WordPress Eklentileri & Dikkat Edilmesi Gerekenler

Webmaster
WordPress-Security

Bu yazıda WordPress içerik yönetim sistemine bağlı eklentilerin nasıl kurulabileceğinden, güvenli olup olmadığını nasıl test edebileceğimizden ve eklentilere dair birçok şeyden bahsedeceğiz. WordPress, günümüzün en çok kullanılan içerik yönetim sistemlerinden biri. Kendi içerisinde ve dışarıdan gelen yama/eklentiler dahilinde geliştirilmeye ve özelleştirilmeye açık bir sistem olmasının yanı sıra hafif ve en düşük hosting paketi ile dahi kullanılabilir. Bu gibi durumlar elbette WordPress’i en çok kullanılan sistem yapmak için yeterli. Görsel bir şölen oluşturan temalarının da yukarıdaki özelliklerine eşantiyon olarak ekleyebileceğimiz WordPress’in kullanıcıları gün geçtikçe artmakta. Gerek kurumsal, gerek bireysel, gerekse projeye yönelik web sitelerine uygun çözümler üretebilen bu içerik yönetim sisteminin epey geniş bir de eklenti arşivi mevcut. Zaten bu geniş arşivin bulunması, Wordpress’in her daldan kullanıcı için uygun içerik yönetim sistemi olmasını sağlayan en önemli etmen. Zira, bu eklenti ve temalar olmasaydı salt WordPress’in çok geniş kitlelere yayılması olanaksızdı. Salt WordPress, size kişisel bir blogdan ötesini sunmazken dışarıdan gelen eklentiler bu sistemin tamamı ile değişmesini ve isteklere göre şekillenmesini sağlıyor. Yani, WordPress kişisel bir blog sistemi iken bir anda WordPress Plus olup, tamamı ile kullanıcı oldaklı bir sisteme dönüşüyor. Sık sık güvenlik durumları ya da düzeltmeleri yüzünden; WordPress’in salt sürümü güncellemeye uğruyor ve belli başlı, irili ufaklı yenilikler sunuluyor. Bunun yanında belirttiğimiz gibi güncellemelerdeki en önemli olay elbette güvenlik zafiyetlerinin giderilmesi. Güncellemeden önce gözden kaçırılan güvenlik zafiyetleri, sonrasında bazı sızma uzmanları (pentesters) tarafından fark ediliyor ve gerekli mercilere bildiriliyor. Bir sonraki güncellemede WordPress, bu güvenlik zafiyetlerini kapatıyor ve yeni sürümü kullanıcılarına sunuyor.

 

Eklentileri, WordPress son yıllarda yenilik üzerine yenilik getirerek panel üzerinden yükleme seçeneğini de nihayet aktif etti. Dikkat etmeniz gereken ilk şey eklentilerinizin sitenizi kesinlikle karıştırmaması. Eklenti, hem görünüm hem de performans açısından sitenizin notunu düşürmemelidir. Görünüm kısmı web sitenize yansıyan eklentiler için geçerli. Sosyal Medya kutusu gibi eklentiler, sitenizi süslerken aynı zamanda karışıklaştırabilir ve karışık bir site hiçbir zaman insanlara çekici gelmez, unutmayın; tasarımın asıl güzelliği sadeliğinde ve kullanılabilir olmasında yatar. Yüklediğiniz eklentinin sağladığı görünümün olabildiğince şık olmasına özen gösterin ve bu tarz eklentileri sitenize dahil edin. Performans kısmı ise apayrı bir olay. Kullandığınız eklenti sitenizi yavaşlatmamalı ve hosting paketinizle uyum sağlamalıdır. Bir hosting paketi içerisine onlarca eklenti yüklemeniz hem sitenizin ağırlaşmasına hem de performansın düşmesine sebebiyet verecektir. Bu durum, otomatik olarak ziyaretçileri etkileyecektir ve bu hem sizin, hem onların tarafında hoş bir durum olarak karşılanmayacaktır. Bu sebepten WordPress sitenize olabildiğince az ve öz eklenti yükleyerek devam edin. Bu sayede, hızlı ve kesintisiz performans sağlayan bir web siteniz olsun, ne siz üzülün ne de ziyaretçileriniz siteye girmek için uzun süre beklesin. Gerekli olan eklentiler günümüzde, kullandığınız temanın içerisinde zaten veriliyor ancak “ben farklı eklentiler kullanmak istiyorum” derseniz, en gerekliler haricinde olabildiğince az eklenti kullanmanızı öneriyorum.

Gelelim, eklentilerin güvenlik kısmına. Üçüncü parti eklentiler, bir ya da birkaç kişi tarafından kodlanır ve WordPress’in asıl kadrosundan bağımsızdır. Ücretli ya da ücretsiz olarak dağıtılan bu eklentiler WordPress’e dahil olabilir ancak onunla beraber gelmez. Dışarıdan ya da yukarıda belirttiğimiz üzere WordPress panelinin eklentiler bölümünden yüklenebilir. Güvenlik zafiyeti taramaları, özellikle WordPress eklenti sayfasında olmayan eklentiler için, sadece kodlayıcıları tarafından, yapılabildiği kadar yapılır. Son olarak eklentinin kodlayıcısı tarafından açılan web sitesinde ya da WordPress eklentiler sayfasında yayınlanır. Bu durum ise, internet korsanlarının ekmeğine günümüzde epeyce yağ sürmektedir.

Şöyle ki:

  • Kodlanan eklentinin gerekli uzman kontrollerinden geçmemesi, güvenlik zafiyetlerine kapı açar.
    • Kodlanan eklenti, programlama dillerinin eğitimine yeni başlayan biri tarafından, alelade kodlanmış olabilir.
    • Kodlanan eklenti, kodlayıcısının haberi olmaksızın, onun bilgisinin olmadığı, güvenlik zafiyetleri ile dolu olabilir.
    • Kodlanan eklenti, tamamı ile sisteminizi kurban etmek amacı ile kodlanmış olabilir. (Bu daha çok WordPress eklentiler sayfasında olmayan eklentiler için geçerli bir durumdur.)

Peki, kullandığımız üçüncü parti eklentilerin güvenlik zafiyeti durumunda ne yapacağız ya da bu eklentilerin güvenlik zafiyeti bulundurup bulundurmadığını nasıl öğreneceğiz? 

Öncelikle, eklenti yüklendi ve güvenlik zafiyeti fark edildiyse kaldırılabilir. Sisteminizde doğan zararların faturasını üçüncü parti bir kodlama olduğu için WordPress’e kesemezsiniz; muhatabı ise bulmanız epey zor olur. Bu sebepten bizim sorumuz ya da sorunumuz, bu eklentileri yüklerken nelere, nasıl dikkat edeceğimizden geçmelidir. Önlemden geçen yolda, Google Hacking Database, Exploit-DB, PacketStormSecurity gibi servislere rastlamamız mümkündür. Bu servisler, sadece WordPress’te değil, genel web alanındaki tüm sistemleri tarayan sızma uzmanlarının eklediği zafiyetleri barındıran servislerdir. Bu servisler aracılığı ile güncel web zafiyetlerini takip edebilirsiniz. Ancak, bizim şu anki işimiz WordPress eklentileri ile. Örneğin, bir eklenti yüklemek istiyorsunuz ve bu eklentinin ilgili sürümünde güvenlik zafiyeti olup olmadığını merak ediyorsunuz; araştırmanızı exploit-db’nin “Search” kısmından gerçekleştirebilirsiniz.

WordPress NewStatPress eklentisinin 0.9.8 sürümünü sitenize kurmak istediğinizi farz edelim. Bunun araştırmasını direkt olarak eklenti ismini “Search” kısmına yazarak yapabilirsiniz. 

Exploit DB

 

Görselde gördüğünüz üzere bir adet güvenlik zafiyeti bulundu. Akabinde bağlantıya tıklayıp eğer bu konularda bilginiz varsa zafiyet hakkında detaylı bilgi edinebilirsiniz. ve Hatta eklenti elzem bir eklenti ise zafiyeti kapatabilirsiniz. Ancak, bilginiz yoksa ve eklenti elzem değil ise; uğraşmayıp alternatif bir eklenti bulunuz ya da zafiyeti kapatmak için uzman birine danışınız. Ekstra bir çözüm yolu olarak eklentinin var ise yeni sürümlerinin; sürüm notlarına bakarak zafiyetin kapatılıp kapatılmadığına göz atabilir, kapatıldı ise onu da kullanabilirsiniz.

WordPress, her kullanıcıya sağladığı uygun çözümler ile çok kullanılmayı başarmış olabilir ancak üçüncü parti uygulamaların zafiyetleri, yüklenmeden önce muhakkak kontrol edilmelidir. Aksi halde bu içerik yönetim sisteminden nefret edebilir ve hatta kullanmamaya yemin edebilirsiniz. Yazı, tecrübe ile sabittir. Kontrolleri elinizden geldiğince kendiniz sağlayın ve bu eklentileri kontrol edebilmek için az da olsa PHP bilgisine sahip olun.

Görüşmek üzere.


Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.