WordPress eklentilerimizde gerek yönetim paneli bölümünde gerekse de ziyaretçi tarafında formları kullanarak işlem yapıyorsak, güvenliği artırmak için önceki yazımda bahsettiğim nonce (tek kullanımlık) kod sistemini kullanmalıyız. Bu yöntemde form içerisine sadece o siteye ait gizli bir kod yerleştirilip, kontrolü yapılır. Böylece bilgilerin sitenin içerisinden gönderildiğinden emin olunur.
WordPress eklentilerinde oluşabilecek en büyük güvenlik açıkları CRSF denilen bir saldırıya karşı gerekli önlemlerin alınmamasından kaynaklanmaktadır. Bu saldırıda, yönetici konumundaki bir kişiye özel bir link tıklatılarak, eklenti aracılığıyla site zarar verilir. Bunun temelinde de siteye gönderilen bilgilerin başka yerden mi yoksa site içinden mi geldiğinin kontrol edilmemesi yatar.
WordPress sitelerimizdeki çeşitli kullanıcı rolleri bulunmaktadır. Administrator (Yönetici), Editor (Editör), Author (Yazar), Contributer (İçerik Sağlayıcı) ve Subscriber (Abone) şeklinde normal sitelerde 5, çoklu sitelerde (multisite) ise bir de Super Admin (Süper Yönetici) olmak üzere 6 rol bulunmaktadır. Bu rollerin her birinin yetkileri, site içerisinde yapabilecekleri işlemler sınırlıdır. Örneğin bir içerik sağlayıcı, siteye resim yükleyemez, resim yükleyebilmek için en azından Yazar olmak gerekir. Peki bazı rollerin yetkilerini nasıl azaltır ya da artırırız?
WordPress eklentilerimizde veritabanı işlemleri yapacaksak, güvenlik birinci önceliğimiz olmalı. SQL injection (enjeksiyon) denilen bir saldırı türünde saldırganlar veritabanına zararlı kodlar eklemeye çalışarak, siteyi ele geçirmeye ya da siteye zarar vermeye çalışırlar. WP’nin kendisinde bu tarz saldırılar için önlemler alınmıştır ancak kullanılan eklentilerdeki veritabanı işlemleri için güvenlik önlemi alınmamışsa site tehlikeye düşebilir.
Sitelerimizin güvenliğini ve daha hızlı görüntülenmesini sağlamak için .htaccess dosyasını kullanmak mümkün. Bu dosya Apache sunucularda klasörler düzeyinde sunucuda çeşitli ayarlar ve uygulamalar yapabilmemizi sağlayan özelleştirilebilir bir dosyadır.