Bu ücretsiz sunum belgesinde WordPress çekirdek yazılımının güvenliği hakkında ayrıntılı bilgiler bulabilirsiniz. Belgeyi PDF biçiminde indirebilirsiniz.

Genel Bakış

Bu belgede, WordPress çekirdek yazılımının geliştirme ve güvenlik süreçlerinin bir incelemeli açıklaması ve doğrudan yazılıma yerleşik olan güvenlik ele alınmıştır. Bir içerik yönetim sistemi veya web uygulama çatısı olarak WordPress kullanmayı değerlendiren karar vericiler inceleme ve karar verme süreçlerinde, yazılım geliştiriciler ise WordPress güvenlik bileşenlerini ve en iyi uygulamaları anlamakta bu belgeden yararlanabilir.

Bu belgedeki bilgiler, yayınlandığında yazılımın son kararlı sürümü olan WordPress 4.7, için günceldir. Ancak yazılımın güncel sürümleriyle de ilgili olduğu düşünülmelidir. Çünkü geriye dönük uyumluluk, WordPress geliştirme ekibinin önem verdiği bir konudur. Belirli sürümlerde çekirdek yazılıma eklenen özel güvenlik önlemleri ve değişiklikler ayrıca bildirilir. Olabilecek en güvenli deneyimi sağlamak için her zaman güncel WordPress kararlı sürümünü kullanmanız önerilir.

Yönetici Özeti

WordPress, milyonlarca web sitesine, web uygulamasına ve blog sitesine can vermek için kullanılan dinamik bir açık kaynaklı içerik yönetim sistemidir. Şu anda, İnternet üzerindeki en iyi 10 milyon web sitesinin % 42 oranından fazlasına can vermektedir. WordPress, kullanılabilirliği, genişletilebilirliği ve olgun geliştirme topluluğu ile her boyuttaki web sitesi için beğenilen ve güvenilen bir seçimdir.

2003 yılında kurulmasından bu yana, WordPress sürekli güçlendirilmiştir. Çekirdek yazılımı, Açık Web Uygulama Güvenliği Projesi (OWASP) tarafından belirlenmiş ve bu belgede ele alınan en yaygın 10 güvenlik açığı ile birlikte, yaygın güvenlik tehditlerini ele alarak bunlara karşı önlemler sunabilir.

WordPress güvenlik ekibi, WordPress çekirdek liderlik ekibi ile iş birliği yaparak ve WordPress küresel topluluğunun desteğini alarak, WordPress.org üzerinde dağıtım ve kurulum için sunulan çekirdek yazılımdaki güvenlik sorunlarını belirlemek ve çözmek, üçüncü taraf eklenti ve tema yazarları için en iyi güvenlik uygulamalarını önermek ve tüm bunları belgelendirmek için çalışır.

Site geliştiricileri ve yöneticileri, tüm kullanıcıların WordPress erişimi için güçlü parolalar kullandığından emin olmanın yanında, yaygın güvenlik açıklarının kaynağı olan çekirdek API ve arkasındaki sunucu yapılandırmasının doğru kullanımına özellikle özen göstermelidir.

Özetle WordPress

WordPress ücretsiz ve açık kaynaklı bir içerik yönetim sistemidir (CMS). Dünyada en yaygın kullanılan CMS yazılımıdır ve ilk 10 milyon web sitesinin¹ % 42 oranından fazlasına can verir. Pazar payı, CMS kullanan tüm sitelerin yaklaşık % 62 kadarıdır.

WordPress, dört temel özgürlük sağlayan Genel Kamu Lisansı (GPLv2 veya üzeri) lisansı koşulları altında dağıtılmaktadır. Bunu WordPress 'haklar bildirgesi' olarak düşünebilirsiniz.

1. Programı herhangi bir amaç için kullanma özgürlüğü.
2. Programın nasıl çalıştığını inceleme ve dilediğiniz şekilde çalışması için değiştirme özgürlüğü.
3. Yeniden dağıtma özgürlüğü.
4. Değiştirdiğiniz sürümlerin kopyalarını başkalarına dağıtabilme özgürlüğü.

WordPress Çekirdek Liderlik Ekibi

WordPress projesi, yürütme kurulu çekirdek liderlik ekibi, lideri eş kurucu ve baş geliştirici Matt Mullenweg olan bir meritokrasidir. Ekip projenin, çekirdek geliştirme, WordPress.org ve topluluk girişimleri gibi tüm bileşenleri yönetir.

Çekirdek liderlik ekibi Matt Mullenweg, beş baş geliştirici ve kalıcı kod gönderme erişimi olan bir düzineden fazla çekirdek geliştiriciden oluşur. Bu geliştiriciler teknik konularda son kararı verir ve mimari tartışmalar ile hayata geçirme çalışmalarına öncülük ederler.

WordPress geliştirme çalışmalarına katkıda bulunan bir çok geliştirici var. Bunlardan bazıları eski, bazıları güncel sorumlular, bazıları da gelecekteki katılımcılar. Katkıda bulunan bu geliştiriciler, benzerleri arasında büyük saygı gören WordPress için güvenilir ve kıdemli kişiler. WordPress ayrıca gerektiğinde geçici olarak veya deneme amacıyla, belirli bir bileşen için konuk geliştiricilere erişim izni verir.

Çekirdek ve katkıda bulunan geliştiriciler öncelikle WordPress geliştirme çalışmalarına rehberlik eder. Her sürümde, yüzlerce geliştirici WordPress içine kod ekliyor. Çekirdek katılımcılar, çekirdek kod tabanına bir şekilde katkıda bulunan gönüllülerdir.

WordPress Yayın Döngüsü

Her WordPress yayın döngüsü, temel WordPress geliştiricilerinden bir ya da birkaçı tarafından yönetilir. Bir yayın döngüsü, kapsam belirleme toplantısından başlayarak, yayının kullanıma sunulmasına kadar kabaca 4 ay sürer.

Bir yayın döngüsünün süreci şu şekildedir²:

• 1. Aşama: Takım liderleri planlanır ve belirlenir. Bu iş Slack #core sohbet odasında yapılır. Yayın lideri, bir sonraki WordPress sürümünün özelliklerini tartışır. WordPress katılımcıları bu tartışmaya katılır. Yayın lideri, üzerinde çalışılacak her özellik için bir ekip lideri belirler.
• 2. Aşama: Geliştirme çalışmaları başlar. Ekip liderleri ekipleri bir araya getirir ve atanan özellikleri üzerinde çalışır. Geliştirmenin ilerlemesini sürdürmek için düzenli sohbetler planlanır.
• 3. Aşama: Beta. Beta sürümleri yayınlanır ve beta denemesi yapan kullanıcılarından hataları bildirmeye başlamaları istenir. Bu aşamadan sonra yeni geliştirmeler veya özellik istekleri için yeni bir söz verilmez. Üçüncü taraf eklenti ve tema yazarlarının kodlarını yayınlanması yaklaşan değişikliklere göre denemeleri önerilir.
• 4. Aşama: Yayın Adayı. Bu noktadan sonra çevrilebilir metinler dondurulur. Yalnız geri çekme ve engellere yönelik çalışmalar yapılır.
• 5. Aşama: Dağıtım. WordPress sürümü dağıtılır ve WordPress yönetici ekranında güncellemeler için kullanıma sunulur.

Sürüm Numaralandırma ve Güvenlik Yayınları

Önemli WordPress sürümleri ilk iki sayı tarafından belirlenir. 3.5, 3.6, 3.7 veya 4.0 büyük sürümlerdir. Bir “WordPress 3” veya “WordPress 4” sürümü yoktur. Her büyük sürüm “WordPress 3.9” gibi numaraları ile belirtilir.

Büyük sürümlerde yeni kullanıcı özellikleri ve geliştirici API yazılımları bulunur. Yazılım dünyasında alışageldik yapıda, büyük sürümlerde geriye dönük uyumluluğu bozacak noktalar olsa da, WordPress geriye dönük uyumluluğu korumaya çalışır. Geriye dönük uyumluluk projenin en önemli felsefelerinden biridir. Kullanıcılar ve geliştiriciler için olabilecek en kolay güncelleme deneyimini sunmayı amaçlıyoruz.

Küçük WordPress sürümü üçüncü sayı ile gösterilir. 3.5.1 ya da 3.4.2 sürümü küçük bir güncellemedir³. Küçük güncellemeler, güvenlik açıklarını kapatmak ya da önemli hataları gidermek içindir. Sık sık yeni WordPress sürümleri yayınlandığından — 4-5 ayda bir büyük bir sürüm ve gerektikçe küçük sürümler — her zaman büyük ve küçük sürümler olacaktır.

Sürümler Arası Geriye Uyumluluk

WordPress projesi geriye dönük uyumluluk konusuna büyük önem veriyor. Bu yaklaşım sayesinde, WordPress çekirdek yazılımı güncellense bile temalarınız, eklentileriniz ve özel geliştirdiğiniz kodlar çalışmayı sürüdürür. Böylece site sahipleri bir sorun yaşamadan her zaman güncel ve güvenli WordPress sürümünü kullanabileceklerini bilir.

WordPress ve Güvenlik

WordPress Güvenlik Ekibi

WordPress Güvenlik Ekibi yaklaşık 50 uzmandan oluşur. Bu sayıya lider geliştiriciler ve güvenlik araştırmacıları da dahildir — neredeyse yarısı Automattic çalışanıdır (WordPress.com geliştiriricileri, webdeki en erken ve en büyük WordPress barındırma platformu) ve bir kısmı da web güvenliği alanında çalışır. Ekip iyi bilinen ve güvenilir güvenlik araştırmacılarına ve barındırma hizmeti veren şirketlere de danışır³.

WordPress Güvenlik Ekibi çoğu zaman diğer güvenlik ekipleri ile beraber ortak gereksinimler üzerinde çalışır. Örneğin WordPress 3.9.2⁴ sürümünde WordPress ile beraber dağıtılan XML-RPC API yazılımı tarafından kullanılan PHP XML ayıklayıcıdaki bir hata giderilmiştir. Bu açık hem WordPress hem de Drupal güvenlik ekiplerinin ortak çabaları ile kapatıldı.

WordPress Güvenlik Riskleri, Süreç ve Geçmiş

WordPress güvenlik ekibi, herhangi bir olası güvenlik açığı ile karşılaşanların sorumlu davranarak ekibi hemen uyarması gerektiğine inanıyor. Olası güvenlik açıkları Güvenlik Ekibine WordPress HackerOne⁵ üzerinden iletilebilir. Güvenlik ekibi sorunu kendi içinde gizli bir Slack kanalında görüşüp, kapalı kapılar ardında gizli bir Trac deposunda çalışıp denemeler yaparak hataları ve güvenlik sorunlarını giderir.

Her bir güvenlik açığı bildirimi alındığı anda ele alınır. Ardından ekip açığı doğrulamaya ve düzeyini belirlemeye çalışır. Açık doğrulanırsa, güvenlik ekibi sorunu çözmek için bir yama planlar. Bu yama durumun aciliyetine göre bir sonraki sürümde yayınlanabileceği gibi bir ayrı güvenlik güncellemesi olarak da yayınlanabilir.

Acil bir güvenlik yayını söz konusu olduğunda, Güvenlik Ekibi WordPress.org Haber sitesinde⁶ yayınlanan sürüm hakkında bilgiler veren ve değişiklik ayrıntılarını içeren bir duyuru yayınlar. Sorumluluk bilinci ile yapılan güvenlik açığı bildirimlerinin sürmesi için, açığı bulan ve bildiren kişi(ler) duyuru metninde uygun şekilde onurlandırılır.

WordPress yazılımının yöneticileri sitelerinin yönetim panelinde yeni bir sürüm yayınlandığı hakkında bir bildirim görürler. El ile yapılan güncelleme işlemi sonrasında değişiklikler ile ilgili WordPress Hakkında sayfasına yönlendirilirler. Yöneticiler arka planda otomatik güncellemeyi etkinleştirmiş ise, güncelleme tamamlandığında bir e-posta ile bilgilendirilirler.

Güvenlik Yayınları için Arka Planda Otomatik Güncellemeler

3.7 sürümü ile beraber, WordPress, 3.7.1 ve 3.7.2 gibi tüm küçük güncellemeler⁷ için arka planda otomatik güncelleme özelliğini duyurdu. WordPress Güvenlik Ekibi, güvenlik açıkları için iyileştirmeleri tespit edip yamayabilir ve otomatik bir şekilde sitenize ileterek kurulmasını sağlayabilir. Site sahibinin bu konuda hiç bir şey yapması gerekmez.

Güncel WordPress kararlı sürümü için bir güvenlik güncelleştirmesi yayınlandığında, arka planda güncelleme yapabilen (WordPress 3.7 ve üzeri) tüm sürümler için güvenlik güncellemesi yayınlanır. Böylece eski fakat geçerli olan WordPress sürümleri de güvenlik güncellemelerini alabilir.

Bireysel site sahipleri yapılandırma dosyalarında yapabilecekleri ufak bir değişiklik ile güncellemeleri arka planda almayı seçebilir. Bu özellik, güncel ve kararlı WordPress sürümü ile çalışmanızı sağlayacağından, çekirdek ekibi tarafından önemle önerilmektedir.

2013 OWASP En İyi 10

Açık Web Uygulaması Güvenliği Projesi (OWASP), web uygulamalarının güvenliğine adanmış bir çevrimiçi topluluktur. OWASP İlk 10 listesi⁸, çok sayıda kuruluş içinden en ciddi uygulama güvenliği risklerini belirlemeye odaklanmıştır. İlk 10 öge, kötüye kullanılabilme, algılanabilme ve etki öngörüleri değerlendirilerek fikir birliği ile seçilir ve sıralanır.

Aşağıdaki bölümlerde olası risklere karşı WordPress tarafından temel yazılımı, üçüncü taraf eklentileri ve temaları güçlendirmek için kullanılan API yazılımları, kaynaklar ve ilkeler ele alınmaktadır.

A1 - Enjeksiyon

WordPress, geliştiricilere sunduğu işlevler ve API yazılımları ile bir kodun yetki sahibi olmadan enjekte edilmesini engellemeye ve doğrulanıp ayıklanmasına yardımcı olur. HTML, URL ve HTTP üst bilgilerinde bulunabilecek veriler ile veritabanı ve dosya sistemi tarafından işlenen gelen ve giden verilerin API tarafından doğrulanması ve ayıklanması için uygulama örnekleri ve belgeleri ⁹ üzerinde bulabilirsiniz. Ayrıca yöneticiler süzgeçleri kullanarak yüklenebilecek dosya türlerini daha da kısıtlayabilir.

A2 - Bozuk Kimlik Doğrulama ve Oturum Yönetimi

WordPress çekirdek yazılımı, kullanıcı hesaplarını ve kimlik doğrulaması işlemlerini yönetir. Kullanıcının kodu, adı ve parolası gibi ayrıntılar, kimlik doğrulama çerezlerinin yanında sunucu tarafında yönetilir. Parolalar veritabanında standart karma ve germe teknikleri kullanılarak korunur. WordPress 4.0 sürümünden itibaren, var olan oturumlar kapatıldığında yok edilir.

A3 - Siteler Arası Komut Aktarımı (XSS)

WordPress, kullanıcı tarafından paylaşılan verilerin güvenliğini sağlamaya yardımcı olabilecek çeşitli işlevler sunar¹⁰. Tek bir WordPress kurulumunda yöneticiler ve düzenleyiciler olan güvenilir kullanıcılar ve yalnız WordPress Multisite kurulumunda ağ yöneticileri, bir gönderi veya sayfa gibi, gerek duydukları kadar süzülmemiş HTML veya JavaScript yazıları ekleyebilir. Güvenilmeyen kullanıcılar ve kullanıcı tarafından gönderilen içerik, tehlikeli içerikleri kaldırmak için varsayılan olarak wp_kses işlevi tarafından KSES kitaplığı kullanılarak süzülür.

Örneğin, WordPress çekirdeği ekibi, WordPress 2.3 sürümünün yayınlanmasından önce the_search_query() işlevinin, tema geliştircilerinin çoğu tarafından - HTML içinde kullanılmak üzere işlevin çıktısından kaçınmayarak - hatalı kullanıldığını fark etti. Geriye dönük uyumluluğun hafifçe bozulduğu çok nadir bir durumda, işlevin çıktısı WordPress 2.3 sürümünde önceden kaçınılacak şekilde değiştirildi.

A4 - Güvenli Olmayan Doğrudan Nesne Referansı

WordPress sıklıkla, adres ya da form alanlarında kullanılan tekil kullanıcı hesabı numarası ya da içerik için doğrudan nesne belirteci referansları sağlar. Bu belirteçler doğrudan sistem bilgilerini açığa çıkardığından, WordPress zengin izinler ve erişim denetimi sistemini kullanarak, yetkisi olmayan istekleri engeller.

A5 - Hatalı Güvenlik Yapılandırması

WordPress güvenlik yapılandırma işlemlerinin çoğu tek bir yetkili yönetici ile sınırlıdır. Varsayılan WordPress ayarları çekirdek ekip düzeyinde sürekli olarak değerlendirilir ve WordPress çekirdek ekibi, bir WordPress sitesi¹¹ işletmek için güvenliği sıkılaştıracak sunucu yapılandırmasını, hazırladığı belgeler ve iyi uygulama örnekleri ile sunar.

A6 - Hassas Verilerin Açık Edilmesi

WordPress kullanıcı hesabı parolaları, Portable PHP Password Hahing Framework¹² yazılım çatısı kullanılarak karılır. WordPress izin sistemi, kayıtlı kullanıcılar PII, yorum yapanlar ve e-posta adresleri, özel olarak yayınlanmış içerik gibi özel bilgilere erişimi denetlemek için kullanılır. WordPress 3.7 sürümünde çekirdek yazılıma parola zorluğu ölçümü eklenerek, kullanıcılara parolalarını belirlerken ek bilgiler ile parola zorluğunu artırma konusunda ipuçları sunuldu. Ayrıca HTTPS kullanımı için WordPress üzerinde isteğe bağlı bir yapılandırma ayarı bulunur.

A7 - Eksik İşlev Düzeyi Erişim Denetimi

WordPress, herhangi bir işlev düzeyindeki erişim isteği için, işlemi gerçekleştirmeden önce kimlik doğrulamasına ve izinlerin uygun olup olmadığına bakar. Yönetim adresleri, menüler ve sayfalar gibi ögelere erişme ve görüntüleme işlemleri, yetkisi olmayan kullanıcıların erişimini engellemek için kimlik doğrulama sistemi ile sıkı bir şekilde bütünleştirilmiştir.

A8 - Siteler Arası İstek Sahteciliği (CSRF)

WordPress, olası CSRF tehditlerine karşı koruma sağlamak amacıyla, kimliği doğrulanmış kullanıcılardan gelen işlem isteklerinin niyetini doğrularken nonce¹³ (tek kullanımlık numara) adı verilen şifreleme kodlarını kullanır. WordPress üzerinde, geçici eşsiz kodlar oluşturmak ve doğrulamak için bu kodların oluşturulmasını sağlayan bir API bulunur. Tek kullanımlık kodlar, belirli bir kullanıcı, belirli bir işlem, belirli bir nesne ve belirli bir saat dilimi ile sınırlandırılmıştır ve gerektiğinde formlara ya da adreslere eklenebilir. Oturum kapatıldığında tüm tek kullanımlık kodlar geçersiz kılınır.

A9 - Bilinen Güvenlik Açıkları olan Bileşenleri Kullanma

WordPress çekirdek ekibi, temel WordPress işlevlerinin bütünleşik çalıştığı birkaç kitaplığı ve yazılım çatısını yakından izler. Çekirdek ekip geçmişte birçok üçüncü taraf bileşenini daha güvenli hale getirmek için katkıda bulundu. Örneğin WordPress 3.5.2¹⁴ içindeki TinyMCE üzerinde siteler arası bir güvenlik açığı giderildi.

Çekirdek ekibi gerekirse kritik dış bileşenleri dallandırabilir ya da değiştirmeye karar verebilir. Örneğin 3.5.2 sürümünde, SWFUpload kitaplığı Plupload kitaplığı ile değiştirildi ve güvenlik ekibi<¹⁵ tarafından kısa süreliğine SWFUpload kullanmayı sürdüren eklentiler için güvenli bir SWFUpload dalı yayınlandı.

A10 - Doğrulanmamış Yönlendirmeler ve İletmeler

WordPress üzerindeki iç erişim denetimi ve kimlik doğrulama sistemi, kullanıcıları istenmeyen hedeflere veya otomatik yönlendirmelere karşı korur. Bu özellik, wp_safe_redirect()¹⁶ adlı bir API üzerinden eklenti geliştiricilere de sunulur.

Diğer Güvenlik Riskleri ve Endişeler

XXE (XML eXternal Entity) işleme saldırıları

XML dosyaları işlenirken, External Entity ve Entity Expansion saldırılarını önlemek için WordPress özel XML varlıklarının yüklenmesini devre dışı bırakır. WordPress, temel PHP işlevselliğinin ötesinde, eklenti geliştiriciler için ek güvenli bir XML işleme API yazılımı sağlamaz.

SSRF (Sunucu Tarafı İstek Sahteciliği) Saldırıları

WordPress tarafından gönderilen HTTP istekleri geri döngüye ve özel IP adreslerine erişimi önlemek için süzülür. Ayrıca, yalnız belirli standart HTTP kapı numaralarına erişim izni verilir.

WordPress Eklenti ve Tema Güvenliği

Varsayılan Tema

WordPress üzerinde, içeriğin site ön yüzünde görüntülenmesi için bir temanın etkinleştirilmesi gerekir. Çekirdek WordPress (güncel sürüm "Yirmi Yirmibir") ile birlikte gelen varsayılan tema, hem tema geliştiricileri hem de çekirdek geliştirme ekibi tarafından güvenlik açısından ayrıntılı olarak incelenip denendi.

Varsayılan tema, özel tema geliştirme çalışmaları için bir başlangıç noktası olabilir. Site geliştiricileri, bazı özelleştirmeler içeren ancak çoğu işlevsellik ve güvenlik için varsayılan temayı kullanan bir alt tema oluşturabilir. Varsayılan tema, gerekirse bir yönetici tarafından kolayca kaldırılabilir.

WordPress.org Tema ve Eklenti Depoları

WordPress.org sitesinde yaklaşık 50.000+ eklenti ve 5.000+ tema bulunuyor. Bu tema ve eklentiler depoya eklenmek üzere gönderilir ve depoda yayınlanmadan önce gönüllüler tarafından el ile gözden geçirilir.

Eklentilerin ve temaların depoya eklenmiş olması, güvenlik açıklarından arınmış olduklarını garanti etmez. Eklenti geliştiricilerinin depoya¹⁷ eklenme başvurusunu yapmadan önce yararlanması için rehberler hazırlanmıştır. WordPress temaları geliştirmek¹⁸ hakkında kapsamlı belgeler WordPress.org sitesinde bulunabilir.

Her eklenti ve tema, eklenti veya temanın sahibi tarafından sürekli olarak geliştirilebilir. Yeni düzeltmeler veya eklenen özellikler depoya yüklenebilir. Bu eklenti veya temayı kurmuş kullanıcılar, yenilikleri açıklamasıyla birlikte görebilir. Güncellemeler site yöneticilerine yönetim panosu üzerinden bildirilir.

Bir eklentide güvenlik açığı bulunduğunda, WordPress güvenlik ekibi eklenti geliştiricisine ulaşır ve eklentinin düzeltilerek güvenli bir sürümünün yayınlaması için geliştirici ile birlikte çalışır. Eklenti geliştiricisinden yanıt alınamıyorsa veya güvenlik açığı ciddiyse, eklenti/tema ortak dizinden kaldırılır. Bazı durumlarda eklenti doğrudan güvenlik ekibi tarafından düzeltilir ve güncellenir.

Tema İnceleme Ekibi

Tema inceleme ekibi, resmi WordPress tema dizinine eklenmek üzere gönderilen temaları inceler ve onaylar. WordPress topluluğunun temel ve bilinen üyeleri tarafından yönetilen bir grup gönüllüdür. Tema inceleme ekibi, resmi tema inceleme rehberlerini¹⁹, tema biriminin deneme verilerini²⁰ ve tema denetimi eklentilerini²¹ yönetir. WordPress tema geliştiricisi topluluğunu, en iyi uygulama geliştirme yöntemleri hakkında bilgilendirmeye ve eğitmeye çalışır. Gruba katılım WordPress geliştirme ekibi tarafından yönetilir.

WordPress Güvenliğinde Barındırma Hizmeti Sağlayıcısının Rolü

WordPress çok sayıda platform üzerine kurulabilir. WordPress çekirdek yazılımı, bu belgede güvenli bir web uygulamasının çalıştırılması için birçok öneri sunulsa da, işletim sisteminin ve yazılımı barındıran temel web sunucusunun yapılandırılması, WordPress uygulamalarının güvenliğini sağlamak için eşit derecede önemlidir.

WordPress.com ve WordPress güvenliği hakkında bir not

WordPress.com, dünyanın en büyük WordPress kurulumudur ve WordPress projesinin ortak yaratıcısı Matt Mullenweg tarafından kurulan Automattic Inc. şirketine aittir. WordPress.com, çekirdek WordPress yazılımı üzerinde çalışır ve kendi güvenlik süreçleri, riskleri ve çözümleri vardır²². Bu belge, WordPress.org adresinde bulunan ve dünyadaki herhangi bir sunucuya kurulabilen, indirilebilir açık kaynaklı WordPress yazılımının kendi kendine barındırma güvenliği ile ilgilidir.

Ek

Çekirdek WordPress API Yazılımları

WordPress çekirdek uygulama programlama arabirimi (API), her biri belirli bir işlev kümesinde yer alan işlevleri kullanan birkaç ayrı API²³ yazılımından oluşur. Bunlar, eklentilerin ve temaların WordPress çekirdek işlevselliği ile güvenli ve sağlam bir şekilde etkileşime girmesini, değiştirmesini ve genişletmesini sağlayan proje arabirimini oluşturur.

Her WordPress API yazılımı, WordPress çekirdek yazılımıyla etkileşimde bulunmak ve işlevselliği arttırmak için en iyi uygulamaları ve standartlaştırılmış yolları sunarken, aşağıdaki WordPress API yazılımları WordPress güvenliğini sağlamak ve güçlendirmek için en uygun olanlardır:

Veritabanı API Yazılımı

WordPress 0.71 sürümüne eklenen veritabanı API²⁴ yazılımı, verilere veritabanı katmanında depolanmış verilere adlandırılmış değerler olarak erişmek için doğru yöntemi sağlar.

Dosya Sistemi API Yazılımı

WordPress 2.6²⁶ sürümünde eklenen dosya sistemi API²⁵ yazılımı, aslında otomatik WordPress çekirdeği güncelleme özelliği için oluşturulmuştur. Dosya sistemi API yazılımı, çeşitli sunucu türlerinde, güvenli bir şekilde, dosya sistemindeki yerel dosyaları okumak ve yazmak için gereken işlevleri sağlar.

Bunun için, WP_Filesystem_Base sınıfını ve sunucu desteğine bağlı olarak yerel dosya sistemine bağlanmak için farklı yöntemler uygulayan birkaç alt sınıf kullanır. Yerel olarak dosya yazması gereken herhangi bir tema veya eklenti, bu işlemi WP_Filesystem sınıf ailesini kullanarak yapmalıdır.

HTTP API

WordPress 2.7 sürümüne eklenen²⁸ ve WordPress 2.8 sürümünde daha da genişletilmiş olan HTTP API²⁷, WordPress için HTTP isteklerini standartlaştırır. API çerezleri, gzip kodlama ve kod çözme, yığın kodu çözme (HTTP 1.1 ise) ve diğer çeşitli HTTP iletişim kuralı uygulamalarını ele alır. API yapılan istekleri standartlaştırır, göndermeden önce her yöntemi sınar ve sunucu yapılandırmanıza bağlı olarak isteği yapmak için uygun yöntemi kullanır.

İzinler ve güncel API kullanıcısı

İzinler ve geçerli kullanıcı API²⁹, geçerli kullanıcının istenilen herhangi bir görevi veya işlemi gerçekleştirmek için izinlerini ve yetkisini doğrulamaya yardımcı olacak ve yetkisiz kullanıcıların izin verilen özelliklerin ötesindeki işlevlere erişmesine veya bu işlemleri yapmasına karşı daha fazla koruma sağlayabilecek bir işlevler kümesidir.

Teknik inceleme içeriği lisansı

Bu belgedeki metin (WordPress logosu veya ticari markası dışında) CC0 1.0 Universal (CC0 1.0) Herkese Açık Adama lisansı koşulları altında dağıtılmaktadır. Çalışmayı, ticari amaçlar için bile izin almadan kopyalayabilir, değiştirebilir, dağıtabilir ve çalıştırabilirsiniz.

İlham veren, Drupal güvenlik belgesi sunumuna özel olarak teşekkür ederiz.

Ek Okumalar

• WordPress Haberleri https://wordpress.org/news/
• WordPress Güvenlik Yayınları https://wordpress.org/news/category/security/
• WordPress Geliştirici Kaynakları https://developer.wordpress.org/

Sara Rosso tarafından geliştirilmiştir

Barry Abrahamson, Michael Adams, Jon Mağarası, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana tarafından yapılan katkılarla

1.0 Sürümü Mart 2015

Dipnotlar

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/