WordPress təhlükəsizlikdə kiçik, amma çox önəmli bir detal

WordPress(WP) saytların təhlükəsizliyi mövzusu çox önəmlidir, ən azı ona görə ki bu CMS dünyada ən populyar CMS-dir.
Bu yazıda sadə bir əməliyyatın, administrator istifadəçi adını fərqli etməyin nə dərəcədə önəmli olmasından bəhs edəcəyik.
Amma ilk öncə WP CMS-inin Core halında nə dərəcədə təhlükəsiz olması haqda deyim: Tam təhlükəsizdir. Heç bir əsaslandırılmamış əks fikrə inanmaq lazım deyil. Kod tərəfdən heç bir problem yoxdur, problem insan amili ilə bağlıdır ki, o haqda bəhs edəcəyik.
Sual: Bəs o halda Core halda belə əlavə təhlükəsizlik tədbirləri nəyə lazımdır? (Plugin və theme haqda bu dəfə danışmırıq)
Cavab: Ona görə lazımdır ki, WordPress nə qədər güvənli olsa da, açıq kodludur deyə strukturu hər kəsə aydındır. Və aydındır deyə, internetdə gəzib dolaşan çoxsaylı botlar arabir sizin sayta da bir tilov atacaq. Çünki hansı faylın harda yerləşdiyini bilir.

Məsələn wp-admin-ə təsadüfi post request göndərəcək 100 dəfə, təsadüfi parollarla, tutar tutar, tutmaz tutmaz. Bu tip hücumları əksər developerlər tədqiq etmir deyə say haqda təsəvvürləri yoxdur. Amma gerçək olan budur ki, hər bir WP sayt ay ərzində 100-lərlə, bəlkə minlərlə belə hücuma məruz qalır. Və hər hücumda milyonda bir ehtimal olsa belə saytın admin panelinin ələ keçirilməsi ehtimalı var.

WP təhlükəsizlik uzun mövzudur, bir yazıda ətraflı bəhs etmək olmaz. Amma cəmi 1 detalı dəyişməklə siz hücumların mütləq əksərinin qarşısını almış olursunuz. Aşağıdakı şəklə baxaq:
Screenshot from 2013-06-04 09:23:43
Burada mən Cavablar.net analitikasını aparmışam və bir gün ərzində əcnəbi İP-lərdən edilən hücumların sayına diqqət edin. Yüzlərlə hücum var, hər hücum 16 cəhddən sonra xüsusi plugin ilə blok edilib hələ, edilməsəydi say minlərlə olardı.

Gələk bugünku əsas məqama: Bütün bu hücumları bir şey birləşdirir: username = admin yoxlanılır, yalnız və yalnız. Çünki WP-də başlanğıc halda username admin olur. İnstall zamanı bircə admin username-ni dəyişməklə siz bütün bu hücumları tam mənasız etmiş olursunuz. Gördüyünüz kimi kiçik, amma çox önəmli detaldır.

Sual: Bəs artıq aktiv olan saytımda admin userini necə dəyişim, axı login-i dəyişmək icazəsi yoxdur?
Cavab: Bəli yoxdur, amma bunu asanlıqla sql admin-dən etmək olar. Məsələn girirsiniz phpmyadmin-ə, wp_users cədvəlində admin userini tapıb, user login-i dəyişib yadda saxlayırsınız, vəssalam. Və ya SQL dili ilə desək: update
wp_users set user_login=’yeni_ad’ where user_login=’admin’;

Təkrar edirəm ki, WP təhlükəsizlik tədbirləri bircə bu deyil və xeyli sayda tədbirlər var, sadəcə mən ən asan bir tədbirin necə effektiv olması haqda bəhs etmək istədim.

Qeyd: Yuxarıdakı analitikanı Limit Login Attemps plugini ilə aparmışam. Pulsuzdur, yükləyə bilərsiniz. Plugin bu tipli analiz hesabat ilə yanaşı həm də bu tip İP-ləri blok etmək imkanına malikdir.

Azərbaycan dilində WordPress paketi

Azərbaycan dilində WordPress paketi hazırlamaq işi hələ 2009-cu ilin ortalarında Dev.az komandası tərəfindən başlanılmışdı. Layihə Launchpad kollektiv tərcümə sistemində yerləşdirildiyindən könüllülər də layihəyə qoşulmuşdu(59 nəfər). Təxminən 1 il öncə mən də layihəyə administrator olaraq qoşuldum və 1000-ə yaxın sözün tərcüməsində redaktələr apardım.
Hazırda bir neçə aydır Launchpad tərcümə sisteminin məhz adıçəkilən bölməsində sistem xətaları meydana gəlir deyə tərcüməni davam etdirmək çətinləşib. Həm də tərcümə paketi WordPress-in köhnə versiyalarından birinə aiddir deyə yeni versiyalardakı sözlər orada öz əksini tapmır. Bu səbəbdən də Azərbaycan dili paketi aktiv edilmiş saytlarda tez-tez ingiliscə sözlərə də rast gəlinir.
Ona görə də bir müddətdir budaq versiyanı Launchpad-dan ayırıb tək davam etdirirəm. Şəxsi istifadədə yanlış tərcümə və ya ingiliscə sözə rast gəldikcə paket faylında redaktələr edib onu yeniləyirəm. Planda var ki, bir neçə ay ərzində daim yenilənmə sayəsində keyfiyyətli bir tərcümə əldə edilmiş olsun. Beləliklə daim yenilənən paketi bu ünvandan yükləyə bilərsiniz. http://e-haci.net/wordpress-az%c9%99rbaycan-dili/

Google+ WordPress Developers Community – Məqsəd

Belə bir Community yaratmağı qərara gəldim. https://plus.google.com/communities/115971210454065924105
Screenshot from 2012-12-27 09:54:52
Yəqin bəzilərinizin məlumatı var ki, Linkedin-də də belə bir qrupumuz var(qoşula bilərsiniz: http://www.linkedin.com/groups?home=&gid=3722491) və hazırda müxtəlif ölkələrdən 3000-ə yaxın üzvü var, qrup çox aktivdir. Məlumatımıza görə bu qrup Linkedin-də sırf WordPress Developer-lər üçün nəzərdə tutulan ən böyük qrupdur.

Amma Linkedin bir növ qapalı sistem olduğundan, funksionalı da məhdud olduğundan orada qrup imkanları dardır və sırf qrup olmaqdan o tərəfə keçmir, Community ola bilmir. Facebook qruplarda da vəziyyət eynidir.

Google+ isə Community üçün yaxşı imkanlar yaradır. Beləliklə bu qrupu yaratdıq və WordPress Development-də maraqlı olan hər kəs üçün maraqlı və faydalı bir platformaya çevirməyə çalışacağıq.
https://plus.google.com/communities/115971210454065924105

P.S. Səhifə ingilisdillidir və lokal xarakter daşımır.

WordPress üçün asan və funksional Backup qoşmaları

wordpress-seo-plugins

WordPress sistemində qurulan saytları Backup etmək üçün bir çox üsullar mövcuddur. Bazanı əllə dump etmək, file sistemi copy paste etmək həll yollarından ən qabasıdır. Bəs optimal yollar necədir? Optimal yollar üçün bir çox asanlaşdırıcı pluginlər mövcuddur. Bəzi pluginlər tək bazanı, bəziləri tək faylları, bəziləri hər ikisini backup edib sistemdə saxlayır, siz yükləyirsiniz. Bəziləri də var ki, backup etdikdən sonra arxiv faylı dərhal Dropbox bulud xidmətinə köçürə bilir. Bu da çox yaxşı funksiyadır. Belə ki backup-un hazır olmasından sonra dərhal hostinqi tərk edib Dropbox-a köçməsi hostinqdə istənilən an baş verəcək qəzanın fəsadlarını minimallaşdırır.

backup-solutions

Backup pluginlərinə 2 yaxşı nümunə yazım:

1. Backup Scheduler
Bəzi saytlarda istifadə edirəm. Yaxşı plugindir. Schedule imkanına malikdir, hansı ki, istənilən gün intervalı seçib hansı intervaldan bir backup çıxarılmasını təyin edə bilirik. Backupun ftp ilə kənar hostinqə yüklənməsini, habelə emailinizə göndərilməsini də təmin edə bilirik.
Hostinqlərin məhdudiyyətini nəzərə alaraq backup faylını hissələrə bölmək imkanı da var. Yəni backup 100 MB olacaqsa, bunu yaratmaq və göndərmək hostinqə çətin ola bilər, onu 5-5 meqabaytla 20 yerə bölmək imkanı var.

2. WordPress Backup to Dropbox 
Bu da yaxşı plugindir. Backup faylını birbaşa Dropbox qovluğunuza göndərir. Saytın içərisindən Dropbox-a login Oauth metodu ilə aparılır, odur ki, sizin login məlumatlarınız haqda kiminsə xəbəri olmur, güvənlidir.