Bu konuları genellikle kendi sitemde yazıyorum fakat görünen o ki şu sıralar genel bir saldırı var geçenlerde okuduğum cloudflare güvenlik yazısında da bir saldırıdan bahsediliyordu.

Fakat bu açık direk olarak DDOS ile ilgili wordpres pingbackleri kullanılarak büyük çapta ddos yapmak mümkün oluyor. Cloudflare bunu aşmanın yolunu bulmuş bu tarz saldırılar alıyorsanız cloudflare geçseniz iyi olur.

Virüs ve trojan konusuna gelecek olursak.

WordPressin core açığından bugüne kadar bana hiç virüs yada trojan bulaşmadı. Bulaşmasıda neredeyse imkansız. Çünkü wordpressin yetki yönetimini aşıp ftp /uploads/ klasörüne ulaşmak virüs-shell atmak mümkün değil.

Elbette bunu doğru biçimde yapılandırılmış chmod ve doğru ayarlara sahip sunucuyu kastederek söylüyorum.

Güvenlik sorunlarının wordpress olduğu sanılıyor fakat istatistiklere göre %80 sunucu açıkları yüzünden siteleriniz güvenlik ihlaline maruz kalıyor virüs, shell, trojan bulaşıyor. Geriye kalan %20 ise wordpress in kendis ideğil wordpress temaları ve eklentilerinin açıkları kullanılarak dolaylı siteler hacklenebiliyor. Nitekim eklentilerinizi güncel tutuğunuz sürece bu durumu da yaşamanız pek mümkün olmuyor.

Bir kaç tane konuya "Ucuz hosting almayın" yazmamın sebeplerinden birisi de budur. Ucuz hosting demek "Türkiye için" kalitesiz hizmet demektir. Türkiye'de iyi hizmet verenlerin pahalı olmaıs tesadüf değildir. çünkü piyasanın yapısını çözümleyenler ve tecrübe sahibi olanlar verdikleri hizmet kalitesini arttırmak için fiyatlarını yükseltiyorlar.

Dünyada durum farklı fakat Türkiye böyle olduğu gibi kabul edeceksiniz.

Sunucularnızın kötü yapılandırılmasından dolayı %80 sunucu kaynaklı sitelerinize virüs, trojan, malware, shell bulaşıyor.

Haliyle Türkiye'de kurulan her iki siteden birisinin Wordpress olmasından dolayı aranızda wordpress sitenize bulaşanlar oluyor. Zannediyorsunuz ki WordPress in açığı var. Sunucu etkenini görmezden geliyorsunuz.

Tecrübesiz ve kalitesiz hostingçiler de sorunun kendilerine olduğunu kabul etmiyor ve size kalitesiz hizmet vererek yalan söylüyorlar.

Halbuki gerçekler böyle değil.


Çözüm nedir?

* Türkiye'de ucuz hosting almayın. Pahalıysa bir sebebi var. Kalite ve zihin sağlığınız için cimri olmayın.

* Eklentilerinizi güncel tutun. Wordpress Core kolay kolay açık olmaz. Olduğunda da hızlı güncelleme gelir ve haberiniz olur.

* Daha fazla güvenlik için CloudFlare kullanın hem sunucunuzu gizlemek, ddos önlemek, sql injection ve botların uyguladığı hack yöntemlerinden korunmuş olursunuz. (r10 bile geçti buna)

* Sitenizin temiz olduğuuna emin olun. Bir yerden bir yere hosting taşırken dosyaları olduğu gii taşımak yerine veritabanını ve sadece gerekli resim ve tema dosyalarını taşıyın. Temiz bir başlangıç yaptığınıza emin olun.


Uzun vadede wordpress ve sunucu konusunda hosting hizmeti vermeyi düşünüyorum. Fakat sadece kurumsal müşteriler olacak. Eğer kurumsal ve yasal siteleriniz varsa iletişime geçebilirsiniz. Aslında wordpress hosting o kadar zor iş değil fakat bilinçli biçimde eklenti ve tema kullanımı gerekiyor bunun içinde birebir destek şart öyle olmayınca gördüğünüz gibi yavaşlık ve güvenlik sıkıntıları kaçınılmaz
sinan@sinanisler.com