Günah keçisi WordPress

Image: @GLady, 2016, Pixabay

Geçmişten geleceğe WordPress

Ücretsiz blog platformu wordpress.com’u bir kenara bırakırsak WordPress yazılımı, PHP ve MySQL üzerine kurulu, açık kaynak kodlu bir içerik yönetim sistemidir (CMS). WordPress aslında güncel bir yazılım olması ile birlikte geliştirilmesi ve kökleri 2001 yılına dayanır. Kendi topluluğu tarafından geliştirilmesine rağmen adı sıklıkla Automattic şirketiyle birlikte anılan WordPress, “WordPress” markasının devredildiği bir çatı organizasyon olan WordPress Vakfı tarafından desteklenmektedir. WordPress olgun ve kararlı bir yazılım olmasıyla birlikte, güncel teknolojilerin entegre edildiği, sürekli desteklenen ve aktif olarak geliştirilen bir yazılımdır. * *

PHP-Nuke, Post-Nuke gibi yazılımların arasında CMS savaşlarının yaşandığı 2000’li yılların başından bu yana, bu yazılımların Drupal, Joomla gibi pek azı gerçek anlamda hayatta kalmayı başarmış ve bu hayatta kalanlar arasından da, sonradan kazandığı CMS özellikleri ile WordPress pazar lideri konumuna gelmiştir. 2017 yılı itibarıyla bilinen içerik yönetim sistemleri arasında %58’den fazla pazar payına sahip olan WordPress, Internet’teki tüm web sitelerinin yaklaşık %27’si tarafından kullanılmaktadır. * * *

WordPress kullanmak kurumsal kimliğime zarar verir mi?

Öyle olsa idi, CNN, BBC America, Microsoft News Center, Forbes, Sony, Best Buy, Time Magazine, New York Post, Logitech, Xerox, Walt Disney gibi şirketler hiçbir zaman WordpPress kullanmamış olurlardı. Katy Perry, Beyonce ve The Rolling Stones da bonus olsun bari. Çeşitli iş kollarındaki özel ve tüzel kişileri görüntülemek için şu bağlantılara göz atabilirsiniz: * *

 

WordPress güvenli midir?

Açık kaynak kodlu bir yazılımın, kendi özel yazılımından daha az güvenli olduğunu söyleyen firmayı, medeni cesaretinden dolayı kutlamak gerekir. Açık kaynak kodunun güvenliği konusunda binlerce kaynak varken bu konuyu fazla uzatmadan sadece WordPress ve PHP’nin özelinde bazı bilgiler verelim.

WordPress 3.7 sürümünden beri otomatik güvenlik güncelleştirmeleri sunmaktadır. Yani web siteniz kendi kendini güncelleyerek zero-day güvenlik açıklarına karşı dahi korunabilmektedir.

Kapalı kaynak kodlu özel bir yazılım aslında o kadar da özel değildir. Sonuçta, özel bir içerik yönetimi yazılımı satın aldığınız firma, yazılımın tamamını kendisi yazmamaktadır. Mutlaka bazı kütüphaneler, frameworkler kullanmaktadır. Bu noktada kendinize şu soruyu sormalısınız: Firmanız, kullanılan bir kütüphanede yeni keşfedilen güvenlik açığı için, anında bir yama yayınlayıp, sizin sunucunuzu güncelleyebiliyor mu? WordPress’in güvenlik güncelleştirmelerine bir göz atın.

Bazı kronik sorunların geçmişte kalması ve eskiye göre kodlama hatalarının azalması da işin diğer bir boyutudur. Kodlama hatalarından kaynaklanan güvenlik açığı riski yine mevcut olmakla birlikte, bunların hiçbiri WordPress’e özel değildir. Örneğin, yukarıda cümle içinde bahsettiğim CMS savaşlarının yaşandığı yıllarda revaçta olan SQL injection güvenlik açığı, PHP’nin yeni MySQL eklentisindeki “prepared statements” desteği sayesinde önemli ölçüde bertaraf edilmiştir. XSS güvenlik açığı riski yine vardır, fakat Web Application Firewall’lar artık daha yaygın kullanılmaktadır.

Konuya dönersek, WordPress, kendisi ile birlikte gelen kütüphanelerin ve tüm diğer kodların güvenliğinden kendisi sorumlu ve otomatik güncelleştirme özelliği sayesinde zero-day açıklar yaygınlaşmadan kontrol altına alınabiliyor. Görece daha güvensiz bölümler ise web sitesinde kullanılan tema ve eklentiler. Tema ve eklentilerin güvenliğini sağlamak için, yine yazarları tarafından yayınlanan güncellemeleri takip etmek gerekli.

 

WordPress ile yeterli destek alabilir miyim?

WordPress, gerçekten büyük bir kullanıcı kitlesine sahip. Sadece 4.6 sürümü 21.7 milyon kez indirilen bir yazılımdan bahsediyoruz. Bu, on binlerce eklenti ve tema, milyonlarca kullanıcı, destek alabileceğiniz binlerce forum demek. Ayrıca kurumsal destek için dünyada ve Türkiye’de yerel firmalar mevcut. Oysa bir firmadan özel bir yazılım aldığınızda, desteği yalnızca aynı firmadan almaya devam edebilirsiniz.

 

WordPress’i nasıl daha güvenli hale getiririm?

Daha önce belirttiğim üzere WordPress, güvenlik güncelleştirmelerini otomatik olarak yapar. Bunun yanında kullanılan tema ve eklentilerin güncelleştirmeleri düzenli olarak yapılmalı, gereksiz ve kullanılmayan eklentiler aktif durumda tutulmamalıdır.

Güvenlik açısından yönetim ile ilgili dosyalar /wp-admin adında ayrı bir klasöre yerleştirilmiştir. Bu klasör sunucu konfigürasyonu ile IP kısıtlaması veya ikinci bir şifre ile korunabilir.

Özellikle kurumsal uygulamalarda standart güvenlik duvarının yanında mutlaka bir Web Application Firewall (WAF) kullanılmalıdır.

Bunun yanında bilinmeyen kaynaklardan indirilen eklenti ve temalar kullanılmamalı, özellikle nulled (crackli) tema ve eklentilerden uzak durulmalıdır.

Ayrıca WordPress için çeşitli güvenlik eklentileri de mevcuttur fakat bence Web Application Firewall ve doğru ayarlanmış bir sunucu, eklenti tabanlı koruma yöntemlerinden daha iyidir.

 

WordPress eski midir?

Daha önce de belirttiğim gibi, WordPress olgun bir yazılım olmasıyla birlikte, güncel teknolojilerin entegre edildiği, sürekli desteklenen ve aktif olarak geliştirilen bir yazılımdır. Yeni / eski kavramları göreceli kavramlar olmasıyla birlikte, WordPress halen pazarın lideri konumunda ve halen aktif olarak geliştirilmeye devam edilmektedir.

Görece yeni olan HTML5’in WordPress’e zamanla entegre edilmesini adım adım izledik. Bunun gibi içerdiği birçok kütüphane zamanla güncellendi. Yönetim paneli, eklenti arayüzü, temalar zamanla birçok özellik kazandı ve hep güncel tutuldu. Bu konuda iyi iş çıkarttıklarını düşünüyorum. Güncel tutma konusunda her zaman güven verdiler.

 

Peki, WordPress’in hiç mi suçu yok ?

WordPress, bir blog için mükemmel bir çözümdür. Mesele şu ki, blog veya içerik yönetim konseptinden uzaklaştıkça ve WordPress’i bir PHP framework olarak kullanmaya çalıştıkça, daha fazla eklenti ve daha fazla özel koda ihtiyacınız olur. Daha fazla eklenti kullanmak da daha fazla güvenlik riski anlamına gelir. Diğer yandan WordPress’in kendisi bedava iken, eklentiler bedava olmayabilir. Bazı eklentilerin ücretli sürümleri mevcuttur.

WordPress eylem ve filtre kancalarına sahiptir fakat yine de bazen basit bir iş için karmaşık bir kod yazmanız gerekebilir.

WordPress’in eklenti geliştiricileri, tema geliştiricileri, satıcılar ve kullanıcılardan oluşan büyük bir kullanıcı kitlesi vardır. WordPres’in işleyişinde yapılan küçük bir değişiklik, milyonları etkileyebilir.

Sonuçta,

Öyle ya da böyle WordPress’in, içerik yönetim sistemlerinin ilk yılları ile görsel ve teknik açıdan yanlışlarla dolu  onca yetersiz web sitesi hatırlandığında, Internet’in bel kemiğini oluşturan blog işine belirli bir standart getirdiğini söyleyebiliriz.


Güncelleme (13.01.2019):

WordPress 5 yeni bir editörle geldi. Resmi bir page builder alternatifine ihtiyaç vardı ve “Block Editor” (diğer adıyla Gutenberg) geldi (Block Editor bir page builder değildir). Bazı eksiklikleri olsa da ve bazılarımız alışmakta zorlansa da, block editor halen geliştirilmekte. Öte yandan, burada da WordPress’in yenilenme ve çağa ayak uydurma stratejisini görebiliyoruz. Artık yeni günah keçisi block editor!

Kaynaklar:

http://wordpressfoundation.org/2010/trademark/
https://wordpress.org/about/
https://www.wikizero.com/en/WordPress
https://w3techs.com/technologies/details/cm-wordpress/all/all
https://torquemag.io/2016/10/13-surprising-wordpress-statistics-updated-2016/
https://websitesetup.org/popular-cms/
https://codex.wordpress.org/Version_3.7
https://wordpress.org/news/category/security/
http://www.wpbeginner.com/showcase/40-most-notable-big-name-brands-that-are-using-wordpress/
https://wordpress.org/showcase/

Kaynak: https://volkan.xyz

 

Bu yazıyı yalnızca kaynak göstererek ve önceden belirtilen Kullanım Koşulları altında paylaşabilirsiniz.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir