WordPress En İyi Uygulamalarının Nihai PHP Güvenlik Kontrol Listesi

Yayınlanan: 2017-11-03

mirsad / Stock.adobe.com

Web sitenizin güvenlik süreci muhtemelen WordPress sitenizi sunucu düzeyinde nasıl güvence altına alacağınızı ve sitenizi dosya düzeyinde nasıl koruyacağınızı ele alır. Peki programlama dilinizi korumanız gerekiyor mu? Takip etmeniz gereken en iyi PHP güvenliği uygulamaları var mı? PHP'nin güvenliğinin sağlanması gerekiyor mu?

Evet, evet ve evet.

Bir WordPress web sitesi işletiyorsanız ancak PHP kodunuzu güvende tutmaya odaklanmıyorsanız büyük bir olayla karşı karşıya kalabilirsiniz.

Oh No Aman Tanrım Arkadaşlar GIF

WordPress web sitenizi geliştirmek için PHP kullanmanın tonlarca faydası vardır:

  • Acemi biri olarak kullanmak yeterince kolay ve programlama profesyonelleri için yeterince esnektir.
  • Tüm platformlarda (örn. Linux, Windows vb.) harika çalışır.
  • Aynı zamanda WordPress dostudur.
  • Site hızını artırabilir.

Bununla birlikte, PHP'nin kusurları yok değil. PHP ile programlanan uygulamalar aşağıdakiler açısından risk altında olabilir:

  • SQL enjeksiyonları
  • Siteler arası komut dosyası çalıştırma
  • Açık oturum açma kimlik bilgileri
  • Oturum çalma
  • Sahte formlar
  • Ve diğer kötü güvenlik riskleri

İlgili: WordPress Sitenizin PHP Sürümünü (Ve Yükseltme Uyumluluğunu) Kontrol Etme

Açıkçası, bu sizi WordPress web sitenizi programlamak için PHP kullanma arzunuzdan vazgeçirmek anlamına gelmiyor. Son derece güvenilir ve esnek bir dildir ve uygun şekilde güvence altına alındığında, sürecinizi kolaylaştırmaya da yardımcı olan inanılmaz derecede güçlü bir araç olabilir.

Aşağıdaki PHP güvenlik kontrol listesi, programlama dilinizi ve PHP ile oluşturulmuş uygulamalarınızı gelecekte güvende tutmak için bilmeniz gereken tüm PHP güvenliği en iyi uygulamalarını öğretecektir.

WP Buffs'taki ekibimiz, web sitesi sahiplerinin, ajans ortaklarının ve serbest çalışan ortakların PHP güvenliğinin en iyi uygulamalarını takip etmelerine yardımcı olur. İster 1 web sitesini yönetmemize ister 1000 müşteri sitesini desteklememize ihtiyacınız olsun, arkanızdayız.

WordPress için Ultimate PHP Güvenlik Kontrol Listesi

WordPress web sitenizin bilgisayar korsanlarına karşı güvende kalmasını mı istiyorsunuz? Daha sonra, onu oluşturmak için kullandığınız tüm araçların (programlama diliniz dahil) en iyi güvenlik uygulamalarına uygun olmasını sağlamak size kalmıştır. Özellikle PHP ile ilgili olduğunda aşağıdakilere çok dikkat etmeniz gerekir:

  • PHP kodlama en iyi uygulamaları
  • Sitenizin arka ucunda erişim kısıtlamaları
  • Kullanıcı hesabı yönetimi ve takibi
  • Verilerin doğrulanması, temizlenmesi ve kaçışı
  • Kullanıcı tarafından veri gönderme ve yükleme izleme
  • Web barındırma güvenilirliği

Yukarıdaki PHP güvenlik kontrol noktaları ve bunların WordPress geliştirmede nasıl kullanılacağı hakkında daha fazla bilgi edinmek istiyorsanız, nihai PHP güvenlik kontrol listesini okumaya devam edin.

PHP En İyi Uygulamaları

  • PHP7 Kullan : Her zaman PHP'nin en son sürümünü kullanın. Aynı şey, onunla birlikte kullandığınız tüm kütüphaneler ve üçüncü taraf uygulamalar için de geçerlidir.
  • Sürümü Gizle : Kullandığınız PHP'nin mevcut sürümü, bilgisayar korsanlarının sitenizi ne tür güvenlik açıklarına açık bıraktığınızı bilmesini sağlayabilir; bu nedenle, Expose_php'yi kullanarak başlığınızda bu ayarı kapatın.
  • Phpinfo'yu yeniden adlandırın : Kurulumunuzla ilgili ek bilgilerin de gizlenmesi gerekir, bu nedenle phpinfo.php dosya adını değiştirdiğinizden emin olun.
  • Hata Kodunu Değiştir : Sitenize bağlantı başarısız olduğunda kullanıcılara gösterilen varsayılan hata mesajını değiştirin. Bu onların IP'niz veya dosya yolunuz hakkındaki bilgileri görmelerini engelleyecektir. Bunun yerine, bu hataları kendi tarafınıza kaydedin.
  • Sistem Komutlarını Sınırlayın : Genel fikir birliği, PHP'de kabuk işlevlerini kullanmamanız gerektiğidir. Ancak mecbursanız kullanıcı verilerini eklemeyin.

Arka Ucu Koruyun

  • SFTP Kullan : Arka uçta dosya aktarırken her zaman SFTP'yi kullanın.
  • Dizine Erişimi Kısıtla : PHP uygulamanız için varsayılan dizin adını değiştirin.
  • Oturum Yolunu Yapılandırın : Siteniz için paylaşımlı barındırma kullanıyorsanız sunucudaki diğer kullanıcılar oturum verilerinizi görebilir. Yeni oturum yollarını kök dizinin altına kaydederek bunu durdurabilirsiniz.
  • Ayrı Yöneticiler Oluşturun : Tek bir sunucuda birden fazla PHP tabanlı web sitesi çalıştırıyorsanız, her biri için tamamen farklı oturum açma kimlik bilgilerine sahip ayrı bir yönetici kullandığınızdan emin olun. Bu, siteler arası enfeksiyonları önleyecektir.
  • Dizini Salt Okunur Yap : Web'den erişilebilen dizininizi salt okunur olarak ayarlayarak koruyun.
  • Hassas Dosyaları Dizin Dışında Depolayın : Hassas uygulama dosyalarının (yapılandırma dosyaları gibi) web'den erişilemeyen bir dizine yerleştirilmesi gerekir. Daha sonra bunları bir PHP betiği kullanarak yönlendirebilirsiniz.

Kullanıcı Bilgilerini Güvenli Hale Getirin

  • Tüm Parolaları Şifrele : Bu açıktır, ancak bunu hem kendi parolalarınız hem de oturum açmış tüm kullanıcılar için genel olarak uyguladığınızdan emin olun.
  • Güvenli Oturumlar : Karmaşık bir oturum kimliği oluşturarak oturumların ele geçirilmesini önleyin. Ayrıca her URL'ye özel bir belirteç de ekleyebilirsiniz.
  • Eski Oturumları Yok Edin : Birisi oturumu kapattığında veya erişim hakları değiştiğinde, her zaman oturumdaki çerezleri silin ve yeni bir oturum kimliğini zorunlu kılın.
  • Yeni Kullanıcıları Doğrulayın : Her zaman yeni kullanıcıların kimliğini doğrulayın ve onlara buna göre erişim ayrıcalıkları verin. Kısıtlı bir sayfaya erişmeye çalışıyorlarsa bu özellikle önemlidir.
  • Kısıtlama Kullanın : Çok fazla başarısız oturum açma, parola kısıtlaması ile engellenmelidir.

Kullanıcılardan Gelen Giriş ve Çıkışları Doğrulayın

  • Girişi Doğrulayın ve Temizleyin : Siteniz aracılığıyla (bilinen veya bilinmeyen) bir kullanıcı tarafından gönderilen her türlü veri, dosya, URL, gömülü içerik, CSS veya HTML'nin incelenmesi ve temizlenmesi gerekir. Bu, yalnızca almayı beklediğiniz verilerin (örn. kullanıcı adı için kullanıcı adı, e-posta adresi için e-posta adresi vb.) girmesine izin verilmesi gerektiği anlamına gelir. "FROM" veya "NEREDE" gibi "kötü" sözcükleri veya tek tırnak işareti gibi noktalama işaretlerini saklayın Birisinin sitenize gizlice kötü amaçlı kod sokmaya çalıştığının işareti olabileceğinden radarınızda yer alır.
  • Çıkış Çıkışı : Sitenizde herhangi bir kullanıcı verisi veya dosyası yayınlamadan önce, potansiyel olarak tehlikeli karakterlerin ve kodların (tek tırnak işaretleri veya <script> gibi) geçmesini önlemek için bunların kaçışının da yapıldığından emin olun.
  • POST verilerini sınırlayın : Bilgisayar korsanları sitenize çok büyük miktarda veriyle saldırmak isterse, ne kadar POST verisinin gönderilebileceğine ilişkin sınırlar belirleyerek bunu uzak tutabilirsiniz. Ayrıca giriş süresini de sınırlayabilirsiniz.
  • Register_Globals'ı devre dışı bırakın : Sitenizin formlarına ne tür bilgilerin gönderilebileceği konusunda hiçbir zaman boşluk bırakılmamalıdır. Register_globals maalesef bu fırsatı bilgisayar korsanlarına açıyor.
  • Magic_Quotes'u devre dışı bırakın : Magic_quotes kendi başına sitenize zarar vermez, ancak bunu çıktı verilerinizden kaçmak için kullanan kişiler istemeden bir güvenlik açığı oluşturabilir.

Yüklemeleri İzle

  • Dosya Yüklemelerini Devre Dışı Bırak : Bu her zaman mümkün olmayabilir. Ancak kullanıcılardan dosya veya veri almanız gerekmiyorsa bu işlevsellikten kurtulun.
  • Yüklenen Dosyaları Doğrulayın : Kullanıcıların sitenize dosya yüklemesine izin vermeniz gerekiyorsa, dosya içeriğini zararlı eklemelere karşı analiz etmeniz gerekir. Kısayol olarak dosyayı farklı bir biçimde yeniden kaydedebilirsiniz. Hâlâ geçerliyse, bir sorun olma ihtimali daha azdır.
  • Virüs Tarayıcı Kullanın : Siteniz çok sayıda yüklenen dosyayı kabul ediyorsa, bir virüs tarayıcısının kurulmasını istersiniz.

Güvenli Web Barındırma Kullanın

  • Güvenilir Bir Ana Bilgisayar Kullanın: Web sitenizi, dosyalarınızı, oturum açma alanınızı veya programlama dilinizi güvence altına almak için ne kadar çaba harcarsanız harcayın, güvenliğin barındırma düzeyinde başlaması gerekir. Bu nedenle güvenliğe öncelik veren ve özellikle PHP7 için destek sağlayan güvenilir bir web barındırma şirketiyle ortaklık kurmalısınız.
  • Bir CDN edinin: Sunucu düzeyinde güvenlik tehditlerini azaltmanın başka bir yolu da bir içerik dağıtım ağı (CDN) edinmektir. Bunlar genellikle dünyayı dolaşan web sitelerinin performansını artırmakla ilişkilendirilse de CDN'ler ayrıca ekstra bir koruma katmanı da sağlar.
  • SSL Sertifikası Alın: PHP ile programlayıp programlamadığınıza bakılmaksızın bu en iyi uygulamadır. SSL sertifikaları, sunucunuz ile ziyaretçilerinizin tarayıcıları arasına ekstra şifrelenmiş bir katman ekler.

Yukarıdaki noktaların her biri gerçekten geçerli olsa da, güvendiğiniz web barındırma kalitesinin sonuçta sitenizin güvenlik stratejisini oluşturabileceği veya bozabileceği için bu özel noktayı vurgulamaya değer.

İyiyi kötüden ayırmak genellikle zor olduğundan, özellikle de PHP7 desteği gibi spesifik bir şey ararken, WP Engine ve Kinsta gibi web barındırıcılarıyla başlamanızı öneririz.

İlgili: WP Engine ve Kinsta aracılığıyla Tamamen Yönetilen WordPress Barındırma

WP Engine, barındırma planlarının her birinde PHP7 desteği içeren, yönetilen bir WordPress barındırma sağlayıcısıdır. Buna ek olarak WP Engine, PHP7 konusunu düzenli olarak blogunda PHP Uyumluluk Denetleyicisi eklentisine özel açıklamalarla ele alıyor. Bu şirketin PHP7 kullanıcı desteğine adanmış olduğunu söylemek yetersiz kalır.

Başka bir yönetilen WordPress barındırma şirketi olan Kinsta, tüm müşteri web sitelerini PHP7 ile barındırıyor. Bu, her alanda yüksek performans ve hız sağlamak içindir. Kinsta ayrıca kullanıcılarına PHP Motorlarını en son PHP sürümüne güncelleme olanağı da sunuyor.

Ve elbette, dikkate alınması gereken WP Buffs'un tam olarak yönetilen WordPress barındırması da var. WP Buffs, sunucularını ve PHP sürümlerini en son ve en iyi sürümlerle güncel tutarak her zaman diğerlerinden önde olur; böylece bu yükseltmeleri kendiniz yönetme konusunda asla endişelenmenize gerek kalmaz (bu, WordPress yönetimini dış kaynak olarak kullanmanın keyfinin bir parçasıdır) başkasına değil mi?)

Kapanış

Bir WordPress web sitesi oluştururken güvenlik her zaman birincil husustur. Bu nedenle güvenilir eklentiler ve temalar kullanırsınız ve diğer en iyi güvenlik uygulamalarının yanı sıra temel bilgilerinizi her zaman güncel tutarsınız. PHP'de de durum farklı değil. Bunu diğer WordPress araçlarınız gibi kullanın: güncel tutun ve her zaman en iyi güvenlik uygulamalarına uyun; böylece siz (ve web siteniz) geceleri daha rahat uyuyabilirsiniz.

Geri bildiriminizi vermek veya sohbete katılmak mı istiyorsunuz?Yorumlarınızı Twitter'a ekleyin.

Kaydet Kaydet