WordPress Güvenlik Önlemleri makalemizde elimizden geldiği kadar size WordPress üzerinde güvenlik sağlamayı basit yollarla anlatmaya çalışacağız.

WordPress Güvenli Değil Mi?

Soru çok iddialı bir soru olurdu. Evet demekte hayır demekte aynı şekilde iddialı olurdu. Şöyle açıklamak gerekiyor. Dünyanın en çok kullanılanın CMS sistemi olan WordPress dünya üzerinde 4 Milyar + kurulumu sahip. Bunlar içerisinde kişisel bloglar, kurumsal sayfalar, haber siteleri, film izleme siteleri kısacası içerik yayınlanabilecek herşey WordPress sistemi ile mevcut. Dolayısı ile çok şaşırmamak gerekiyor. Çok fazla açık bulundurmasıda normal çünkü dışarıdan eklenti ve tema atılabiliyor. WordPress dosyalarında olmasa bile eklenti veya tema dosyalarında açıklar görmek mümkün çoğu zaman. Birde warez tema,eklentiler varki sormayın gitsin. Web sitesinden güvenlik zaafiyei vermek için açık davetiye.

WordPress Güvenlik Önlemleri

Birçok parçadan oluşan WordPress sisteminde birçok yerden güvenlik almak gerekecektir. Ama en önce kendinizden başlayın. Bu siteyi gerçekten yapacaksanız nulled veya warez tema,eklenti kullanmayın.Sitenizi projelendirin, yatırım yapın. Sabrederseniz size dönüşü daha kârlı olacaktır. 3 kuruş daha ucuz olacak diye içinde 500 tane port açılmış serverları seçmeyin. Bu olaylar hallettiyseniz diğer konulara göz atalım.

WordPress Temel Dosyalarının Güvenliği

Her sistemde olduğu gibi WordPressinde kalbi sayılabilecek bir kaç dosya var. Bunların güvenliklerini almayı ihmal etmeyin.

Dosya İzinlerini Ayarlamak

Dosya yöneticisinde ki bazı dosyalara gereksiz izinler tanımlamanız sizin saçma sorunlar oluşturabilir. Dosya izinlerini şu şekilde koordine etmek faydalı olacaktır.

Ana dizin (public_html dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0404
.htaccess: 0404
wp-config.php: 0640
wp-activate.php: 0404
wp-blog-header.php: 0404
wp-comments-post.php: 0404
wp-cron.php: 0404
wp-links-opml.php: 0404
wp-load.php: 0404
wp-login.php: 0404
wp-mail.php: 0404
wp-settings.php: 0404
wp-signup.php: 0404
wp-trackback.php: 0404
xmlrpc.php: 0404

Ayrıca .htaccess Güvenlik Önlemleri makalemizde daha önce anlatmıştık. burayı inceleyebilirsiniz.

Database Dosyasının Güvenliği

WordPress konusunda sadece eklentiler veya dosya izinleri hiçbirzaman yetmez. Database herzaman korumada olmak zorundadır.Çokta zahmetli bir iş olmasada gözden kaçabilir. Yapmanızda harika yarar görürsünüz.

Database İçerisinde Güvenlik Sağlamak

Database Adı : ucsifir_wp gibi basit isimlerde database seçmeyin. Eğer önyükleyiciniz bu şekilde isim verdiyse phpmyadmin üzerinden bu ismi değiştiriniz. (wp-config.php dosyasından değiştirmeyi unutmayınız.) Doğru olan daha karmaşık şeklini kullanmaktır. Mesela : dwl_a47w10sa

Database Kullanıcı Adı & Şifresi : Burasıda çok kritiktir. Özellikle şifre seçimi konusunda aklınıza hayalinize gelmicek karakterler kullanmanız sizin yararınıza olacaktır. Örn : s}hyRfkm_xCvC(^t  (Bence güzel oldu :))

Şifre oluşturma konusunda zorluk yaşarsanız burayı kullanabilirsiniz.

Database Kullanıcı İçin İzinleri Değiştirmek

Yukarda ki önlemler iyidir hoştur ama siz genede mutlaka önleminizi alın. Database konusunda etkili kullanıcıya tam yetkileri vermeyin. Kullanım aşamasında WordPress bu yetkilere ihtiyaç duymaz. Şu yetkiler WordPress için yeterlidir ;

  • SELECT
  • INSERT
  • UPDATE
  • DELETE

Bunlar dışında ki bütün yetkileri kapatın. MySQL Databaseler içerisinde kullanıcıya tıklayarak bahsettiğim şeyleri görebilirsiniz.

Database Tablo Ön Eki (Prefix)

Aynı şekilde databasenizin diğer basit açığı olabilecek bir konu prefix yani başlangıç satırıdır. wp_ yolu ile başlayan databaseler herzaman kolay yemlerdir. Onun yerine dsbyw_ gibi bir kombinasyon deneyebilirsiniz. (Yaptıktan sonra wp-config.php içerisinden table_prefix seçeneğini değiştirmeyi unutmayınız.

Eklenti Dosylarını Gizlemek

En başta belirttiğim gibi, eğer WordPress sisteminde açığınız yoksa eklentilerinizde olabilir. Bunlar eklenti sürümündende kaynaklı olabilir. Her açık, her bilgi internet korsanları için yeni bir fırsat olarak görüldüğü için her açığı ince eleyip sık dokumamız gerekecek.

wp-content > plugins klasörünün içerisinde girin. ‘index.php’ adında bir dosya açın, içine bişey yazmadan kaydedin. Tamamdır, bakmaya gelenler burayı görecektir.

WordPress Sürümünü Gizlemek

Yine sürümünüz dolayısı ile sisteminiz açık barındırıyor olabilir. Bunun en temiz yolu sürekli güncelleştirmeleri yapmak olsada siz genede tedbirli olun. WordPress sürümünü kapatalım, kime ne ?

function.php dosyasında ilk php başlangıcından sonra şunu ekleyin ;

remove_action(‘wp_head’, ‘wp_generator’);

WordPress Kullanıcı İsmi-Şifre Seçimi

WordPress sisteminiz için mutlaka yönetici kullanıcı isminizi ve şifrenizi değişik seçin. Alengirli birşey olması izin için daha iyi olacaktır. dkltyggre47//+ gibi bir kullanıcı ismi, çeşitli programlar kullanılsada bulması zordur. Ve tabiki, kullanıcı isminiz asla login id’niz olmasın.

Şifre oluşturmayla ilgili database içerisinde söylediklerimi gözden geçirebilirsiniz.

WordPress’e Zaman Ayırın

Okuyun, öğrenin. İngilizcesi olanlar için bu daha kolay. Yoksa translate kullanabilirsiniz. Hardening WordPress

Son Sözler ;

*Siteleriniz için gelen eklenti ve wordpress sistem güncellemelerini herzaman yapın.

*En geç ayda,en ideal haftada yedekler alarak sisteminizi olası bir hack saldırısına karşı güzelce korursunuz.

Faydalı olması dileğiyle.