İşim gereği ben de bu makaleleri tarıyor, müşterilerim için olası en güvenilir WordPress kurulumları için
uğraşıyorum. Bu makalelerde çok sık karşılaştığım
fakat tartışmaya çok açık bir konu var; “WordPress
sürümünü gizleme”
“WordPress sürümünü gizleme” veri gizleme ile
güvenlik ilkesinin bir ögesi olarak öneriliyor. Temel
olarak eğer WordPress sürümünüz bilinmezse,
saldırganların nereden saldıracaklarını bilememeleri
şeklinde bir varsayım ile hareket ediliyor. Fakat “veri
gizleme ile güvenlik” aslında öncelikli bir güvenlik
adımı değil, pekiştirici bir güvenlik adımıdır. Keza
WordPress söz konusu olduğunda etiketinin
içinde yer alan “Generator” özelliğini kaldırarak Word
Press sürümünü gizlemek, aslında kendimizi kandırmaktan başka bir şey değildir.Evet, yolun başındaki kötü niyetli kullanıcıların sitenizin WordPress
sürümüne erişmesini engellemiş olursunuz fakat
niyeti bozmuş birisi için bu, yol üzerindeki küçük bir
tümsekten başka bir şey değildir. Bu işi profesyonelce yapan kişiler zaten bu etikete güvenmezler.
Sürüm parmak izi çıkartma (Version fingerprinting)
denen bir yöntem ile çeşitli betikler çalıştırarak Word
Press sürümünüzün ne olduğunu daha kesin bir
şekilde tespit edebilirler. Nasıl mı?
Örneğin; WordPress 1.5 sürümünden beri, WordPress paketi ile beraber bir “Beni Oku” dosyası
dağıtılıyor. Kurulumun kök dizininde yer alan “readme.html” dosyası WordPress sürümünü içerir. “O
dosyayı da silerim” dediğinizi duyar gibiyim, fakat her
WordPress sürümünü yükselttiğinizde bu dosyayı
tekrar tekrar silmeniz gerektiğini unutmayın. Kaldı ki,
bu dosyayı silmek hala WordPress sürümünüzü gizlemiyor. Kurulumunuz ile beraber gelen bir çok dosya,
WordPress sürümünüzü açık edebilecek bilgiler içeriyor ve WordPress’in geçmiş sürümleri hala ulaşılabilir
olduğundan dosyalar arasındaki farklar incelenerek
sürümünüz tespit edilebiliyor.
WordPress’in eski paketlerine dağıtım arşivi [https://
wordpress.org/download/release-archive/] sayfasından ulaşabilirsiniz. Bu sayfadan tüm paketleri bilgisayarınıza indirebilir, farklı klasörlere açabilir, sonrasında
da dosyalar arasındaki farklara bakabilirsiniz. Bu
şekilde iki sürüm arasındaki farkları ortaya çıkartabilir, sürümlerin parmak izlerini ortaya çıkartabilirsiniz.
Sürümünü öğrenmek istediğiniz web sitesinde ortaya
çıkarttığınız bu kurallara göre tarama yaparak, sitenin
WordPress sürümünü öğrenebilirsiniz.
Hal böyle olunca WordPress sürümünü gizlemek, sizce de anlamını yitirmedi mi? Bu durum yeni bir Ferrari
alıp, logosunu sökerek arabanın markasını gizlemeye
çalışmaya benziyor. Logo orada olmasa da araba bas
bas “ben Ferrari’yim” diye bağırıyor. Sizin siteniz bas
bas bağırmasa da, sürümüne ulaşmak görebileceğiniz
gibi çok zor bir iş değil.
Sitenizin sürümünü isterseniz yine gizleyin. Dahası
WordPress kullandığınızı da gizleyebilirsiniz, bunlar
hep güvenliğinizi artıracak birer adım olacaktır. Fakat
bunları gizlediğiniz için kendinizi güvende sanmayın.
Yönetim için güçlü parolalar belirleyin, WordPress’in
ve kullandığınız araçların güncelleştirmelerini eksik
etmeyin ve güvenlik sizin için gerçekten çok önemliyse
profesyonel yardım alın.
47