wordpress-guvenlik

-- İnternet, Wordpress

WordPress tabanlı siteyi güvenli hale getirmek

Bu yazıda belli basit yollar ile WordPress tabanlı bir siteyi nasıl güvenli hale getireceğimizi göstermeye çalışacağım. Yazıda bahsedeceğim işlemlere başlamadan önce gerekli yedeklemelerinizi yaptığınızdan emin olun.

Öncelikle htaccess dosyası ile bazı güvenlik önlemlerimizi alalım. Htaccess dosyası için bir yazı daha önce yazmıştım. O yazıdaki işlemleri takip edin. Daha sonra bu yazıya geri dönebilirsiniz.

Şimdi ise wp-config.php dosyası ile bazı güvenlik önlemleri alacağız.

Panel üzerinden tema/eklenti dosyalarını düzenlemeyi kapat

wp-config.php dosyasına girerek üstteki kodu ekleyin. Bu sayede panel üzerinden tema ve eklentiler üzerinde düzenleme yapılamayacak.

Panel üzerinden bir eklenti yüklenemesin veya güncellenemesin

Üstekine göre daha ileri düzey bir güvenlik önlemidir. Eğer panele birden fazla kullanıcı erişim halinde ise ve onların bu tarz şeylere müdahale etmesini istemiyorsanız bu özelliği öneririm.

WordPress’in güvenlik anahtarı

wp-config.php dosyanıza girdiğinizde üstteki alanı hazır olarak göreceksiniz. .Her anahtar farklı bir karakter kümesi olmalı. http://api.wordpress.org/secret-key/1.1/salt WordPress.org secret-key service servisini kullanarak yaratabilirsiniz. Çerezleri geçersiz kılmak için istediğiniz zaman bu değerleri değiştirebilirsiniz. Bu tüm kullanıcıların tekrar giriş yapmasını gerektirecektir. WordPress bu anahtarların kullanılmasını şiddetle öneriyor. Peki bu anahtarlar tam olarak ne iş yapar? Aslında bu işlem çerezlerin belli anahtarla güvenli hale getirilmesidir. Yani özetle kullanıcının bilgisayarında bulunan – kullanıcı adı ve parolası gibi önemli olan şeyler – çerezler bu anahtarlar ile koruma altına alınır. Eğer bu çerez dosyaları kötü amaçlı birinin eline geçerse istediği şeylere ulaşması imkansız olmasa da çok zor hale gelecektir.

wp-config dosyasının izinleri

wp-config dosyasının izinleri oldukca çok önemlidir. Genelde bu dosyanın izni – hatırladığım kadarıyla – 644 olarak gelmektedir. wp-config.php dosyasının izin ayarı 444 veya 400 olarak ayarlanmalıdır. İzinleri cPanel veya filezilla gibi yazılımlar ile düzenleyebilirsiniz.

wp-config.php ile debug modunu açmak sizin için çok yararlı olacaktır.

Bir eklenti , temada bir problem varsa bu özellik sayesiyle görebilir, daha sonra da bunu giderebilir veya tamamen ortadan kaldırabilirsiniz. Bir de şunu bilmek de fayda var. Eklenti sayısının artması sadece performans açısından değil, güvenlik açısından da kötüdür. Eklenti demek, açık demektir ve dünya tarafından güven kazanmamış eklentileri kullanmamaya çalışın. İncelemelere göz gezdirin.

Şimdi ise sizden eğer sitenizde “test” adında bir kullanıcı var ise bunu kaldırmanızı isteyeceğim. “test” kullanıcısı genelde bir şeyi denemek için sitenin ilk günlerinde açılan kullanıcı olur ve bu bazı şeyleri deneyebilmek için bazı kullanıcı izinleri verilir. İstediğimiz bazı şeyleri denemek olduğundan bu kullanıcının parolası da oldukca kolay olur. “test” gibi. Bundan dolayı bazı botlar bu kullanıcı adı ile giriş denemeleri yapar.

Tablo ön eklerini değiştirelim

Genelde her şeyi elinizle yapmanızı öneririm fakat bu işlem biraz riskli ve yapılacak hata sitenizde sorunlar teşkil edebilir. Tablo ön eki genelde “wp_” olur ve böyle kalınması, başkaları tarafından tablo isimleri bilinmesi pek güvenli değil. Bunun değiştirilmesi için bir eklenti var. Adı Change DB Prefix . Bu eklenti ile veritabanınızda bulunan tabloların ön ekini değiştirebilirsiniz.

Güvenlik Eklentileri

Kullanabileceğiniz bazı eklentiler:

All In One WP Security & Firewall

iThemes Security (formerly Better WP Security)

Wordfence Security

BulletProof Security

Google Authenticator

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Google Authenticator eklentisini şiddetle öneriyorum. Yani kullanıcı bilgilerinizle siteye erişilmesi neredeyse imkansız hale geliyor. Ben Wordfence eklentisini uzunca süre kullandım. Aralarında böyle çok fazla fark yok. Belirtmekte yarar var bu tarz eklentiler çok hassas oluyor çünkü sitenizin çok önemli dosyaları üzerinde oynuyorlar ve yapıcağınız bir hata sitenizi mahvedebilir bundan dolayı yönergelere dikkat edin ve işlem yapmadan önce sitenizi yedekleyin. Bir kötü yanları ise sitenizi biraz yormaları. Özellikle sitenize bağlanan ip’leri inceleyen eklentiler CPU tüketimini arttırır. Daha bitmedi; yaptığı incelemeler , kayıtlar nedeniyle veritabanınız büyür de büyür. Bundan dolayı 1 yılda bir eklentiyi silin daha sonra veritabanınıza girip eklentinin tablolarını da tamamen kaldırıp eklentiyi baştan kurun. Bunu yapmadan önce ayarlarınızı export edin , tekrar yükledikten sonra bu ayarlara geri dönersiniz.

 

 

Yorum yap

Yorum