Wordpress

WordPress Güvenlik Önlemleri

wordpress güvenlik önlemleri

wordpress güvenlik önlemleri

WordPress günümüzde blogcular tarafından en çok kullanılan içerik yönetim sistemi. Hal böyle olunca kötü niyetli saldırganların sayısı da bir hayli fazla. Alexa’nın verilerine göre 1 milyon 400 bin üzeri WordPress bloğun %70’den fazlası saldırganlara karşı savunmasız. Fakat sayılar sizi korkut-
masın. Bu yazımda anlatacağım güvenlik önlemleri sayesinde WordPress bloğunuzu çok rahat koruyabilirsiniz.

1. Güncellik
İlk ve en temel yapmanız gereken şey wordpress sürümünüzü güncel tutmaktır. Eski sürümler yeni sürümlere göre daha kolay saldırıya uğrar. Bu nedenle sürekli olarak her yeni sürüm çıktığında güncellemelisiniz.

Özellikle WordPress kullanmaya yeni başlayanlar sürüm güncellemekten çekiniyor. Kafalarında “temam uyumlu olmazsa”,”ya tema patlarsa” gibi soru işaretleri olabiliyor. Korkmanıza gerek yok. Son sürümler tüm temalarla uyumludur. Tek tuşla WordPress sürümünüzü güncelleyebilirsiniz. Üstelik bu işlem sadece 10-15 saniye sürer. Ayrıca kullandığınız tüm eklentilerin de güncel olmasına önem gösterin. Yeni sürüm çıktığında yükseltin.

2.Wordpress Versiyon Gizleme
Standart wordpress temalarında sayfa kaynağını görüntülediğimizde wordpress versiyonu gözükür. Eğer eski versiyon kullanıyorsanız hackerlar bunu görüp fırsata dönüştürebilir. function.php dosyasına ekleyeceğiniz ufak bir kodla WordPress sürümünüzü gizleyebilirsiniz. Profesyonel tema geliştiricileri temayı yaparken bunu gizliyor ama siz emin olmak için aşağıdaki kodu function.php dosyanıza ekleyin.

<? Php remove_action ('wp_head', 'wp_generator'); ?>

3.Giriş Şifresi
Bir çok saldırı amaçlı yazılımlar standart şifreleri tahmin ederek panelinize erişebiliyor. Örneğin ilk başladığım zamanlarda yaptığım bir sitede kullanıcı adı: admin şifre: admin123456 gibi bir şeydi. Bir hafta kadar sonra sitede reklam linkleri görmeye başladım. Yani panel şifrenizi asla tahmin
edememeleri için kullanıcı adınızı admin yapmayın. Ayrıca şifreniz de çok karmaşık olmalı. Farklı karakterler kullanmakta fayda var. (?,*,@ ,# vs.)

4.Dosya İzinleri
Güvenlik açısından önemli noktalardan biri de dosya izinleridir. FTP dosya aktarım protokolü ile dosyalarınızın izinlerini kontrol edin. Dosya izinleriniz aşağıda hazırladığım görseldeki gibi olmalıdır.
wordpress dosya izinleri
[box color=yellow] not: dosya izinlerini değiştirmeyi bilmeyenler ftp ile site dizinine eriştikten sonra izinini değiştirmek istediği klasöre sağ tıklayarak en alttaki dosya izinleri sekmesinden değiştirebilirler. [/box]

5.Eklenti Dizini
Tarayıcınıza siteadiniz.com/wp-content/plugins yazıp aratın. Eğer sayfa görüntülenemiyorsa bu yöntemle işiniz yok demektir. Ama kullandığınız eklentiler gözüküyorsa güvenlik açısından sıkıntı yaratabilir. Bunu gizlemek için eklentiler klasörünüzün içinde yeni bir .htaccess dosyası oluşturup aşağıdaki kodu eklemelisiniz.

# WordPress BEGIN 
On RewriteEngine 
RewriteBase / 
RewriteCond% {REQUEST_FILENAME}! f 
RewriteCond% {REQUEST_FILENAME}! -d 
RewriteRule. /index.php [L] 
# önler dizin listesi 
IndexIgnore * 
# END WordPress

6.Yönetici Dizinini Değiştirme

Standart WordPress sitelerde yönetici giriş ekranı siteadi.com/wp-admin şeklindedir. Bu da hackerlara deneme fırsatı sunar. Giriş adresini değiştirmek için
eklentisini kullanabilirsiniz.

7.Tablo Ön Ekini Değiştirmek
Tüm bilgiler veritabanındaki tablolarda tutulduğundan, veritabanı sitenizin beyni gibidir. WordPress’i kurarken tablo ön eki belirlememizi ister. Maalesef bir çok kişi buraya dokunmuyor ve tablo ön eki wp_ şeklinde kalıyor. Bu da veritabanı güvenliği açısından sıkıntı yaratır. Veritabanınızın güvenliğini sağlamak için tablo ön ekini farklı yapmanız gerekir. Eğer kurulumda farklı yapmadıysanız şimdi değiştirmenin zamanı geldi demektir. Biraz phpMyadmin bilginiz varsa cpanel’e girerek tablo ön ekini bir kaç adımda değiştirebilirsiniz. Tabii önce veritabanınızı yedeklemeyi unutmayın. Tablo ön ekini elle değiştiremeyenler ise Change DB Prefix eklentisi sayesinde bunu yapabilir.

8.Tema Seçimi
Bir WordPress sitede hatta herhangi bir web sitesinde en önemli şey temadır. Temanızın tasarım açısından güzelliği kadar arkaplandaki güvenliği de önemlidir. Warez tema kullanırsanız daha sonra güvenlik sıkıntısı çekebilirsiniz. Bu temaların içine zararlı kodlar yerleştiriliyor ve bir süre sonra başınıza bela açabilir. Emeğinizin kaybolmasını istemiyorsanız warez temalardan uzak durun. Ücretli ve hızlı temalara yönelin. İlla ücretsiz istiyorum derseniz tabii ki tavsitem WordPress.com’da bulunan ücretsiz temaları kullanmanız.

9. Hosting
Piyasada bir çok hosting firması mevcut. Verilerinizin güvenliğinden emin olmak için forumlarda gördüğümüz ucuz ve güvenilirliği bilinmeyen hosting firmalarını tercih etmeyin. Tavsiyem Natro gibi güvenilir ve popüler firmaları tercih etmeniz.

Eklentiler

Aslında güvenlik ile ilgili bir çok eklenti var fakat bu yazımda sadece iki eklenti tavsiye edip geçeceğim. İlerleyen günlerde güvenlik eklentilerine özel bir yazı paylaşabilirim.

Limit Login Attempts
Birisi giriş şifrenizi elle ya da botlarla tahmin etmeyi deneyebilir. Bu eklenti sayesinde aynı IP adresinden belirli sayıda yanlış giriş yaptıktan sonra oturum açmayı engelleyebilirsiniz. (Örneğin 3 defa yanlış girdikten sonra giriş yapması engellenir. )

WP-DBManager
Kötü durum senaryolarına karşı sitenizin yedeğini almanız gerekmektedir. Çoğumuz bunu önemsemiyoruz ama daha sonra pişman olmamak için yedek almak iyi bir tedbir. Bu muhteşem eklenti sayesinde veritabanınızı yedekleyebilirsiniz. Ayrıca bu eklenti veritabanınızda herhangi bir güvenlik açığı olduğunda size bildirir ve onarmanızı sağlar.

Sonuç
Benim anlatacağım güvenlik önlemleri şimdilik bu kadar. Tabii sitenizin çok fazla trafiği yoksa ya da pek popüler değilse, bana göre bu kadar önlem almak gereksiz. Fakat 100k ve üzeri ziyaretçilere ulaşan sitelere saldıranlar da çok oluyor. Bu önlemler sayesinde sitenizi kolaylıkla koruyabilirsiniz. Bir sonraki yazımda görüşmek üzere.

Yazar Hakkında

aykutbasyigit

2008 yılında programlama dillerini öğrenerek sektöre giriş yaptıktan sonra 2012'de fikir değiştirerek yazılımı bırakıp tasarıma yöneldi. Arayüz geliştiricisi olarak çalışmakla birlikte deneyimlerini burada paylaşmakta.

Yorum Yaz