Wordpress Full Secure / Toplama


1 ) Sunucu & Hosting Seçimi :

WordPress sitenizi yada farklı bir sistemde çalışan web sitenizi korumanın ilk kuralı sağlam bir hosting firması ile çalışmaktır.
Merdiven altı imalathaneler gibi şimdi birçok kişi bireysel olarak barındırma hizmeti veriyor.
İşi bilmeyen profesyonellikten uzak bu firmalar ile kesinlikle çalışmayın. İsim ve ün yapmış firmaları tercih edin.

Çalıştığınız hosting firmalarının sizin yerinize yedek alması da lehinize olur.
Seçim yaparken bunu göz ardı etmeyin.
Örneğin benim çalıştığım firma her iki günde bir, barındırma hizmeti verdiği tüm hesapların tam yedeğini alarak başka bir sunucuda saklıyor.
Her hangi bir olumsuz bir durumda anında geri dönüş sağlanabiliyor.
Örneğin geçenlerde yanlışlıkla bu sitenin veritabanını silmiştim.
Bir telefon ile geri yüklettim ve kaldığım yerden sorunsuzca devam ettin.

Benim Önerim Rahat Etmek Açısından Vps Kullanın.

2 ) Ufak Derlemeler :

Eğer sisteminiz wordpress ise, kurulum sırasında tablo ön eki olan wp_ kısmını mutlaka değiştirin.
İhtiyacınız yok ise üye alımını kapatın.
WordPress kurulumundan hemen sonra wp-config-sample.php ve admin klasörü içinde yer alan install.php dosyalarını silin.
Bunun amacı, bir hack durumunda tekrar kurulumu önlemektir.
Ardından tüm dizinlerde boş bir index dosyası olmasına dikkat edin.
Böylece bir dizin ismini adres çubuğuna yazan biri, dizin içerisinde yer alan dosyaları göremez.
Ayrıca FTP ile çalışırken işiniz bittiğinde ana dizinin chmod değerini 311 yaparak tüm dosyaları gizleyebilirsiniz.
Tekrar göstermek istediğinizde 711 yapabilirsiniz.

WordPress için oluşturulan ilk hesap olan admin hesabını mutlaka silin.
Yerine başka bir kullanıcı adı ile oturum açın. Ve mutlaka güçlü şifre kullanın.

3 )Dizin Güvenliği :

WordPress sitenizin sistem dosyalarının chmod değerlerine mutlaka özen gösterin.
Bazı eklentiler bazı dosyaların okunabilir (chmod: 777 ) olmasını isteyebilir.
O an için okunabilir yapsanızda, kurulumdan hemen sonra tekrar düzenleyin.
Bir wordpress dosyalarının chmod değerleri aşağıdaki gibi olmalıdır.

Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

4) .Htaccess Den Güvenlik :

.htaccess dosyanıza şu kodları ekleyerek bazı dosyalara dışardan erişimi engelleyin.
Komutların üzerinde zaten ne işe yaradıkları açıkca yazıyor. Ayrıca .htaccess dosyasının chmod değerini mutlaka 644 yapın.

Source code

# .htaccess dosyasına erişimi engelle

order allow,deny
deny from all


# sunucu imzasını kaldır
ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle

order allow,deny
deny from all


# wp-load.php dosyasına erişimi engelle

order allow,deny
deny from all


# dizin listelemeyi iptal et
Options All -Indexes

5 ) Config Saklama Ve Şifreleme :

wp-config.php dosyanızın yerini mutlaka değiştirin. Örneğin wp-content klasörü içine gönderin. Nasıl yapıldığına gelince; Önce wp-config.php dosyasını, wp-content klasörü içine yollayın. Daha sonra wp-load.php dosyasını notepad ile açın. ctrl + h yani bul ve değiştir deyin. Bul yerine wp-config.php yazın, değiştir kısmına ise wp-content/wp-config.php yazarak tümünü değiştir diyin. Böylece ayar dosyamızın yerini değiştirerek yeri bilinen bir dosyanın bulunmasını zorlaştırıyoruz.

Ayrıca wp-config dosyamızı şifreleyebiliriz. Bunun için ionCube, Zend Guard veya en basiti ve ücretsiz olan phpr.org sitesindeki aracı kullanabilirsiniz. Eğer ioncube ile şifrelemek isterseniz ki bu en güvenilir şifreleme yöntemidir, önce ionCube sitesine üye oluyorsunuz. Sonra kredi yüklemek için ödeme yapıp (minimum 5$ = 10 dosya) kredinizin yüklenmesini bekliyorsunuz. Krediniz yüklenince Encode (Şifrele) sayfasına gidiyor ve şifrelemek istediğiniz dosyayı gönderiyorsun. Dosya şifrelenip size geri veriliyor. Verilen dosyayı sitenize koyup direk kullanmaya başlayabiliyorsunuz.

6 ) Eklentiler :

Öncelikle WordPress.Org Dışında Hiçbir Siteden Tema Ve Eklenti İndirip Kurmayınız.Bunun Dışında Güvenlik Amaçlı WordPress Eklentilerini Sitemde Takip Edebilirsiniz Size Vereceğim Genel Eklentiler ;

Login Lockdown eklentisi ile wordpress giriş denemelerini sınırlandırın. Böylece hacker olmayan biri sizin kişisel bilgilerinizden yola çıkıp tahminler yaparak sitenize giriş yapamaz.

Ayrıca Secure WordPress eklentisini kullanarak bir dizi güvenlik önlemi ile artı bir koruma sağlayabilirsiniz. Peki Secure wordpress eklentisi ne yapar.

Giriş sayfasındaki hata bilgilendirmesini kapatır,
Plugin dizinine index.php dosyasını kayıt eder
Yönetici alanı haricinde WordPress versiyon numarasının kaldırır
Really Simple Discovery

Kaynak