derece zaman alıcıdır. Ancak işlemi otomatikleştirmek için kullanabileceğiniz basit araçlar var.

Örneğin, sitenizin tüm içeriğini indirmek için httrack adlı bir programı kullanabilirsiniz. Her sayfayı statik dosyalar (HTML, CSS, medya, JavaScript) olarak getirecektir.

İçeriği dışa aktarmak için Simply Static gibi bir WordPress eklentisi kullanabilirsiniz. Kıvrılma veya yazma gibi düşük seviyeli aletler bile yararlı olabilir.

Statik dosyalarınızı aldıktan sonra, bunları S3’e veya benzer bir barındırma hizmetine yükleyebilirsiniz. Ardından, alan adınızın DNS sunucularını yeni ana bilgisayarın ad sunucularına işaret edecek şekilde yeniden yönlendirin – Amazon için bu Route 53 DNS servisi olacaktır.

Elbette, sitenizi dışa aktarmak, sitenizin yorum yapma ve e-ticaret gibi tüm dinamik özelliklerini kaybetmek anlamına gelir.

Dinamik olarak veritabanlarından veya web servislerinden içerik üreten eklentiler güncellenmeyi durduracak – içerikleri anlık görüntüsünü aldığınız anda donmuş kalacaktır.

Disqus gibi JavaScript tabanlı bir servisi kullanarak yorum ekleyebilirsiniz.

Elbette, WordPress’in bu kadar popüler olmasının ana nedeni, yeni yazılar ve sayfalar eklemeyi ya da temanızı değiştirerek tüm sitenin görünümünü ve hissini değiştirmeyi kolaylaştırmasıdır.

HTML dosyaları ile bunu yapamazsınız. Yeni içerik yayınlamak, yeni bir HTML dosyası oluşturmak ve eski dosyaları ona bağlamak için düzenlemek anlamına gelir.

Görünüm ve dokunuşu değiştirmek, her HTML dosyasını ve CSS dosyalarınızı da düzenlemek anlamına gelir. Bu çok iş! Neyse ki, bir geçici çözüm var.

WordPress kurulumunuzu gizli bir adreste (orijinal sunucunuzun IP adresi gibi) barındırmaya devam edebilirsiniz. Böylece, yine de WordPress’in temalarından ve içerik yönetimi yeteneklerinden yararlanabilirsiniz.

Ancak sitenizi her değiştirdiğinizde dışa aktarmanız gerekir. Bu çok yorucu geliyorsa, işlem otomatikleştirilebilir.

Bu tip kurulum ile her iki dünyanın da en iyisini elde edersiniz. Geriye doğru büyük bir adım gibi görünse de, sitenizi statik dosyalara dönüştürmek sitenizi barındırmanın en güvenli yoludur.

Sadece sayfalar güvenli değil, aynı zamanda inanılmaz hızlı. Hızlı siteler kullanıcıları daha mutlu eder, dönüşümleri iyileştirir ve sıralamalarınıza yardımcı olur.

Bu makalede ele alınacak birçok fazla şey olmasına rağmen, bu sizin için doğru çözüm olabilir. Dinamik eklentiler ve etkileşim olmadan (yorumların ötesinde) olmadan başarabilirseniz, statik bir siteye geçiş yapmalısınız.

Yani, eğer dinamik içeriğe güveniyorsanız, o zaman bir seçenek değil. Bu durumda, sitenizin güvenliğini güçlendirmeniz gerekir.

Basit WordPress Güvenlik Adımları

Tabii ki, sitenizi statik HTML’ye düşürmek herkes için değil. Neyse ki, sitenizi daha güvenli hale getirmek mümkündür. Sitenizin güvenliğini artırmak için yapabileceğiniz birçok küçük (ve büyük) değişiklik vardır. En basitinden başlayalım.

Sırf bu adımlar basit olduğu için etkili olmadıklarını düşünmeyin. Unutma, bilgisayar korsanlarının çoğunluğu fırsatçı – sana karşı kişisel bir kinleri yok. Sadece kolay bir hedefe saldırmaya hazırlar.

Kendinizi daha az kolay bir hedef haline getirebilirseniz, maruz kalmanızı önemli ölçüde azaltabilirsiniz.

WordPress güvenlik çok katmanlı bir disiplindir. Çarpıcı bir barbar ordusuna karşı savunmak için bir kale inşa etmeye oldukça benzer. Birden fazla duvar inşa ediyor ve kuleleri izliyorsunuz. Çukurları sivri uçlarla dolduruyorsun. Başınızı düşürmek için kaynar yağ hazırlarsınız.

Onları durdurmak için küçük bir duvara güvenmiyorsunuz.

Bilgisayarınızı Koruyun

Güvenlik evde başlar.

PC’niz bilgisayar korsanları için geçerli bir hedeftir. Makinenizle ağ arasında geçen hassas verilerin miktarını göz önünde bulundurursanız, sitenizi hacklemek en az endişeniz olabilir.

Kaç profesyonelin yetersiz koruma sağlaması kesinlikle şok edici. Ama bu her zaman onların suçu değil. Bazen, bir PC önceden yüklenmiş malware ile satılmaktadır.

Şimdi, böyle şeylerin arka sokaklarda saklı gölgeli bilgisayar dükkanlarında olmasını bekleyebilirsiniz. Ancak büyük şirketlerde de olabilir. Lenovo, istemeden Superfish adında özellikle tehlikeli bir malware içeren bir dizi dizüstü bilgisayarla birlikte geldiğinde sıcak suya girdi.

Görünüşe göre Superfish, satın alabileceğiniz şeylere bağlantılar içeren web sayfalarını faydalı bir şekilde “geliştiren” başka bir “kullanışlı” tarayıcı eklentisiydi. Yüz değerinde, sadece sinir bozucu oldu. Fakat asıl sorun, Superfish’in bu başarıyı nasıl başardığıyla ilgilidir.

Görüyorsunuz, birçok web sitesi “yalnızca https” e kaydırıldığında, Superfish içeriği okuyamadı. İçerik olmadan, hangi reklamların gösterileceği hakkında hiçbir fikri yoktu.

HTTPS verileri yalnızca gönderen ve alıcının içeriği okuyabileceği şekilde şifreler. Superfish’in çözümü, kendilerini PC’nize sahte sertifika yetkilisi olarak yüklemekti. Sonra ziyaret ettiğiniz herhangi bir site için sahte güvenlik anahtarları oluşturabilir – veriler hala şifrelenmiş olacak, ancak Superfish okuyabilecekti.

Aslında, kullanıcılarına karşı ortada bir saldırı gerçekleştirdiler – sadece birkaç ufak tefek reklam gösterebilsinlerdi.

Bu oldukça skandal olmasına rağmen, fazladan birkaç reklam hiç kimseye zarar vermedi. 

Gördüğünüz gibi, saldırganların orada milyonlarca Superfish virüslü bilgisayar olduğunu keşfetmeleri uzun sürmedi. Her makine sahte sertifika yetkilisine güvendi.

Ve bu otorite için özel anahtarlar Superfish yazılımına gömüldü – yazılımın her kopyası aynı özel şifreleme anahtarını kullandı.

Bu, dünyadaki güvenli web sitelerinin kullanıcılarına karşı orta saldırıda bulunmak isteyenlere büyük bir arka kapı sundu.

Hacker, Superfish uygulamasında kayıtlı olan aynı anahtarı kullanır ve Superfish’in sahte sertifika yetkilisi onlar için kefil olur. Bilgisayar korsanları, kullanıcılar herhangi bir güvenli siteye giriş yaptığında şifreli mesajlar gönderip alabilir.

Bu arada, bankalar ve e-ticaret siteleri. Birdenbire, güvenli ağ hiç güvenli değildi – Superfish sayesinde.

En etkili zararlı yazılımlardan bazıları da en ilkel olanıdır. Keylogger’lar yazdığınız her şeyi kaydeder ve uzak bir makineye yükler. Bilgisayar korsanları daha sonra şifrelerinizi, kredi kartı numaralarınızı ve diğer güvenli verilerinizi okumak için desenler arar.

Ev bilgisayarlarındaki kötü amaçlı yazılımlar, web sitelerine sızmak için kullanılmıştır. Bilgisayar korsanları ve suçluların çalınan verilerle uğraştığı yeraltı pazarları var. Web sitesi yöneticisi kimlik bilgilerine talep var.

Kendinizi bu tehditlere karşı korumak çok zor değil. Virüsten koruma yazılımı kullanın. Güvenlik duvarınızın aktif olduğundan emin olun. “Kapat” düğmesine basmak yerine güvenlik uyarılarını okuyun. Kötü amaçlı yazılım uyarısı alırsanız siteleri ziyaret etmeyin. Asla şüpheli dosyaları indirmeyin ve çalıştırmayın.

Şifre Dizüstü Bilgisayarınızı Koruyun

Her gün binlerce dizüstü bilgisayar çalınır. Bu senin de başına gelebilir. Kullanıcı hesabınız şifre korumalı değilse, tüm verileriniz bir suçlunun eline geçer.

Çoğu modern web tarayıcısı, şifrelerinizi sizin için saklamayı önerir. Çoğu siteye (siteniz dahil) giriş yapmak tek adımlı bir işlemdir ve şifreyi hatırlamanız gerekmez.

Birisi makinenizi çalarsa, bilgisayarınızı kilitleyemediğiniz sürece çevrimiçi hesaplarınıza kolayca giriş yapabilir.

Parola koruması mutlak bir garanti değil – bundan çok uzak. Genellikle, verileriniz sabit diskte şifrelenmemiş olarak depolanır ve motivasyonu olmayan bir suçlu kolayca erişebilir.

Belki de dizüstü bilgisayarı çalan adam verilere erişme yeteneğinden ve kararlılığından yoksundur. Ancak çalınan laptopları satın alan insanlar, değerli verilerin bir madeni olduğunu fark ediyorlar.

Tüm kişisel verilerinizi soyabilir, satabilir ya da kullanabilir ve daha sonra diski yeniden biçimlendirebilir ve bilgisayarı başka birine satabilirler.

Tam disk şifreleme, sabit diskteki her şeyin şifreli olduğu anlamına gelir. Şifreniz olmadan, tamamen okunamıyor.

Bir suçlunun çalınan makinenizi satmasını engellemez, ancak en azından banka hesabınızı boşaltamaz veya sitenizi hackleyemezler.

WordPress Güvenlik için HTTPS Kullanın

HTTPS, sitenizin yönetici kimlik bilgileri gibi, önemli bilgileri gizlemek için tasarlanmıştır. Bu koruma derecesi olmadan, kullanıcı adınız ve şifreniz web üzerinden düz metin olarak gönderilir. Bu trafiğe müdahale etmek inanılmaz derecede kolay.

Geçmişte, SSL ya da TLS sertifikası almak pahalıydı. Bugün, onları Let’s Encrypt’tan ücretsiz alabilirsiniz. HTTPS’yi ayarlamak, bir eklenti yüklemek ve birkaç talimatı uygulamak kadar kolaydır .

Yani sitenizde HTTPS kullanmamak için hiçbir bahane yok.

Güçlü Yönetici Kimlik Bilgileri Kullanma

Çok fazla insan şifreleri tahmin etmek için kolay kullanır. “123456” dünyanın en yaygın anahtar sözcüğüdür. “Şifre” en yaygın 8. isimdir.

Böyle bir şifre kullanırsanız, saldırgan birkaç dakika içinde sitenize girebilir. Yönetici şifrenizin, taşıyıcıya siteniz üzerinde tam kontrol sağladığını unutmayın.

Parolaları tahmin etmek imkansız olmalı, hatırlaması kolay olmalıdır. İkisi arasındaki dengeyi yakalamak zor olabilir.

Parolanızı bilgisayarınızdaki bir dosyaya veya telefonunuzda bir not olarak yazmak kötü bir fikirdir – telefonunuz çalındığında veya saldırıya uğradığında, sitenizin anahtarlarını henüz verdiniz.

WordPress’i yüklediğinizde, size değiştirilemez bir şifre vermeye çalışacaktır. Buradaki sorun, bu dizeleri not etmeden hatırlamak neredeyse imkansızdır.

Elbette, tarayıcınızın sizin için saklamasına her zaman izin verebilirsiniz. Yabancıların bilgisayarınızı kullanmasına izin vermediğiniz ve tam disk şifreleme ve bir şifre kullandığınız sürece, oldukça güvenli bir seçenek.

Alternatif olarak, LastPass gibi bir servis kullanabilirsiniz. LastPass sizin için şifreleri oluşturur ve hatırlar. Ana şifrenizi hala ezberlemeniz gerekir, ancak tek bir şifreyi hatırlamak birkaç yüzden daha kolaydır.

Yönetici Kullanıcı Adınızı Değiştirme

WordPress’i yüklediğinizde, yönetici yetkilerine sahip yeni bir kullanıcı hesabı oluşturur. “Admin” kullanıcı adını önerecektir – ve çoğu kişi bunu kabul edecektir.

Ortak bir şifre kullanmak, bilgisayar korsanlarının sisteminize girmesini kolaylaştırır. Bir kullanıcı adı ve şifre tahmin etmek yerine sadece bir şifre tahmin etmeleri gerekir. Binlerce kat daha kolay.

Basitçe farklı bir kullanıcı adı kullanmak, başarılı bir saldırı olasılığını azaltacaktır.

Sadece yeni bir kullanıcı hesabı oluşturun, yönetici yapın ve eski hesabınızı silin. WordPress, tüm içeriğinizin yazarlığını yeni kullanıcı hesabına aktarmanızı ister, böylece hiçbir şey kaybetmezsiniz.

Yönetici Alanı URL’nizi Değiştirin

Tüm yeni WordPress sitelerinde wp-admin / adlı bir klasör bulunur. Bu klasör yönetici panelinizi çalıştıran komut dosyalarını içerir. İyi bilinen bir adres ve saldırganlar düzenli olarak soruşturuyorlar.

Klasör adını benzersiz bir şeyle değiştirebilirsiniz (ve gerekir). Tahmin edilmesi imkansız olan bir isim seçerseniz, saldırganlarınız çok zor zamanlar geçirecek.

Örneğin, klasör adınızı “wp-admin /” olarak “xDNPzqOE0L /” olarak değiştirebilirsiniz. Hangisini tercih ederseniz edin, bir FTP istemcisi, C-Panel dosya gezgini veya SSH programınızı kullanabilirsiniz.

Yeni URL’yi yer imlerine ekleyin ve kimseye söylemeyin.

Bu, “belirsizlik yoluyla güvenlik” örneğidir. Hiçbir şekilde kırılmaz – hackerların bu adresi keşfetmesinin bir yolu var. Ama aynı zamanda sadece bir güvenlik katmanı. Bu makale boyunca birden fazla katman ekleyeceksiniz.

Güvenli Ağ Üzerinden Web’e Erişim

Ücretsiz Wifi harika. Ancak çok güvensiz olabilir. Kötü amaçlı bir yönlendirici kurmak ve tüm trafiği günlüğe kaydetmek kolaydır. İyi bir “ortadaki adam” saldırısıyla birlikte, bir bilgisayar korsanı tüm gizli bilgilerinizi alabilir.

Bozuk bir yönlendirici olmasa bile, bilgisayar korsanları Wifi ağlarında yaramazlıklara neden olabilir. Bir yaklaşım, ARP sahtekarlığı olarak adlandırılır – bilgisayar korsanının dizüstü bilgisayarı ağdaki diğer makineleri yönlendirici olduğunu düşündürür. Bu makineler trafiğini bilgisayar korsanının dizüstü bilgisayarına gönderiyor, bu da tüm verileri kaydettikten sonra gerçek yönlendiriciye iletiyor.

Genel kablosuz ağlar, temelde kablolu ağlardan farklıdır. Onları hack’lenmeleri önemli ölçüde kolaylaştırır, bu yüzden sitenize daima güvenli bir yerden erişmelisiniz.

Yönetilen WordPress Hosting

Tüm güvenlik bulmacasını çözmek zor.

Ama bunu yalnız yapmak zorunda değilsin. Omuzlarınızdaki yükü ortadan kaldıracak ve sitenizi yayınlamaya odaklanmanıza izin verecek uzman barındırma şirketleri var. Pazarlama ve içerik üretimi yeterince zaman alıyor, bu yüzden neden uzmanların güvenlikle ilgilenmesine izin vermiyorsunuz?

Tabii ki, hala sorumlu davranmak zorundasın. Şifrenizi bir foruma yazmayın ve siteniz saldırıya uğradığında barındırma şirketinizi suçlamayın!

Yönetilen WordPress hosting fiyatları eski web sitesi “kendin yap” eskiden daha yüksektir. Bu beklenen bir şey. Ama bu çok pahalı değil. Blogunuz bir gelir sahibi ise iyi bir yatırım.

Siteniz için güvenlik rolünü verseniz bile, yine de iyi bir WordPress güvenlik anlayışına sahip olmalısınız – böylece gerçekten ihtiyacınız olan korumayı aldığınızdan emin olabilirsiniz.

Tabii ki, çoğumuz tek kişilik gruplar. Kendi içeriğimizi yazıyoruz, kendi teknik desteğiz. Ve kendine güvenmekten alınacak belli bir gurur var. Bunu mahvetmediğin sürece.

Böylece sitenizin güvenliğini artırmak için yapabileceğiniz şeylere bakmaya devam edelim.

Saygın Kaynaklardan Tema ve Eklenti

WordPress topluluğu canlı ve üretken bir topluluktur. Hemen hemen her kullanım durumunu kapsayan çok çeşitli ücretsiz ve premium temalar ve eklentiler var. Ve onları bulabileceğiniz pek çok yer var.

Bazı kaynaklar oldukça güvenilirdir – premium tema pazarları genellikle güvenlidir. Ve sonra kendi (önemli) riskinizle girdiğiniz yerler var.

Warez siteleri ve torrent izleyicileri, premium temalar ve eklentiler dahil, “ücretsiz” olarak indirebileceğiniz yazılımlarla doludur. Sık sık, bu indirmeler kötü amaçlı yazılımlarla doludur.

Temiz olsalar bile (nadir), bootleg kopyasını indiren hiç kimse bir güvenlik yaması ya da güncellemesi almaz.

Kötü amaçlı yazılım, WordPress’in genel dizininde daha nadir bulunur. Bunun nedeni, kodun listelenmeden önce gözden geçirilmesidir. Ancak kötü amaçlı yazılım bazen filtreden geçer.

Dizin, topluluk odaklı bir sistemdir – eksiksiz bir resim oluşturmak için kullanıcı incelemelerine ve geri bildirimlere dayanır. Popüler eklentiler daha fazla incelemeye tabi tutulur.  Genel olarak, sayılarla güvenlik var.

Eklentilerdeki ve temalardaki kötü amaçlı yazılımlar nadiren sorun olmaktadır. Güvenlik kusurları çok daha büyük bir risktir.

Güvenli Eklentiler ve Temalar Nasıl Seçilir?

Eklentiler ve temalar, WordPress çekirdek dosyaları ile aynı izinlerle çalışır. Çekirdek dosyalarının yapabileceği her şey, eklentiler ve temalar yapabilir. Bu yüzden bilgisayar korsanları için ana odak noktasıdır.

Güvenli temalar ve eklentiler seçmenin en kesin yolu:

  1. Uzman bir WordPress ve PHP geliştiricisi olun
  2. Hacklemeyi öğrenin
  3. Her iki bakış açısından da temayı veya eklentiyi denetleyin – iyi kodlanmış mı? Yararlanması kolay mı?

Tabii ki, bu sadece yeni bir eklenti seçmek için biraz fazla çaba!

Daha pratik bir çözüm, risk işaretlerini tanımaktır. Riskli bir ürün:

  1. Nadiren güncellendi – neredeyse terk ettiğiniz bir tema için bir güvenlik düzeltmesi kodlamak zor
  2. Çok kötü tüketici yorumu var
  3. Yeterli destek yoksun
  4. Saldırıya uğramak kötü bir geçmişi var

Son nokta çok açık – bir temayı kesmek kolaysa, sitenizde istemezsiniz. Fakat geçmişte bir temanın veya eklentinin saldırıya uğradığını nasıl anlarsınız?

Geniş bir eklenti ve tema yelpazesindeki binlerce kullanımın izini süren bir veritabanı olan wpvulndb’yi kontrol ederek başlayabilirsiniz. Sadece araştırmakta olduğunuz öğenin adını yazın ve her biri için bir açıklama ile birlikte geçmiş ve şimdiki kullanımların bir listesini alacaksınız.

Bu büyük bir veri tabanı, ancak tam olmaktan uzak. Bilinen on binlerce istismar var – ve henüz yayınlanmadı.

Google, wpvulndb.com sitesinde listelenmeyen wordpress güvenlik açıklarını bulmak için en iyi seçimdir. Sadece “eklenti adı exploit” yazın ve ihtiyacınız olan ayrıntıları bulacaksınız.

Genel WordPress dizinine baktığınızda, bir eklentinin ne sıklıkla güncellendiğini görmek kolaydır. Sayfanın sağındaki metin en son güncellemeyi verir ve geliştirme sekmesi size değişikliklerin tarihsel bir görünümünü sunar.

Aktif geliştirilme aşamasında olan yazılımlar genellikle hızlı wordpress güvenlik düzeltmeleri alır.

Kullanıcı yorumları, kalitenin iyi bir göstergesidir. Kalite ve güvenliğin iki farklı şey olduğu doğru olsa da, kalite puanı, geliştiricinin o projeye kattığı bakım ve enerjinin iyi bir endeksidir. Özensiz ya da kusurlu bir eklentinin iyi korunması pek olası değildir.

Bu Yazıda İlginizi Çekebilir!  SEO Nedir? SEO Nasıl Yapılır? Yeni Başlayanlar için Seo Kılavuzu

Ayrıca, buggy yazılımı kesmek daha kolay olma eğilimindedir – bir hata ile güvenlik deliği arasında ince bir çizgi vardır ve tüm wordpress güvenlik deliklerinin böcek olduğu tartışılabilir.

WordPress dizini ayrıca her eklenti için bir “Destek” bölümüne sahiptir – geliştiricinin geçen ay kaç sorunu çözdüğünü gösterir. Çözülen sorunların yüksek bir yüzdesi açıkça daha iyi!

Güvensiz eklentiler ve temalar WordPress güvenlik riskleridir. Bu yüzden dikkatli seçimler yapmak son derece önemlidir.

Sitenizi Güncel Tutun

WordPress eklentileri, temaları ve çekirdek dosyalarınızı güncellemeyi kolaylaştırır. Ve dikkatinizi gerekli güncellemelere çekmek iyi bir iş çıkarır. Yeni sürümler kullanıma sunulduktan hemen sonra WordPress bileşenlerinizi her zaman güncellemeniz gerekir.

Bazen bir bileşen güncellediğinizde çalışmamaya başlar – belki de eklentinin en son sürümü, spesifik bir yazılım paketi veya PHP uzantısı gibi sahip olmadığınız gereksinimlere sahiptir. Muhtemelen başka bir eklentiyle çakışıyor.

Bir eklentiyi güncelledikten sonra zorluklarla karşılaşırsanız, yanlış eylem önceki bir sürüme düşürmektir. Tek bir güvensiz eklenti veya tema sitenizin tamamını tehlikeye atabilir.

Eklentiyi devre dışı bırakmak, çalıştırmaktan daha iyidir. Bir yedek bulabilir veya sorun çözülene kadar bekleyebilirsiniz.

Geliştirici ile iletişime geçin ve onlara probleminizi anlatın. Etrafında hızlı bir iş olabilir, ya da muhtemelen sizin için çabucak hallederler.

Bazen, hangi eklentinin soruna neden olduğunu bilmek zor. Eklentilerinizi güncelledikten sonra bir “beyaz ölüm ekranı” yaşarsanız, durumu düzeltecek basit bir prosedür vardır:

  1. Tüm eklentileri devre dışı bırak.
  2. Tek tek, kesinlikle ihtiyacınız olan her eklentiyi etkinleştirin
  3. Ardından, zorunlu olmayan, ancak kozmetik değeri olan eklentileri etkinleştirin – bir kez daha yapın.
  4. Sonunda, ihtiyacınız olmayan eklentileri silin

Bu adımları uygularken, sitenizin etkilenen sayfalarını yeniden yükleyin. Bir noktada “beyaz ölüm ekranını” tetikleyebilirsiniz. Bu olursa, yeni etkinleştirdiğiniz eklentinin bir sonucudur.

Eklentiler arasında bir çatışma olabilir veya karşılanmayan bir gereksinim olabilir. Bunun gibi çatışmaları kontrol edebiliriz:

Beyaz ekrana neden olan hariç, diğer tüm eklentileri devre dışı bırakın. Sitenizi yeniden yükleyin – işe yarıyor mu?

Çalışmazsa, eklenti çöküyor ve muhtemelen eksik bir gereksiniminiz var. İşletim sisteminizi ve yazılımınızı yükseltin – ya da barındırma şirketinizi de edinin. Bu sorunu çözmezse, eklenti geliştiricisiyle iletişim kurun Düzeltebilirler veya en azından eksik gereksinimi yüklemenizi söyleyebilirler.

Bu arada, eklenti olmadan başa çıkmak ya da çökmeyen bir programla değiştirmek zorundasınız.

Site yüklenirse, sorun muhtemelen bir çelişkidir. Hangi eklentinin çakışmaya neden olduğunu bulmak için, her eklentiyi birer birer etkinleştirme prosedürünü tekrarlayarak sitenizin her seferinde yüklerini kontrol edebilirsiniz. 

Her durumda, muhtemelen bir veya iki eklentiyi devre dışı bırakmanız, değiştirmeleri bulmanız veya onlarsız yaşamayı öğrenmeniz gerekir.

WordPress Güvenlik Eklentilerini Kullanma

WordPress güvenlik eklentileri harikadır – güvenlik kalenize birkaç katman ekler. Sucuri ve WordFence iki harika örnek – her ikisi de kendi özelliklerine sahip olmalarına rağmen, benzer özelliklere sahipler.

Her ikisi de saldırıları engellemek için Uygulama Güvenlik Duvarları içerir. Bir uygulama güvenlik duvarı, İnternet trafiğini WordPress koduna ulaşmadan önce durdurur. Trafik kötü amaçlı görünüyorsa, wordpress güvenlik duvarı engeller.

Bu eklentiler aynı zamanda WordPress’in günlük kaydetme yeteneklerini de genişletir, böylece girişimi yapılan girişimleri araştırabilirsiniz. Ve çatlakları düzeltmek için tesisatınızda onlarca küçük değişiklik yaptılar.

Her ikisi de ücretsiz ve premium planlar sunarken, premium planlar daha yüksek bir kapsam derecesi sunar.

Onlara bir göz atın, ikisini de deneyin (aynı anda tek tek – aynı anda koşamazlar) ve hangisini tercih ettiğinizi görün. Ücretli bir plana yükseltme yapmayı düşünün.

Geri İzlemeyi ve Geri İzlemeyi Devre Dışı Bırak

İlk önce bir soru. Pingback ve trackback kullanıyor musunuz?

Muhtemelen değil. Birçok kullanıcı, onları hiç duymamış veya ne oldukları hakkında hiçbir fikrinde bulunmamıştır.

Asla ana akım haline getiremeyen düzgün bir fikirdiler. Buradaki fikir, bir başkasının içeriği hakkında blog yazdığınızda, sitenizin kendi sitelerine bir sinyal göndermesidir. Siteleri, makalenizden küçük bir pasajla orijinal yayına yorum ekler.

Trackbacklerin ve pingback’lerin dezavantajı, oyun oynamak çok kolay olmalarıdır. Black hat SEO‘ları ücretsiz geri almak için onları deli gibi kullandı. Böylece, hızla bir spam yığınına dönüştüler ve okuyucular bunları görmezden gelmeyi öğrendiler.

Yorum denetimi ve Akismet gibi eklentiler sorunu azaltmıştır, ancak gerçekte geri izlemeye ihtiyacınız olup olmadığını kendinize sormanız gerekir. Popüler bir özellik değildir ve iş yükünüzü arttırır.

Neyse ki, kapatmaları çok kolay. Yalnızca sitenizin ayarlar alanına gidin, tartışmalara gidin ve “Diğer bloglardan bağlantı bildirilmesine izin ver (pingback ve trackbacks)” seçeneğinin işaretini kaldırın. Ayarları kaydedin ve devam edin.

Sitenizi Düzenli Olarak Tarama

ReScan’den çoktan bahsettik – bu, sitenizdeki zayıflıkları veya tehlikeye atılmış dosyaları hızlı bir şekilde tanımlayan harika bir araçtır. Sitenizi düzenli olarak taramalı ve ortaya çıkan sorunları gidermelisiniz.

Ücretsiz bir plandan profesyonel bir hesaba geçiş yaparsanız, zamanlanmış taramaları çalıştırabilirsiniz. Herhangi bir sorunun tespit edildiği anda size haber verilecek, böylece sorunu hızla çözebilirsiniz.

En iyi güvenlik uzmanları, ağlarını ve sitelerini zayıf yönlere tarayan ve sorunları bildiren otomatik yazılımlara güvenir. Onlara hızlı cevap verme yeteneği verir. ReScan ile aynı şeyi yapabilirsiniz.

ReScan olağanüstü bir WordPress odaklı çözüm olsa da, buradaki tek tarayıcı değil. Sucuri’de de bir tarayıcı var ve daha sonra kötü amaçlı yazılım tarayıcıları var.

Kötü amaçlı yazılım tarayıcıları siteleri kötü amaçlı yazılımlara veya saldırıya uğradıkları diğer işaretlere karşı denetler. Bir sömürüyü engellemeyecekler, ancak bunun olduğunu bir şey yapabilmeniz için gerçekleştiğini söyleyecekler.

Virus Total harika bir araçtır – çoklu tarama servislerinden gelen bilgileri toplar ve kullanımı kolaydır. Yalnızca Virustotal’i ziyaret edin, URL sekmesini tıklayın ve sitenizin adresini yazın. 54 farklı kötü amaçlı yazılım tarayıcıdan bilgi toplamak yaklaşık bir dakika sürecektir.

Bu tarayıcılar zayıflıkları ve kötü amaçlı yazılımları bulabilir. Ancak, DOS saldırıları algılayamazlar – sitenizi çevrimdışı duruma getirir. Siteniz çevrimdışı duruma geçerse sizi uyarması için bir “çalışma süresi izleyicisi” gerekir.

Orada birkaç seçenek var. Pingdom en popüler seçimdir. Ücretli bir hizmettir (14 günlük deneme süresi sunarlar).

Fiyatlar 12 $ civarında başlar. Bu fiyat için, Pingdom sitenizi dünyadaki 10 farklı yerden kontrol edecektir. Sitenizi her dakika kontrol eder. Telefon numaranızı ekleyebilirsiniz ve siteniz çevrimdışı olduğunda hemen telefonunuza bir SMS uyarısı gönderir.

Sunucudaki Diğer Uygulamalar

Hosting hesabınızı uzun süredir kullanıyorsanız, muhtemelen sitede çalışan birkaç uygulamanız vardır. Bazıları feshedilebilir – artık onları insanlara tanıtmıyorsunuz ve bunları kendiniz kullanmıyorsunuz.

Sunucunuzda oturan herhangi bir kod, bir hacker için potansiyel bir giriş noktasıdır. Uygulamanın eski ve ihmal edilmiş, muhtemelen bir İsviçre peyniri bir dilim kadar su geçirmez. 

Çözüm ondan kurtulmaktır.

Düzenli olarak kullandığınız başka uygulamalarınız varsa, bunları da güncellemeniz gerekir. Hangi uygulamalara sahip olduğunuzu bilmiyorum, bu yüzden size talimat veremem. Ama onları ihmal etmeyin. Sunucunuz yalnızca en zayıf bileşeni kadar güvenli.

Dosya İzinleri

Linux izinleri sunucunuzdaki verileri ve kodları korumak için çok güçlü bir araçtır. İzinlerle, dosya erişimini kontrol edersiniz . Hangi kullanıcıların (veya işlemlerin) her dosyaya ve dizine erişebildiğini ve onlarla neler yapabileceklerini söyleyebilirsiniz.

Linux sistemleri genellikle birden fazla kullanıcıya sahiptir. Kök kullanıcı (veya süper kullanıcı) tüm sisteme tam erişime sahiptir. Dosya sistemindeki her şeyi görebilirler. Herhangi bir şeyi düzenleyebilir veya silebilirler. Ve süreçleri istedikleri zaman çalıştırabilirler.

Bir kullanıcı bir işlemi çalıştırdığında, işlem kullanıcı ile aynı izinlere sahiptir. Bu bir mantıklı, çünkü bir Linux sisteminde bir şey yapmanın tek yolu bir süreçtir. İşlem, başlatan kullanıcı ile tam olarak aynı güce sahip olmalıdır. İşlem kullanıcı olarak “as” olarak çalışır.

Sistemdeki her kullanıcı bir süper kullanıcı olsaydı, bilgisayar korsanlarının dosyaları kötü amaçlarla silmesi veya değiştirmesi kolay olurdu. Bu nedenle, mantıklı yöneticiler, yalnızca belirli görevleri gerçekleştirebilecek sınırlı hesaplar oluşturdular.

Çoğu Linux sürümünde, apache işlemi “httpd” veya “www-data” kullanıcısı olarak çalışır. Bu işlem PHP betiklerini çalıştırdığında, scriptler aynı kullanıcı olarak çalışır.

PHP betikleri tüm dosya sistemine sınırsız erişime sahip olmamalıdır. Yalnızca belirli konumlardaki dosyaları oluşturabilmeleri veya değiştirebilmeleri gerekir. Zaman zaman dosyaları silmeleri gerekebilir – yine, güvendiğiniz kritik veya hassas dosyaları silmemelerini sağlamak istersiniz.

Varsayılan olarak, Apache yalnızca web kökü içindeki dosyaları sunmak için yapılandırılmıştır. Tabii ki, genellikle / etc / dizin ağacının altına yerleştirilen kendi konfigürasyon dosyalarını okuyabilmelidir.

Ancak, web kökünün dışındaki dosya sistemini web kullanıcılarından gizler. Aksi takdirde, normal web ziyaretçileri, etki alanınızı yolsuz olarak ziyaret ettiklerinde ana makinenizin tüm dosya sistemini görürler.

Bununla birlikte, sitenize ve barındırma ortamınıza web kökünden zarar vermenin birçok yolu vardır. Bu, Apache’nin ihtiyaç duyduğu erişimi sağladığından emin olmak için WordPress kurulumunuz için doğru sahip, grup sahibi ve dosya izinlerini seçmeniz gerektiği anlamına gelir.

Şimdi, dosya izinlerinizi ayarlayabilirsiniz, böylece sistemde onlara erişebilecek tek kullanıcı sizsiniz – “chmod 700” ile. Buradaki sorun, apache’nin sitenize erişiminin engellenmesi ve ziyaretçilerinize içerik sunamamasıdır. Bu tür bir web sunucusu çalıştırma noktasını yitirir!

Bunu akılda tutarak, burada WordPress dosyalarına ve dizinlerine ayarlamanız gereken dosya izinleri verilmiştir.

Dizinler 755’e ayarlanmalıdır (kullanıcı, grup ve genel için tüm izinler sadece dizini okuyabilir ve çalıştırabilir). Dizinler bağlamında, yürütme izni dizinin içeriğine erişebilmek anlamına gelir.

Dosyalara gelince, harici kullanıcıların kabuk komut dosyalarını veya derlenmiş kodları çalıştırmalarını istemiyoruz. Bu nedenle, WordPress kurulumunuzdaki tüm dosyaların 644 izni olmalıdır (sahibi okuyabilir ve yazabilir, gruplandırabilir ve diğer kullanıcılar yalnızca dosyaları okuyabilir). Hiç kimse (süper kullanıcı dışında) dosyayı bir kabuk betiği veya ikili çalıştırılabilir dosya olarak çalıştıramaz.

Şimdi, bu değişiklikleri yapmak için çalışan konteynerlerinize dokunmanız gerekmez. Yapabilirsin, ama bu zor yol. Unutmayın, WordPress kodunuz aslında çalışma alanınızdaki ./wordpress dizininde bulunur. Değişiklikleri orada yapabilirsiniz; konteyner değişiklikleri anında alır.

SSH oturumundaki tüm dizinleri ve dosyaları iki komutla değiştirebilirsiniz:

/ path-to / wordpress / -tipi d -exec chmod 755 {};

/ path-to / wordpress / -tipi f -exec chmod 644 {};

Son olarak, wp-config.php dosyasının 600’e ayarlanmış izinleri olmalıdır (sahibi okuyabilir ve yazabilir, başka hiç kimse erişemez).

Gelişmiş WordPress Güvenlik Adımları

Tamam, bu çok zor değildi! Yani, WordPress siteniz şimdi güvende mi? Şey, kesinlikle daha güvenli. Kesinlikle daha iyi. Ama bu gerçekten güvende olmaktan çok uzak.

Güvenliğinizi artıracak daha ayrıntılı eylemleri ele alacağız. Son olarak, sunucunuzu WordPress’e yönelik olmayan çeşitli saldırılara karşı nasıl sertleştireceğinizi göstereceğiz. Unutmayın, siteniz sunucunuzun yazılımındaki bir zayıflıktan etkilenebilir – WordPress ile ilgisi olmasa bile!

Barındırma ortamına derinlemesine dalmadan önce, WordPress güvenlik için daha gelişmiş ayarlara bakalım.

WordPress Yapılandırmanızı Koruma

Şimdiye kadar, sitenizi kaplara yerleştirerek ana makinenizi güvenceye almak için büyük bir adım attık. Daha sonra, sitenin güvenliğini ele almamız gerekiyor.

WordPress yapılandırmasındaki zayıflıkları hedef alan çok sayıda istismar var, o yüzden başlayalım.

Genellikle, bilgisayar korsanları, sunucunuzun ortamı hakkında daha fazla bilgi edinmek için PHP hata mesajlarını kullanır. Yararlı bir geri bildirim satırı sağlarlar, bu yüzden bu satırı kesmek bize kalmıştır. Bu satırı wp-config dosyasına ekleyerek hata mesajlarını kapatabilirsiniz (“<? Php” satırından hemen sonra – bir sonraki satırda).

Gelişmiş WordPress Güvenlik İçin .htaccess Dosyalarını Kullanma

Bilgisayar korsanlarının görmemesi gereken koda bakmalarını önlemek için .htaccess dosyalarını kullanabilirsiniz – wp-config dosyanız (gizli verilerle dolu) dahil.

Aşağıdaki satırları, WordPress kök dizininizin içine .htaccess dosyasının içine koyun:

<Dosyalar wp-config.php>

    sipariş izin ver, reddet

    hepsinden reddetmek

</ Files>

Çoğu zaman, saldırganlar sitenizi, bir okuyucunun makinesine kötü amaçlı yazılım yüklemek için kullanırlar (arabayla saldırı).

Bu satırları, yüklenenler klasörünüzdeki .htaccess dosyasına ekleyin (wp-content içinde):

siparişi reddet, izin ver

hepsinden reddetmek

<dosya ~ “. (xml | css | jpe? g | png | gif | js) $”>

    hepsinden izin ver

</ Files>

Bu kod açıkça, XML, CSS, jpeg, pngs, gif ve javascript dışındaki herhangi bir içeriğin sunulmasını yasaklar. Bunun çok izin verdiğini düşünüyorsanız, javascript’i engelleyebilirsiniz.

Bu kod, uploads klasörüne php kodu ekleyen bazı eklentileri kırabilir – geliştirici tarafında kötü bir tasarım uygulaması!

Uploads klasöründeki PHP yürütmesini açıkça yasaklayabilirsiniz:

<Dosyalar * .php>

    hepsinden reddetmek

</ Files>

(Kodu, yüklenenler klasörünün içine yeni bir .htaccess dosyasına yerleştirin).

Teknik olarak bu zaten yukarıdakiler tarafından kapsanmaktadır, ancak asla tam olarak acıtmaz! Unutmayın, iyi güvenlik çoklu savunma duvarları ile ilgilidir.

Kısa bir süre önce belirli bir IP adresinden bir saldırı tespit ettiyseniz, açıkça .hataccess ile engelleyebilirsiniz:

sipariş izin ver, reddet

128.123.8.9’dan reddetmek

hepsinden izin ver

128.123.8.9’u engellemek istediğiniz adresle değiştirin.

WordPress, saldırganların dizin içeriğini listelemesini engellemek için her klasöre bir “sessiz index.php” ekledi (bunu saldırı vektörlerini tanımlamak için yapın). Bu politikayı .htaccess ile de uygulayabilirsiniz:

Seçenekler All -Indexes

Bu kodu her dizinde bir .htaccess dosyasının içine yerleştirin.

Ev bilgisayarınızın sabit bir IP bağlantısı varsa, diğer makinelerin yönetici panelinde şu satırlarla oturum açmasını önleyebilirsiniz:

siparişi reddet, izin ver

192.168.5.1’den izin vermek

hepsinden reddetmek

192.168.5.1’i sabit genel IP adresinizle değiştirin – ve adresinizin gerçekten sabit olduğundan emin olun, yoksa kendinizi kilitleyin! 
Birden fazla sabit IP adresiniz varsa, birden fazla “İzin ver” satırı ekleyebilirsiniz.

XML-RPC’yi Devre Dışı Bırakma

XML-RPC, insanların bir API üzerinden içerik yayınlamalarına olanak sağlayan bir özelliktir – içerik yayınlamak için başka bir uygulama kullanıyorsanız kullanışlıdır. Çok az insan onu kullanır ve bir saldırı vektörü olarak kullanılmıştır.

Philip Erb’den Disable XML-RPC eklentisini kurarak kapatabilirsiniz . Eklentiyi etkinleştirdiğinizde, XML-RPC’yi kaldırır.

İki Faktörlü Kimlik Doğrulama Ekleme

Yukarıdaki iki faktörlü kimlik doğrulamasını kısaca tartıştık. Standart bir kurulumla, tekrarlamak için şifreniz olan herhangi biri sisteminize giriş yapabilir. Ortak bir şifre kullanırsanız, tahmin etmek oldukça kolay olabilir.

Şifreniz yaygın değilse, şifreniz dikkatsizce veya ortadaki karmaşık bir adam saldırısı yoluyla çalınabilir.

İki faktörlü doğrulama ile ek bir koruma katmanı var. Google Authenticator eklentisi, telefonunuzdaki bir uygulamaya mesaj gönderir; telefonunuzu giriş yapmak için kullanmanız gerekir. Bu, telefonunuz ve şifreniz olmadıkça bir saldırganın engelleneceği anlamına gelir.

Clockwork SMS benzer bir yaklaşım kullanıyor, ancak telefonunuza bir uygulama yüklemeniz gerekmiyor. Bir SMS mesajı gönderir, böylece telefonunuz 15 yaşında olsa bile kullanabilirsiniz!

Benzer pek çok eklenti var – işte kısa bir liste:

  1. Google Authenticator
  2. İki Faktörlü Kimlik Doğrulama
  3. WordFence Güvenliği

Wordfence Security, uygulama düzeyinde bir güvenlik duvarı da dahil olmak üzere eksiksiz bir wordpress güvenlik araçları paketi sağlar. Bu yüzden çok iyi bir şey.

Bir eklentiyi yükledikten ve etkinleştirdikten sonra, bir sonraki adıma geçmeye hazırsınız.

Kendi WordPress Güvenlik Eklentinizi Oluşturun

WordPress çok yapılandırılabilir ve birçok wordpress güvenlik düzeltmesi tek satırlık PHP kesmeleri biçiminde geliyor. Genellikle, onları kendi klasörünüzdeki functions.php dosyasının içine koymanız söylenir.

Bu yaklaşımla ilgili tek sorun, temayı değiştirdiğinizde, eski işlevler.php dosyasının yok sayılmasıdır – bu da sizi saldırıya açık bırakabilir.

Functions.php yaklaşımındaki sorun, güvenlik işlevlerinin bir temaya ait olmamasıdır. Site çapında bir endişe.

Neyse ki, WordPress site genelinde işlevselliği genişletmek için yerleşik bir çözüme sahiptir: eklentiler.

Birçok eklenti kendi başına karmaşık küçük programlardır – özelliklerle doludurlar ve kendi grafik arayüzleri vardır. Ancak onlar da basit olabilir. Bir sürü birleşik wordpress güvenlik düzeltmeleri içeren bir eklenti oluşturabilirsiniz. Yeni istismarlar ortaya çıktıkça bunu da ekleyebilirsiniz ve düzeltmeler anında etkili olacaktır.

Karmaşık eklentileri geliştirmek bir sanat ve bilimdir, fakat basit olanlar parkta bir yürüyüş mesafesindedir. İhtiyacınız olan tek şey yeni bir dizin, tek bir dosya ve birkaç satır kod.

Wp-content altında “mu-plugins” adında yeni bir dizin oluşturarak başlayın. “Mu” “kullanmanız gerekir” anlamına gelir ve bu dizinde kurulu olan herhangi bir eklenti otomatik olarak etkinleştirilecektir. Aslında, onu devre dışı bırakmanın tek yolu dosyayı silmek.

Mu-plugins klasörünü kullanacağız, böylece eklentinizi gelecekte bir noktada yanlışlıkla devre dışı bırakma veya kaldırma tehlikesi yoktur.

Şimdi yeni bir dosya oluşturacağız – bu eklenti. My-custom-security-plugin.php gibi açıklayıcı bir ad verin.

WordPress eklentileri, izlemeniz beklenen belirli bir formata sahiptir – kod içindeki bir yorumda bazı meta veriler sağlamanız gerekir. Bu veri WordPress’e eklentinizin ne dendiğini söyler. Yönetici panelinde göstermesi için bir açıklama verir. Ve sürüm bilgisi sağlar.

Yorumlardan sonra gerçek kodu alırsınız. Bu örnekte, birkaç şey yapacağız:

  1. WordPress sürüm numaramızı gizle – bilgisayar korsanlarının saldırılarını geliştirmek için bu bilgileri kullanabileceğini unutmayın.
  2. Kullanıcıları e-posta adresleri yerine kullanıcı adlarını kullanarak giriş yapmaya zorlayın.

E-posta adresleri özel bilgi değildir ve insanlar bunları paylaşma eğilimindedir – bu e-posta noktasıdır. Ancak, kullanıcıların e-posta ile oturum açmasını engellemediğiniz sürece, bilgisayar korsanlarının sitenize girmelerini de çok kolaylaştırır.

  1. Giriş hata mesajlarını gizle

Ayrıntılı hata mesajları tehlikeli bir şey olabilir. Bilgileri bir saldırgana besler – çoğu zaman bu bilgiler savunmanızı kırdıklarında yararlı olabilir. Bu yüzden, WordPress’in ayrıntılı hata mesajlarını basit bir “bir şeyler ters gitti” ile değiştireceğiz –

İşte eklenti kodu:

<? Php

/**

* Eklenti Adı: MY Özel Güvenlik Eklentisi

* Açıklama: Bu eklenti tüm özel güvenlik ayarlarımı içeriyor

* Yazar: Burada Adınız

* Sürüm: 0.1

*/

// WordPress Sürüm Numaranızı Gizleyin

   işlev wpb_remove_version () {

      dönüş ”;

   }

   add_filter (‘the_generator’, ‘wpb_remove_version’);

// WordPress’inizi Gizleyin Giriş Hatası Detaylar

   işlev no_wordpress_errors () {

      return ‘Bir şeyler yanlış!’;

   }

   add_filter (‘login_errors’, ‘no_wordpress_errors’);

// Kullanıcıları Kullanıcı Adlarıyla Giriş Yapmaya Zorlayın

   remove_filter (‘kimlik doğrula’, ‘wp_authenticate_email_password’, 20);

?>

Sadece bu kodu kopyalayıp yapıştırın: wp-content / mu-plugins / my-custom-security-plugin.php

Adınızı şu anda yazdığı yerde, yorum bölümüne eklemeyi unutmayın: “Yazar: Adınız Burada”

Yönetici alanınızdaki eklentiler sekmesine gidin – listede yeni eklentinizi görmelisiniz. Kod aktif!

Sunucunuzu Koruma

Şimdiye kadar çok fazla yere değdik – WordPress’i güçlendirmek büyük bir iştir! Burada ele aldığımız her şeyi uygularsanız, siteniz çok daha güvenli olacaktır. Ancak bir hackerın yararlanabileceği zayıflıklar var – WordPress’te değil, sunucunun kendisinde.

Bir web sunucusunu korumak, ciddi dikkat gerektiren büyük bir iştir – bu yüzden konuyla ilgili ayrıntılı bir rehber yazdık.

WordPress’i güvenceye almakla karşılaştırıldığında, bu daha büyük bir zorluktur (ele alması gereken daha fazla alan var). Ancak unutmayın – sitenizin güvenliği yalnızca en zayıf unsur kadar güçlüdür.

Makaleyi faydalı bulduysanız paylaşarak bize destek olabilirsiniz. İlginiz için teşekkür ederiz.

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*