WordPress güvenlik önlemleri








WordPress... Milyonlarca blog yazarı... Ve milyonlarca güvenlik açıkları... Üşeniyoruz sitemiz’in güvenlik hususunda. Gerekli olan çabaları göstermiyoruz. Sonra sitemiz hacklenince ona buna saldırıyoruz. Sizin için WordPress güvenlik hususunda faydalı olacak bir makale yazmak istiyorum. Bu makalemde uzun süredir yabancı güvenlik sitelerinden toparladığım ve bir kenara kaydettiğim bilgileri sizlere aktarmak istiyorum. Uzun bir makale olabilir bunun için elinize kahvenizi almayı unutmayın.



-GÜNCELLEMELER:

WordPress için en temel güvenlik önlemi güncellemelerdir. WordPress belli periyotlarla sürekli sürüm güncellemeleri yapar. Burada amaç WordPress'deki açıkları ve güvenlik zafiyetlerini kapatmaktır. Bu sebeple sizler de sürekli WordPress sürümünüzü güncel tutun. Bunun yanında eklenti ve temalarınız da güncel olsun. Kısacası güncelleme gelen tüm şeyleri direk güncelleyin.


-KARAKTER GÜCÜ:

WordPress kullanıcı adı ve şifrenizi rakam, özel karakter, büyük ve küçük harf içerecek şekilde oluşturun. Yani kullanıcınız kırılması zor bir şifreden oluşsun.


-VERSİYON BİLGİSİ:

WordPress versiyonunuzu gizleyiniz. Aksi taktirde daha kolay hedef olursunuz. Bunu kaldırmak için çok basit bir işlem yapabilirsiniz. Kullandığınız temada functions.php yani tema işlevleri kısmına gelip, en alta ya da en üste şu kodu eklemeniz gerekiyor:

Kod:

function remove_version() { return ”; } add_filter(‘the_generator’, ‘remove_version’);


-ADMİN KULLANICI ADI:

Admin kullanıcı adını silin arkadaşlar. Eğer direk bu şekilde bırakırsanız hacker’ın işini kolaylaştırmış olursunuz.


-WORDPRESS VERİ TABANI YERİ:

WordPress veritabanı bağlantı bilgilerinizin tutulduğu wp-config.php dosyanızın konumunu değiştirmenizi ve izin değerini 400 olarak ayarlamanızı öneririz. wp-config.php dosyanıza

Kod:

define(‘DISALLOW_FILE_EDIT’, true);

kodunu da ekleyin.


-VERİ TABANI YEDEĞİ:

Veri tabanınızın yedeğini belirli periyotlarla alın. Bunun için WP-DP-BACKUP gibi pluginleri kullanabilirsiniz.


-YANLIŞ GİRİŞ KISITLAMASI:

Yanlış girişleri kısıtlayın. Admin panelinde hackerlar tarafından yapılabilecek girişlere kısıtlama getirin. Bunun için Limit Login Attempts gibi pluginler kullanabilirsiniz.


-DOSYA İZİNLERİ:

Bu dosyaların izinlerini FTP programınızdan gösterilen şekilde uygulayın.

Kod:

Ana dizin (root directory) : 0750
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644


- README.HTML ERİŞİMİ:

Bu da yine versiyon kontrolü ile ilgilidir. Versiyonunuzu gizlenemeniz için bir yöntemdir. README.HTML dosyasında versiyonunuza erişebilirler. Bunun için bu dosyanın ismini değiştirin. Readme.html değil de readus.html gibi.


-PHP VERSİYON:


Bunu kaldırabilmeniz için .htaccess ‘e gidip, şu kodu ekleyin:
Kod:

Header unset X-Powered-By Header unset Server


- DATABASE ŞİFRENİZ:

WordPress'i kurarken database şifrenizi çok güçlü bir şifre olarak ayarlayın. Database şifrenizi değiştirmek için cpanelden mysql ayarlarından yapabilirsiniz.


- display_errors İZİNLERİ:

Bu dosya php hatalarınızın görünmesine yarıyor. Bu dosya log kaydı yapmaktadır. wp-config.php dosyasında require_once fonksiyonunu aratın ve bir üst satırına şu kodu yapıştırın:

Kod:

ini_set(‘display_errors’, 0);

- SECRET KEY:

Bu siteye gidin https://api.wordpress.org/secret-key/1.1/salt/ wp-config dosyasında 45-52 satırları arasına siteden aldığınız kodu yerleştirin.


Kaynak: Wordpress G


Kaynak