Wordpress

WordPress Güvenlik Önlemleri nelerdir? WordPress Güvenlik Tedbirleri nasıl alınır? Wordpress güvenlik ipuçları, Web Siteniz güvende mi? WordPress Güvenlik Önlemleri İçin Yapılması Gerekenler nelerdir.

Web sitemize saldıracak kötü emelli kişiler, Web sitemizde bazı açıklar arayacak, giriş denemeleri yapacak, Yönetici hesabını ele geçirmeye çalışacak, veya sunucuya sızmaya çalışacak ya da siteye erişimi engellemeye çalışacaktır. Bu gibi durumları atlatmak veya bu riskleri minimum seviyeye indirgemek çok önemlidir. Teknolojide Yüzde yüz güvenliğin olduğunu sanmıyorum ancak sizlere anlatacağımız bu yöntemlerle işlerini baya bir zorlayacağımız kesin.

WordPress Güvenlik Önlemleri Nelerdir?

Açık kaynak kodlu bir içerik yönetim platformu olan WordPress’in doğal olarak gizli kalmış bir şeyi yoktur. Bazı güvenlik açıklarının olduğunu da tahmin edersek, Aslında pekte güvende olmadığımız ortaya çıkar. Bu zaafların yanı sıra Web site ele geçirme yöntemlerinin de olduğunu düşünürsek, bazı önlemleri almanın çok yerinde olduğunu göreceğiz.

Güvenilir bir Tema kullanın

Bilmediğiniz yerlerdeki Ücretsiz temaları kullanmayın. Ücretli temaları ücretsiz sunan warez sitelerdeki temaları kullanmayın. Çünkü bu temaları dağıtan kişiler içine zararlı kodlar ekliyorlar. Sizde bu temaları kullandıktan sonra sitenize çok rahat müdahale etmiş oluyorlar.

WordPress’iniz ve Eklentileriniz Güncel olsun.

WordPress geliştiricileri tespit ettikleri açıkları yeni sürümde kapatırlar. Onun için WordPress ne kadar güncel olursa o kadar güvenli olur. Aynı zamanda kullandığınız Tema ve eklentiler de güncel olsun. Bazen eklentiler de zaafiyet vermektedir.

Değişik bir Kullanıcı Adı ve Güçlü Bir Şifre Kullanın

Yöneticilerinizin Şifrelerini güçlendirin, Basit şifrelerden kaçının, sosyal medyada veya başka bir yerde kullandığınız şifreleri kullanmayın. Yöneticilerin kullanıcı adları “admin” , “yonetici” gibi basit isimlerden oluşmasın. Bu gibi isimler kullandığınızda kötü niyetli kişilere işini kolaylaştırmış olursunuz.

Özellikle site yöneticilerinin güvenlik açısından daha güçlü şifreler kullanılması oldukça önemlidir. Güvenli bir parola oluşturmak için öncelikle en az on karakterden oluşması gerekmektedir. Daha güçlü bir şifre için şifrenizde büyük/küçük harfler, rakamlar ve !’^+%&/) vb. karakterler kullanılması önemlidir.

FTP Kullanıcı Adı ve Şifrenizi güçlendirin

FTP erişim yolunuz genelde ftp://ftp.siteniz.com şeklindedir. Sunucularda Güvenlik duvarı vardır ancak, siz ne olur ne olmaz Değişik bir kullanıcı adı kullanıp Şifrenizi güçlendirin. Daha güçlü bir şifre için şifrenizde büyük/küçük harfler, rakamlar ve !’^+%&/) vb. karakterler kullanılması önemlidir.

Oturum Açma Denemelerini Sınırlandırın

Kötü niyetli kişiler yönetim paneline erişmek için giriş denemeleri yapabilir. Bu giriş denemelerini belli bir sayıya kadar sınırlandırabilirsiniz. bunun için “Limit Login Attempts” eklentisini kullanabilirsiniz. veya bu işi yapan toplu güvenlik eklentileri mevcuttur. Bu eklenti ile belirttiğiniz denemeden sonra belli bir süre kullanıcıya erişim kapatılır.

Web Sitenizini Yedekleyin

Belkide WordPress Güvenlik Önlemleri arasında en önemli adıma geldik. Web sitemizin belli aralıklarla yedeğini almak çok önemlidir. Olası bir saldırıda zarar gören web sitesini eski çalışır haline getirmek için bir yedeğin olması işinizi kolaylaştıracaktır.

Bazı Hostinger şirketleri Web site yedekleme özelliğini sunarlar. Ancak sizin böyle bir seçeneğiniz yoksa veya işinizi sağlama almak istiyorsanız. “BackWPup” eklentisini kullanabilirsiniz. BackWPup eklentisi Tüm dosyalarınızı ve veri tabanınızı yedekler. Bu eklentinin otomatik yedekleme özelliği de bulunmaktadır. Bu işi en az haftada bir yapmanız gerekmektedir.

Eğer sadece Veri Tabanınızı yedeklemek istiyorsanız. Buradaki yazımıza bakabilirsiniz.

Dosya ve Klasör İzinlerinizi kontrol edin

Ftp Dizinindeki WordPress dosyalarınıza makul izinlerin üzerinde izin verilmiş olabilir. Bu durumda Site klasör ve dosyalarınıza izinsiz erişim sağlanabilir. Kontrol etmek için “FileZilla” adlı Ftp programı ile bakabilirsiniz. Klasör ve Dosyaların izinlerini aşağıda verdiğimiz şekilde olmasını sağlayın.

Ana dizin (root directory) : 755
wp-includes/ : 755
wp-admin/ : 755
wp-admin/js/ : 755
wp-content/ : 755
wp-content/themes/ : 755
wp-content/plugins/ : 755
wp-content/uploads/ : 755
wp-admin/index.php : 644
.htaccess : 644
wp-config.php : 644

Eklenti Açıklarını Kapatma

wp-content klasörü içerisindeki plugins bölümüne eklenti açıklarından ötürü girişi engellemek için WordPress varsayılan olarak index.php oluşturur. Ancak siz elle boş bir index.html dosyası oluşturup buraya atın.

Eşsiz doğrulama anahtarı

Bu kodun amacı önemli cookie’lerin siteye giren kullanıcıların bilgisayarlarında saklanmasını önlemek. Eşsiz doğrulama anahtarı oluşturmak için WordPress Secret Key adresine gidip burada bulunan eşsiz kodu kopyalayıp wp-config.php dosyasındaki “secret key” bölümüne yapıştırabilirsiniz. Bu sayfaya her girişinizde farklı bir kodla karşılaşırsınız.

.htaccess Dosyası ile bazı güvenlik önlemleri

Web siteninizin ana dizininde bazı ayarların yapıldığı bir dosya vardır. .htaccess ile bazı yetkisiz erişimleri engelleyebiliriz. Bunun için FileZilla gibi bir Ftp programı ile Web sitenizin ana dizinindeki .htaccess dosyasını bilgisayarınıza indirin ve bir Not Defteri ile açıp aşağıdaki veriğimiz kodları en altına yapıştırıp kaydedin. Son olarak .htaccess dosyasını Ftp dizinine atın.

/wp-content/ ve alt dizinlerine ve index.php dosyalarına erişimi engelleme

Boş bir .htaccess dosyası oluşturun içine aşağıdaki kodları yapıştırın. FTP Programı ile sitenizin /wp-content/ klasörüne atın.

WordPress Sürümünüzü Gizleyin

Kullandığımız WordPress sürümünü Kötü niyetli kişilerden korumakta fayda vardır. Kötü niyetli insanlara ne kadar az bilgi verirsek bizim için o kadar iyi. Eğer güncel olmayan bir wordpress sürümü kullanıyorsanız, bunu gizlemekte fayda var. Peki WP sürümünü nasıl gizleyeceğiz?

wp-content/themes/tema-adınız/ yolundan functions.php dosyasını bulun ve Not defteri ile açın. Ardından aşağıdaki kodu dosyaya ekleyin;

Hatalı Login bilgilendirme mesajlarını gizleyin

Admin paneline giriş yaparken yanlış bilgi girdiğimizde bize bunun hakkında bilgi verdiğini görmüşsünüzdür. Bu gibi ek bilgileri kaldırmak güvenlik açısından iyi olacaktır. Peki bu ek bilgi gösterimini nasıl kaldıracağız?

wp-content/themes/tema-adınız/ yolundan functions.php dosyasını bulun ve Not defteri ile açın. Ardından aşağıdaki kodu dosyaya ekleyin;

Display Errors İzinleri

PHP’de yapılan kodlama hatalarının gösterilmesine yarar. Aynı zamanda işlemlerin log kaydını da tutar. Peki Display Errors izinlerini nasıl gizleyebiliriz?

Ana dizindeki wp-config.php dosyasını bulun ve Not defteri ile açın. Ardından en aşağıda bulunan require_once kodunun en altına aşağıdaki kodu yapıştırın.

Kapatılmamış HTML Etiketlerini Kapatın

Bazı HTML Etiketlerini kapatmanız güvenlik açısından iyi olacaktır. Peki bunu nasıl yapacağız? wp-config.php dosyasını bulun ve açın. Ardından dosyanın en üstüne şu kod satırını ekleyin.

XSS Açıklarını kapatma

XSS açığı coder’ların bilinçsiz kodlama hatasından doğan bir açık türüdür ve oldukça ciddi sonuçlar doğurabilmektedir. Coder’lar her ne kadar GET ve POST isteklerine karşı koruma yapsalar da bu yeterli olmuyor. Web sitemizi GLOBAL_REQUEST’in değiştirilmesine karşı da korumamız gerekmekte. Peki bunu nasıl yapacağız?

.htaccess dosyasını bulun ve açın. Ardından aşağıdaki kodu içerisine yapıştırın.

SSL Kullanımına Zorlayın

SSL Protokolünü kullanıyorsanız, ziyaretçiyi SSL Kullanımına zorlamakta fayda var. Veri gizliliği açısından bu çok önemli bir aşamadır. Eğer web sitenizde SSL kullanıyorsanız wp-config.php dosyasını bulun ve açın. Ardından aşağıdaki kodarı bir yere ekleyin.

Dosya düzenlemeyi devre dışı bırakalım

WordPress özelliklerinden biri de sunucudaki dosyaları düzenlemektir. Bir eklenti kolayca sunucunuzdaki dosyalarınızı düzenleyebilir. Kapatmak için: Ana dizindeki wp-config.php dosyasını bulun ve Not defteri ile açın ve aşağıdaki kodu bir yere ekleyin.

Hotlink koruması

Bu her ne kadar WordPress Güvenlik Önlemleri arasında bir yeri olmasa da, Sitenizden alınan görsel linkleri başka birilerinin kullanması ile, sunucunuza extra yük binmesi anlamına gelir. Bunun için belli siteler hariç görsellerimiz’i kullanmayı engelleyeceğiz.

Mesela aşağıdaki kodlarda idealkaynak.net yerini kendi sitenizin adresi ile değiştirin. başka izin vermek istediğiniz domain varsa, aynı satırı çoğaltıp ekleyebilirsiniz. Son olarak bu kodu .htaccess dosyanızda bir yere ekleyin.

Yukarıda anlattığımız bazı WordPress Güvenlik Önlemleri adımlarını uyguladıysanız, Önemli miktarda bir Güvenlik elde etmiş olursunuz. İyi Çalışmalar…