WordPress Saytlarının Hacklənməsinin 11 Səbəbi
WordPress Saytlarının Hacklənməsinin 11 Səbəbi

Tez-tez verilən suallardan biri də budur ki, sayt qurmaq üçün WordPress nə qədər etibarlı bir platformadır? Əgər mən WordPress-də sayt açsam hack oluna bilər? Bu yazıda bir WordPress saytının oğurlanmasının ən çox qarşılaşılan 11 səbəbini bölüşəcəyik ki, siz də bu səhvlərdən qaça biləsiniz.

Niyə Hakerlər WordPress Saytlarına Hücum Edirlər?

Birincisi, yalnız WordPress ilə yığılan saytlar deyil, internetdəki bütün saytlar hack cəhdlərinə məruz qalır. Əgər saytınız doğru-düzgün qorunmayıbsa, o zaman onun xakerlər tərəfindən ələ keçirilməsi qaçılmazdır.

WordPress saytlarının ümumi hədəf olmasının səbəbi, onun dünyanın ən populyar vebsayt qurucusu olmasıdır. İnternetdəki bütün vebsaytların 31 %-dən çoxu WordPress ilə qurulmuşdur. Yəni dünyada yüz milyonlarla vebsaytlar məhz WordPress platformasında yığılmışdır.

Mersedes-Benz, Forbes, Silvester Stallone və Keti Peri kimi bir çox tanınmış simalar və brendlər öz saytlarını bu platformanın köməyi ilə qurmuşdur. Bu böyük populyarlıq hakerlərə daha az qorunan saytları tapmaq üçün asan bir yol qazandırır.

Hakerlərin bir veb sayta girməsinin müxtəlif səbəbləri var: onların bəziləri daha az qorunan saytlardan necə istifadə etməyi öyrənən yeni başlayanlardır. Bəzi hakerlərin isə zərərli proqram yaymaq, bir saytdan başqa saytlara hücum etmək, ya da internetə spam göndərmək kimi pis niyyətləri var.

WordPress saytlarının hack edilməsinin bəzi əsas səbəblərinə və saytınızın hack edilməsinin qarşısını necə alacağınıza nəzər salaq.

1. Etibarsız Veb Hosting

Bütün vebsaytlar kimi, WordPress saytları da veb serverdə yerləşdirilir. Bəzi provayder şirkətləri hosting platformalarında lazım olan səviyyədə qorunma təmin etmir. Bu tip serverlərdə yerləşdirilən bütün vebsaytlar hack cəhdlərinə həssas qalır.

Saytınız üçün güclü WordPress hosting provayderini seçməklə bunun qarşısını almaq olar. Beləliklə, saytınız etibarlı bir platformada yerləşəcəkdir. Düzgün qorunan serverlər WordPress saytlarına ən çox yayılmış hücumların qarşısını asanlıqla ala bilir.

Saytınızın daha güclü qorunmasını istəyirsinizsə, sizə Hostinq1 provayderini məsləhət görə bilərik.

2. Zəif Şifrələrdən İstifadə

Zəif Şifrələrdən İstifadə
Zəif Şifrələrdən İstifadə

Şifrələr WordPress saytınızın açarlarıdır. Aşağıdakı hesabların hər biri üçün güclü, unikal bir parol istifadə etdiyinizə əmin olun, çünki hamısı hakerlərə sizin saytınıza tam giriş imkanı verə bilər.

  • WordPress admin hesabınız
  • Veb hostinq idarəetmə paneli
  • FTP hesabları
  • WordPress saytınız üçün istifadə olunan MySQL verilənlər bazası
  • WordPress admin və hosting hesabı üçün istifadə olunan e-poçt hesabları

Bu hesabların hamısı şifrə ilə qorunur. Zəif parollardan istifadə etmək, hakerlərin bəzi əsas krekinq vasitələrindən istifadə edərək parolları sındırmasını asanlaşdırır.

Hər bir hesab üçün unikal və güclü şifrələrdən istifadə edərək asanlıqla bunun qarşısını ala bilərsiniz. Güclü şifrələr yaratmaq necə WordPress platformasının güvənli parol yaratma funksiyasından da yararlana bilərsiniz.

3. WordPress Admin Panelinə (wp-admin qovluğu) Müdafiəsiz Giriş

WordPress admin paneli istifadəçiyə saytda müxtəlif funksiyaları yerinə yetirmək imkanı verir. Həm də WordPress saytının ən çox hücum edilən sahəsidir.

Saytınız müdafiəsiz qalarsa, hakerlər onu hack etmək üçün fərqli yanaşma üsullarına əl ata bilərlər. WordPress admin qovluğuna əlavə qorunma qatı artırmaqla onlar üçün bunu daha da çətinləşdirə bilərsiniz.

Bunun üçün WordPress idarəetmə sahənizi şifrə ilə qoruya bilərsiniz və beləliklə WordPress idarəetmə sahəsinə daxil olmağa çalışan hər kəs əlavə bir parol yığmalı olacaqdır.

WordPress saytını müəllif və çox sayda istifadəçi ilə işlədirsinizsə, saytınızdakı bütün istifadəçilər üçün güclü parollar təyin etməlisiz. Hackerlərin WordPress admin panelinə daxil olmasını daha da çətinləşdirmək üçün iki faktorlu identifikasiya əlavə edə bilərsiniz.

4. Səhv Fayl İcazəsi

Səhv Fayl İcazəsi
Səhv Fayl İcazəsi

Fayl icazələri veb serveriniz tərəfindən istifadə olunan qaydalar toplusudur. Bu icazələr veb serverinizə saytınızdakı fayllara daxil olmağa nəzarət etməyə kömək edir. Səhv fayl icazələri hakerlərə bu faylları yazmaq və dəyişdirmək imkanı yarada bilər.

Bütün WordPress fayllarınızın 644 və saytınızdakı bütün qovluqların 755 fayl icazəsi olmalıdır.

5. WordPress Yenilənmir

Bəzi WordPress istifadəçiləri saytlarını yeniləməkdən çəkinirlər. Bunun saytını pozacağından qorxurlar.

WordPress-in hər yeni versiyası səhvləri və zəiflikləri düzəldir. WordPress-i yeniləməmisinizsə, onda qəsdən saytınızı qorunmaz hala salırsınız.

Bir yeniləmənin saytınızı pozacağından rahatsız olsanız, yeniləməyə başlamazdan öncə tam bir WordPress backup yarada bilərsiniz. Bu yolla əgər nəsə işləməzsə, asanlıqla əvvəlki versiyaya qaytara bilərsiniz. Hostinq1 platformasının gündəlik backup funksiyası ilə belə bir problemlə qarşılaşmazsınız. Hər hansı bir səhv olarsa, saytınızı asanlıqla öncəki vəziyyətinə qaytara bilərsiniz.

6. Tema və Pluginlər Yenilənmir

Əsas WordPress proqramında olduğu kimi, tema və plaginlərinizi yeniləmək vacibdir. Köhnəlmiş plagin və ya tema istifadəsi saytınızı həssas edə bilər.

Başqalarının qurduğu plagin və temalarda tez-tez təhlükəsizlik qüsurları və səhvləri görünür. Adətən tema və plagin müəllifləri onları tez bir zamanda düzəldirlər. Bununla birlikdə, istifadəçi temanı, ya da plaginlərini yeniləmirsə, bu məsələdə edilə biləcək heç bir şey yoxdur.

Hər zaman WordPress temasını və plaginlərini yeniləyin!

7. SFTP/SSH Yerinə Düz FTP İstifadəsi    

SFTP/SSH Yerinə Düz FTP İstifadəsi
SFTP/SSH Yerinə Düz FTP İstifadəsi

FTP hesabları veb serverinizə fayl yükləmək üçün istifadə olunur. Əksər hosting provayderləri fərqli protokollardan istifadə edərək FTP əlaqələrini dəstəkləyir. Sadə FTP, SFTP və ya SSH istifadə edərək bağlantı qura bilərsiniz.

Sadə FTP istifadə edərək saytınıza qoşulduqda parolunuz şifrələnməmiş serverə göndərilir. Onu asanlıqla oğurlamaq mümkündür. FTP istifadə etmək əvəzinə, həmişə SFTP və ya SSH istifadə etməlisiniz.

FTP müştərinizi dəyişdirməyə ehtiyac yoxdur. FTP müştərilərinin əksəriyyəti həm SFTP, həm də SSH istifadə edərək saytınıza qoşula bilər. Siz sadəcə saytınıza qoşulduqda protokolu “SFTP – SSH” olaraq dəyişdirməlisiniz.

8. İstifadəçi Adı Olaraq “Admin” İstifadə Etmək

WordPress istifadəçi adınız kimi “Admin”-dən istifadə etməyiniz tövsiyə edilmir. Əgər admin istifadəçi adınız Admin-dirsə, dərhal onu başqa bir istifadəçi adına dəyişdirməlisiniz.

9. Nulled Temalar və Pluginlər

İnternetdə ödənişli WordPress temaları və plaginləri pulsuz yayan bir çox saytlar var. Bəzən saytınızda bu plagin və temaların təmizlənmiş versiyalarından (Nulled) istifadə etmək istəyirsiz, ancaq bunun nə dərəcədə səhv olduğunu təsəvvür belə etmirsiz.

Etibarsız mənbələrdən WordPress temaları və plaginlərini yükləmək çox təhlükəlidir. Bu yalnız veb saytınızın təhlükəsizliyini pozmaqla bitmir, həm də məxfi məlumatlarınızı oğurlamaq üçün də istifadə edilə bilər.

Həmişə WordPress plaginləri və temaları etibarlı mənbələrdən, məsələn, plugin/tema yaradan şirkətlərin vebsaytı, ya da rəsmi WordPress depolarından yükləməlisiniz.

Əgər siz, ödənişli plagin və ya temanı ala bilmirsinizsə, ya da ki, almaq istəmirsinizsə, o məhsullar üçün həmişə pulsuz alternativlər var. Bu pulsuz plaginlər pullu həmkarları qədər yaxşı olmaya bilər, ancaq işinizə tam yarıyacaq və ən əsası isə saytınız etibarlı şəkildə qorunacaqdır.

10. wp-config.php WordPress Konfiqurasiya Faylının Qorunmaması

WordPress konfiqurasiya faylı – wp-config.php WordPress verilənlər bazası üçün giriş məlumatlarını özündə saxlayır. Həmin fayla giriş izni verilərsə, hər bir hakerə saytınıza tam giriş imkanı verə biləcək məlumatları göstərəcəkdir.

.Htaccess istifadə edərək wp-config faylına girişi qoruyaraq əlavə bir qoruma qatını əlavə edə bilərsiniz. Bu kiçik kodu yalnız .htaccess faylınıza əlavə edin.

<files wp-config.php>
order allow,deny
deny from all
</files>

11. WordPress Cədvəl Prefiksini Dəyişdirməmək

Bir çox mütəxəssislər standart WordPress cədvəl prefiksini dəyişdirməyi məsləhət görür. Susmaya görə, WordPress verilənlər bazasında yaratdığı cədvəllər üçün bir prefiks kimi wp_ istifadə edir. Quraşdırma zamanı onu dəyişdirə bilərsiniz.

Daha mürəkkəb bir prefiks istifadə etmək tövsiyə olunur. Bu, hakerlərin verilənlər bazası cədvəllərinizin adlarını təxmin etmələrini çətinləşdirəcəkdir.

Bu Mövzuya Uyğun Başqa Yazılar