WordPress Güvenlik Önlemleri

İyi bir tatilden sonra tekrar sizlerleyim 🙂 WordPress sitelerimizin güvenliği hepimiz için önemlidir. En önemli konu ise dosyalarımızın güvenliği. WordPress sisteminde wp-config.php gibi kritik bir dosya nedeniyle sitenize veda etmek zorunda kalabilirsiniz. Yazımızda wp-config.php dosyasını korumakla birlikte diğer tüm önlemleri bulacaksınız.
 

Dosya İzinleri

WordPress kurulumunu yaptıktan sonra wp-admin/install.php dosyasını silmeniz gerekmektedir. Sonra sıra dosyaların izinlerindedir. Yanlış bir dosya izniyle sunucunuza girilebileceğini unutmayın. WordPress’in önemli dosyaların izinlerini aşağıdaki gibi düzenlemelisiniz. Ancak daha iyi bir sistem için kendiniz ayarlayabilirsiniz.

Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

 
Bazı eklentiler kurulmak için bazı klasörlerin 0777 olmasını ister. Bu durumda kurulumdan önce dosya iznini 0777 yapın ve kurulumdan sonra eski izin ayarlarına geri dönün. Yükleme klasörünüzün dosya izni 0777 kalabilir ancak ara sıra klasörün içini kontrol etmenizi tavsiye ediyorum.
 

Plugins Dizini

WordPress sitenizde açık bulunmasa bile kullandığınız eklentilerde açık bulunabilir. Bu dizini ziyaretçilere göstermek istemiyorsanız boş bir index.html dosyası oluşturup wp-content/plugins dizinine yükleyin. Bu anlattığım önlem güncel sürümlerde zaten index.php olarak alınmış durumda. Eğer yoksa boş index.html dosyasını kullanabilirsiniz.
 

Gereksiz Bilgilerin Görüntülenmesini Engelleyin

WordPress sitemize giriş yaparken bir hata aldığımızda size nerede hata yaptığınıza dair bilgiler verir. Bu şifresini unutan bir kullanıcıya yararlı bir bilgi olabilir ancak sitenizi hacklemeye çalışan biri için de yararlı bir bilgi olabilir. Bu yüzden bu hata yazısını kaldırmalıyız. Bunu yapabilmek için temanızın functions.php dosyasına uygun bir yere aşağıdaki kodu eklemeliyiz.

add_filter('login_errors',create_function('$a', "return null;"));

 

WordPress Sürüm Numaranızı Gizleyin

WordPress otomatik olarak sayfa kaynağında ek bir kodla kullandığınız WordPress sürümünü gösteriyor. Bu da yeni güncellemeler çıktığında güncellemeyen kullanıcılar için kötü bir durum. Bu kodu engellemek çok kolay. Aşağıdaki kodu temamızın functions.php dosyasına uygun bir yere eklemeliyiz.

remove_action('wp_head', 'wp_generator');

 

Varsayılan “admin” Kullanıcısını Değiştirmek

Eğer WordPress sitenizde kullanıcı adınız admin ise bunu değiştirmenizi öneririm. Bunu yapabilmek için veritabanınızdan şu SQL sorgusunu çalıştırmanız yeterli olacaktır.

UPDATE wp_users SET user_login = 'Yeni' WHERE user_login = 'Admin';

 

Zararlı URL İstekleri İçin Bir Eklenti

Hackerlar zayıf gördükleri sitelere saldırmak için çoğunlukla zararlı sorguları websitenize yönlendiriyor. WordPress’in kendi önlemleri var ancak yetersiz. Bu sebepten dolayı aşağıdaki eklentiyi sitenize kurun. Artık websiteniz zararlı sorgulardan korunacaktır.

Block Bad Queries 
 

.htaccess İle Dosyalarınızı Koruma Altına Alın

Güvenli bir WordPress sistemi için iyi bir .htaccess dosyası şart. Bu dosyada genellikle WordPress yönlendirme kodları vardır ama geliştirmek ve güvenliğimizi arttırmak bizim elimizdedir. Bu sebeple aşağıdaki kodları .htaccess dosyanızın en üstüne yapıştırmanızı tavsiye ederim. Her bir kodun ne işe yaradığı kodda yazmaktadır. Eğer henüz bir .htaccess dosyanız yoksa boş bir dosya oluşturup içine aşağıdaki kodları yazın ve sunucunuza yükleyin.

# Sunucu imzasını kaldır
ServerSignature Off
 
# Dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# Dizin listelemeyi iptal et
Options All -Indexes

# Dosya erişimlerini engelle

<files .htaccess>
order allow,deny
deny from all
</files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<files wp-load.php>
order allow,deny
deny from all
</files>

 
Yukarıdaki yöntemler ile sitenizi koruyabilirsiniz ancak daha fazla güvenlik için eklentiler araştırıp bulabilirsiniz. Bu yöntemleri uygulamanızı şiddetle tavsiye ederim. Emin olun uğraştığınıza değecektir. Bu yazımızın da sonuna geldik. Bir sonraki yazımızda görüşmek üzere…

Diğer bloglardaki wordpress güvenlik yazıları:

Yazar: İsmail Görkem Kara

Ben web ile uğraşan bir öğrenciyim. Web tasarım ve web programlama alanında kendimi geliştiriyorum. PHP ve WordPress ile ilgileniyorum. Boş zamanlarımda gitar çalıyorum.

Bu yazıyı paylaş

  • facebook-share
  • tweet-it
  • friendfeed
  • plus-it

yorumlar

18 Yorum Yapıldı