Wordpress

WordPress Sitenizin Güvenliği için 10 Etkili İpucu

Yazar: Mehmet Barun

WordPress Sitenizin Güvenliği için 10 Etkili İpucu başlıklı yazıma hoşgeldiniz. Ücretsiz olarak sunulan WordPress Cms Sistemi birçok açıktan dolayı hacklenebillir. Bu gibi kötü durumlarla karşılaşılmaması için 10 alt başlıkta bunları inceleyeceğiz.

 

  1. Tema ve Eklenti Editörünü Devre Dışı Bırakın

  2. İki Adımlı Doğrulamayı Etkinleştirin

  3. Girişleri Sınırlayın

  4. Blogunuzu Düzenli Olarak Tarayın

  5. Hostunuzu Değiştirin

  6. WordPress Sürümünü Gizleyin

  7. PHP Hata Raporlarını Devre Dışı Bırakın

  8. WordPress Dosya İzinlerini Ayarlayın

  9. Düzenli Yedek Alın

  10. Oturum Açma Sayfalarına Erişimi Engelleyin

 

 

Tema ve Eklenti Editörünü Devre Dışı Bırakın

Biliyorsunuz ki wordpress panel üzerinden eklenti ve temalarda kodlama yani düzenleme yapılabiliyor. Burada yapılan düzenleme sisteminizde açıklar oluşmasına sebeb olabilir böyle hataların önüne geçmek için önceliğimiz localhost’da xampp ve benzeri bir uygulama ile yapmak olmalıdır. Bu editörü devre dışı bırakmak için wp-config.php dosyasına alttaki kodları eklememiz yeterli olacaktır.

define( ‘DISALLOW_FILE_EDIT’, true );

 

İki Adımlı Doğrulamayı Etkinleştirin

İki aşamalı doğrulama uygulamalarından birisini kullanarak admin panelinizi daha güvenli hale getirebilirsiniz. Ben Google Authenticator uygulamasını tercih ediyorum hemen kurulumu kolay hem stabil çalışıyor.  Bu uygulama sayesinde kötü  niyetli kişiler şifrenizi bilse bile akıllı cihazınızda ki koda ulaşamayacakları için giriş mümkün olmayacaktır.

 

Girişleri Sınırlayın

 

Blogunuza erişim sağlamak için birçok yöntem kullanmaktalar. Bunlardan en yaygın olanı bruteforceadı verilen bir saldırı tekniği. Bu teknik ile aklınıza gelemeyecek kadar şifre denenmesi otomatik olarak yapılabilir. Böyle bir işlemin önüne geçmek için ise benim kullanmış olduğum ve size tavsiye edeceğim eklenti Wp Security  eklenti  kurulumu hakkında pek fazla bilginiz yoksa internet üzerinden anlatımlara bakarak yapabilirsiniz ama işleme başlamadan önce mutlaka yedek almayı unutmayın.

 

Blogunuzu Düzenli Olarak Tarayın

 

Tema, eklenti ve sitenizden dışa verilen bağlantılar hackerlar tarafından sitenize ulaşmak için kullanılabilir. Bunun için sitenize güvenlik tarama eklentilerinden birisini yükleyerek düzenli olarak kontrol etmeniz gerekmektedir. Bunun için ise WorldFence Security eklentisini kullanabilirsiniz.

 

Hostunuzu Değiştirin

 

Sitenize alacağınız saldırılar genellikle sunucudan kaynaklı açıklardan dolayı kaynaklanmaktadır. Kim ve ne olduğu bilinmeyen hizmete yeni geçmiş ucuz firmalar sizi kardan çok zarara sokar ve başka bir firmaya geçmenize destek olur. Hata tesbiti yaptığınızda sunucu kaynaklı olduğunu firmaya ilettiğinizde kendilerine toz kondurmazlar. Benim size önerebileceğim iki firma var. Bunlar Turhost ve Alastyr bu firmalar 2002 ve 2004 yıllarında açılmış hala aktif olarak kalabilen en büyük host firmalarıdır. Gerek destek ekipleri  gerek altyapı olarak Türkiye’de rakipleri yok denilebilir.

 

WordPress Sürümünü Gizleyin

 

WordPress sisteminizi düzenli olarak güncellemiyorsanız mutlaka sürümünüzü gizlemeniz önerilir. Sebebi ise yeni bir güncelleme yayınlandığı zaman açıkların giderildiği belirtili bu açıkları öğrenen kötü niyetli kişiler sitenize rahatlıkla ulaşabilirler.

Wp-Content/Themes/Tema İsmi/functions.php dosyasını notepad++ uygulaması ile açarak  remove_action(‘wp_head’, ‘wp_generator’); kodunu ekleyip kaydediyoruz.

 

PHP Hata Raporlarını Devre Dışı Bırakın

 

Bir eklentinin veya tema dosyasının hata vererek sitenin yayınını aksattığı durumlarda PHP hata raporları size hatanın nedenini göstererek yardımcı olabiliyor. Ancak, PHP hata raporları hata veren sunucu yolunu içeren bilgileri ifşa ederek hackerlara karşı açık kapı bırakabiliyor. Bu hataların önüne geçmek için wp-config.php dosyasına alttaki koda ekleyerek sorunu çözmüş olursunuz.

(error_reporting 0 );
@ini_set ( ‘display_errors’, 0 );

 

WordPress Dosya İzinlerini Ayarlayı

 

  • Ana Dizin: 755
  • wp-admin: 755
  • wp-admin/js: 755
  • wp-admin/index.php: 644
  • wp-content: 755
  • wp-content/themes/: 755
  • wp-content/plugins: 755
  • wp-includes: 755
  • wp-config.php: 644
  • .htaccess: 644

Chmod izinlerini bu şekilde ayarlayarak sitenizi daha güvenli hale getirebilirsiniz ve herkes ulaşamaz.

 

Düzenli Yedek Alın

Ben bu işlem için UpdraftPlus – Backup/Restore eklentisini kullanıyorum. Tabi siz bu eklentiyi kullanacaksınız diye bir şart yok. Manuel yedek alma işlemini gerçekleştirebilirsiniz. Cpanel üzerinden yada mysql ve ftp yedeklerini alarak yapabilirsiniz.

 

Oturum Açma Sayfalarına Erişimi Engelleyin

Hack saldırılarına karşı wp-admin ve wp-login.php sayfalarına erişimi engellemelisiniz. Eğer, statik yani sabit IP kullanırım diyorsanız, bloğunuza dışarıdan erişimi engellemeniz mümkün. Birden fazla IP adresi kullanarak da erişime izin verebilirsiniz. Bu işlem içinse .htacces dosyasına altta vereceğim kodu eklemeniz yeterli olacaktır.

 

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^Your IP address 1$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$
RewriteRule ^(.*)$ – [R=403,L]

Burada 5 adet Ip alanı bulunuyor kullanmadığınız kısımları silebilirsiniz.

Yeni Listeler E-Postana Gelsin

Günlük bültenimize abone olarak yeni haberlerden haberdar olabilirsin.

Abone Olduğun İçin Teşekkür Ederim.

Sistemde bir hata oluştu merak etme hemen düzeltiyoruz.

Yazar Hakkında

Mehmet Barun

Kitap okumayı ve paylaşmayı seven kendi halinde aciz bir öğrenci.

2 Yorum

Yorum Bırak

Yeni Listeler E-Postana Gelsin

Günlük bültenimize abone olarak yeni haberlerden haberdar olabilirsin.

Abone Olduğun İçin Teşekkür Ederim.

Sistemde bir hata oluştu merak etme hemen düzeltiyoruz.