WordPress dışarıda basit görünebilir, ancak içeride, içeriğinize aynı anda hizmet veren, kullanıcı işlemlerini yöneten ve büyük miktarda veri yöneten karmaşık bir sistemdir. WordPress inanılmaz derecede istikrarlı bir platform olsa da, bozulmaz değil.
Çok fazla eklenti kullanma
WordPress kullanıcıları seçim için şanslıdır çünkü web sitesi yöneticileri için çok sayıda eklenti vardır. Yüklemeniz veya yüklememeniz gereken sihirli sayıda eklenti yok, ancak her birinin siteniz üzerinde bir etkisi olduğunu anlamak önemlidir.
- WordPress’in büyük ölçüde yazıldığı programlama dili olan PHP kodunu yüklüyor. Kod iyi yazılmış ve güvenli ise bu gayet iyi olabilir.
- Web sitenizi yavaşlatabilecek CSS, JavaScript ve resimler gibi öğeler yüklüyor.
- Güvenlik ve işlevsellik için sorunlara neden olabilecek güncelleştirmeler gerektirebilir.
Yüklediğiniz her eklenti, bir sorunla karşılaşma şansınızı artırır. Ne kadar fazla eklentiniz varsa, sitenizi sorunlu hale getirme olasılığı o kadar yüksektir.
Eklenti güncellemeleri, başka bir eklenti veya tema ile çakıştığı zaman yada sunucunuzdaki ayarlarla çakıştığı için kötü kodlanmış bir web sitesini bozabilir. Bu durumlarda, “Veritabanı Bağlantısı Kurulurken Hata”, “Dahili Sunucu Hatası” veya “Bağlantı Zaman Aşımına uğradı” gibi hata mesajları ile karşılaşabilirsiniz.
Bir eklenti yüklemeden önce, sunduğu özelliklerin çoğunu kullanıp kullanmayacağınızı sorun. Değilse, yalnızca ihtiyacınız olan işlevselliği sağlamak için daha küçük, daha basit eklentileri kullanmanız daha iyi olabilir. Daha az eklenti kodu çalışması daha az risk demektir.
Eklentinin ne kadar düzenli olarak güncellendiğini de kontrol etmelisiniz — eski eklentilerin güvensiz olma olasılığı daha yüksektir — ve tabii incelemeleri okuyun. Neyse ki WordPress.org sitesi bunu kolaylaştırıyor!
Güvenilmeyen kaynaklardan eklentiler veya temalar yükleme
Yalnızca güvenilir satıcılardan eklentiler ve temalar indirmeniz önemlidir. WordPress.org bunlardan biridir, ancak resmi geliştiricilerinden premium eklentiler satın aldığınızdan emin olun.
“Nulled” veya “cracked” premium temaları veya eklentileri genellikle her türlü kötü şeyi yapabilen ve sonuçta web sitenizi bozan veya tahrif eden kötü amaçlı kod içerecek şekilde değiştirilebilir. Lisans anahtarı olmayan premium ürünler herhangi bir güncelleme almaz ve sitenizi savunmasız bırakır.
Web sitesi kodunu düzenleme
İtiraf edelim hepimiz bunu yaptık. Web sitenizde çözmeye çalıştığınız bir sorunu arar ve bazı kodları kopyalayıp yapıştırmanızı söyleyen potansiyel bir çözüm bulursunuz. Deneyimli bir geliştiriciyseniz ve kodu iyi biliyorsanız, bu iyi olabilir. Eğer değilseniz, bu iki nedenden dolayı tehlikeli olabilir:
Kodun ne yaptığını tam olarak bilmiyorsanız, siteniz üzerindeki sonuçlarını veya etkisini tam olarak anlayamazsınız.
Kodu temanızın function.php dosyasına koymak, bir eklentinin kodunu düzenlemek veya WordPress çekirdeğini değiştirmek cazip olabilir ama bunların hepsi kötü fikirlerdir. Bunu yaptığınızda orijinal kodu kaldırırsanız, web siteniz bozulabilir. Kodun amacını anladığınızdan emin olun ve mümkünse detaylı olarak test edin.
Saldırıya uğramak
WordPress, dünyada en çok kullanılan içerik yönetim sistemidir. Bu, çok sayıda eklenti, tema ve büyük bir topluluğa sahip geniş bir ekosistem sunarken, WordPress’i hackerlar için bir hedef haline getiriyor.
Eklenti güvenlik açıkları günlük olarak bulunur ve geliştiricilerin çoğu eklentileri düzeltmek için çok hızlıdır. Ne yazık ki, eklentilerinizi güncel tutmazsanız, web siteniz bilgisayar korsanları için bir hedef haline gelir. Çok fazla trafik oluşturmayan web siteleri bile saldırıya uğrayabilir.
Bilgisayar korsanları, sitenize girmek için genellikle botları kullanır ve bu da tüm süreci otomatik hale getirir. Web siteniz bir arama motorunda bulunabilirse, bir bilgisayar korsanı tarafından bulunabilir. WPScan Güvenlik Açığı Veritabanı, en son açıkları kontrol etmek için iyi bir kaynaktır. Gördüğünüz gibi, bazen binlerce veya milyonlarca yüklemeye sahip eklentilerde yeni güvenlik açıkları sıklıkla bulunur. Sitenizi korumak için güvenlik taraması, kaba kuvvet saldırısı önleme, kesinti izleme ve otomatik eklenti güncellemeleri sunan bir güvenlik çözümü uygulayın.
Eski sunucu yazılımı
Web sitenizi barındıran sunucu, tıpkı bilgisayarınız gibi, onu destekleyen bir işletim sistemi ve temel yazılım bulunur. Tüm yazılımlar gibi, sürekli olarak güncellenmelidir. Pek çok kişi güncellemenin gerçekleştiğinin farkında değil, çünkü hosting şirketleri bunu sahne arkasında yapıyor.
Ancak web barındırıcınız güncellemeleri hızlı bir şekilde uygulamıyorsa ne olacak? Birçok web sitesi, artık herhangi bir güvenlik güncelleştirmesi almamasına rağmen PHP 5.6 çalıştırıyor. PHP 7.1 bile Aralık 2019’da kullanım ömrünün sonuna ulaşacak.
Güncel olmayan sunucu yazılımına sahip olmanın birkaç dezavantajı vardır:
- Güvenlik sorunları: Eski yazılım sürümlerinde güvenlik açıkları olabilir.
- Hız sorunları: PHP 7.3, eski sürümlerden çok daha hızlıdır.
- Uyumluluk sorunları: Bazı PHP işlevleri PHP 7.3’te mevcuttur, ancak PHP 5.6’da yoktur. Bir eklenti yalnızca 7.3’ü destekliyorsa ve 5.6 çalıştırıyorsanız, bu sorunlara neden olabilir.
Kötü yapılandırılmış kullanıcı erişimi
Birden fazla kullanıcının oturum açmasına, içerik eklemesine veya düzenlemesine izin veren bir web siteniz varsa sitenizi bozma riskinizi artırıyorsunuzdur. Çok fazla kişiye çok fazla izin verilmesi, birisinin soruna neden olma olasılığını yol açar.
Çok sık, web sitesi sahipleri tüm katkıda bulunanlara yönetici düzeyinde erişim sağlar. Bu, bazı sebeplerden inanılmaz derecede tehlikelidir çünkü yeni yöneticiler:
- Eklentileri yükleyebilir
- Web sitesi kodunuzu değiştirebilir.
- Temanızı düzenler.
- Sayfa / gönderi / ürün / başka herhangi bir gönderi türü ekleyebilir yada silebilir
- Gizli verilere erişebilir (e-ticaret için finansal veriler dahil).
Yukarıdakilerden herhangi biri potansiyel olarak bir siteyi bozabilir. Kullanıcılara, işlerini yapmaları için gereken tam izinler verilmelidir — başka bir şey değil.
WordPress siteniz bozulursa ne yapmalı
Sonunda, web siteleri hala bozulacaktır. İster deneyimli bir web geliştiricisi, isterse acemi bir web sitesi oluşturucusu olun, muhtemelen bir noktada web sitenizi bozacaksınız.
Minimum kesinti süresi sağlamanın en iyi yolu kapsamlı, site dışı bir yedekleme stratejisine sahip olmaktır. Yedeklemeler için yalnızca ana makinenize güvenmeyin, çünkü:
- Yedeklemeler üzerinde kontrolünüz olmayabilir. Barındırıcınız web sitenizi yalnızca haftada bir kez yedekleyebilir, ancak verilerin saatte bir değiştiği yoğun bir sitede ne olur? Gerçek zamanlı yedeklemeler çok önemlidir! Bir e-ticaret mağazanız varsa, siparişler günün herhangi bir saatinde verilebilir. Gerçek zamanlı yedeklemeler olmadan, yedekleme ile site çökmesi arasındaki dönemden itibaren müşteri verilerini kaybedebilirsiniz.
- Hiçbir yedekleme çok değildir. Güveninizin tamamını ana makinenize koymak akıllıca değildir; onlar da tehlikeye atılabilir. Yedeklemelere çok yönlü bir yaklaşım riskinizi azaltır.
- Ana makinenizden bir yedek almak her zaman göründüğü kadar basit değildir. Desteğe başvurmanız ve onlardan uzun bir zaman alabileceğiniz ve sunucunuza bağlı olarak zor bir işlem olabilmesi için bir yedeği geri yüklemelerini istemeniz gerekebilir.
