Dünyanın en çok kullanılan CMS sistemlerinden biri olan wordpress de güvenlik önlemi nasıl alınır ? WordPress Dünya çapındaki milyonlarca kullanıcısına hizmet vermekte ve hizmet kalitesini her geçen saniye arttırmaktadır. Yeni güncellemeler ile güvenlik açıkları kapatılmaya çalışılır , kullanıcılara fayda sağlayacak araçlar getirilir bu güncellemeler ile.

İşte bahsettiğim bu güncellemelerin en önemli bölümü güvenlik. WordPress yazıldığı ilk günden itibaren güvenlik önlemleri alıyor , çalışıyor çabalıyor ama ne yazık ki hacker’lerin önüne geçemiyor.

  • MYSQL Database  ve User İsmi / Şifresi

 WordPress kurulumu esnasında mysql tablolarına ihtiyaç vardır ve bunları da mysql databaselerinden ( yani veritabanlarından ) elde ederiz. Bu veritabanlarında sitemize ait tüm bilgiler bulunmaktadır  . Admin panel şifreniz de bunların başında gelir.

Bilgilerinizin başkalarının eline geçmesini istemiyorsanız mysql database ve user isimlerini akla gelmeyecek şekilde oluşturmalısınız. Bu size zaman kazandıracak ve bilgilerinize erişimi zorlaştıracaktır.

Örnek verecek olursam . Mysql ön ekimiz her zaman sabittir  (cpanel kullanıcı adımız). Bunun yanına deneme getirilirse hormonsuzblog_deneme şeklinde bir isim oluşacaktır.  Bunu güçlendirmek için harf ve sayılardan hatta özel karakterlerden oluşan bir isim seçmeliyiz. Buna örnek verecek olursak  hormonsuzblog_dWQ1+s(=?)Xdv  ilk verdiğim örnekten kat ve kat daha güvenlik sağlayacaktır.

Bununla beraber bu güvenli isimlere güvenli şifreler koymak gereklidir. Şifreleri “123456” yapmak yerine “4+1SA1/*21xF2 ” tarzı kombinasyonlar oluşturursak güvenliğimiz artacak ve WordPress sitemizi sağlam temeller üzerine kuracağız.

  • Eşsiz Doğrulama Anahtarı

Bu önlemimiz Config dosyası ile ilgili . WP- Config Key  ‘e giriyorsunuz ve karşınıza ;

define(‘AUTH_KEY’, ‘[)))^oe|aC+Om*`Xc1G]s&@.b6Ub_O%}MC5^i?-m(-Nd.]L}w>EjcOuDoRW$J!+{‘);
define(‘SECURE_AUTH_KEY’, ‘%(}M%-jEZ`]7t@|Vsb(BB_OV4SzN|0-%# :=/H6tVQ]?nF(}+C-/rH/a?@L6′);
define(‘LOGGED_IN_KEY’, ‘`]eRE};9}]UJhYo_{Pz5&H.+BxJN+vU7HKu,2,oKx1I*vW-{&{T<O|Yzak7|(9Oe’);
define(‘NONCE_KEY’, ‘x+8)x?<++LA^|xg*7rwhPY,Dco XQ@EV|MS@K;Tmb#-LDE#g+?xHpc6~?I|T@}i|’); define(‘AUTH_SALT’, ‘SZRV*dPNRlqx%Q%J|&G$S]CHa5#7,P|_|2[1_p=EQ=}+:ieB6BZ~(&!?y!x/V}Y^’); define(‘SECURE_AUTH_SALT’, ‘RU0sS0tIoJDia~3l6G;S3+EehArG>_[jS&IP>[-43$ EcUo;2IiS3t.-3j1|+yX|’);
define(‘LOGGED_IN_SALT’, ‘qg3:_)0-K+,.Vgs(DG.+<R;U2SV#s(8n`1p?|q@|)c]s`b<Y-{9Jl7AzEQQhJ2aJ’);
define(‘NONCE_SALT’, ‘i1a[vJFB7pFoC-d!wc;zxYmFSc{8oU23z9}GA0EeTlWI0jtK/o{IA@G+U/%8 !MH’); 
tarzında kodlar geliyor.

Siz bu kodları Wp-Config’de secret key bölümüne kopyalayacaksınız .  Böylece çerezler kabul edilmeyecek ve ortak kullanım alanlarında rahatça erişimde bulunabileceksiniz.

  • Hata Mesajları

Saldırganların login sayfanızı bulduğu taktirde vereceğimiz kod çok işinize yarayacaktır. Bu kodun amacı saldırganların herhangibi bir programla şifrenizi kırmaya çalışırken , onları yanıltmaktır. Hiçbir “Kullanıcı adı yanlış” tarzında hata verdiymeyen bu kod , saldırganın kafasını karıştıracak ve size zaman kazandıracaktır.

functions.php  belgesinde <?php kodundan sonra şu kodu eklemeniz yeterli olacaktır.

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

  • Sürüm Gizlemek

WordPress yeni bir sürümünü duyurduğunda bazı arkadaşlar o sürümün açıklarını bulacak ve siteleri bu açıklarla ele geçirmeye çalışacaklardır . Fakat biz sürümümüzü gizlersek bu olmayacak ve sistemimizin güvenliğini arttıracağız.  Bu kodu da functions.php belgesine <?phpkodundan sonra ekliyoruz.

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

  • Kullanıcı Adı

Kesinlikle ve kesinlikle admin panel kullanıcı adınızı Admin yapmayın .  Bunun nedeni ise sitemizi ele geçirmeye çalışan kişilerin ilk olarak bu kullanıcı adını denemeleridir   . Kullanıcı adınız admin olduğu zaman  sitenizin ele geçirilme şansı kat ve kat artacak , bu yüzdende güvenlik sağlanamayacaktır.

Diyelim ki sisteminizi kurarken bunu bilmiyordunuz ve kullanıcı adınızı admin yaptınız . Üzülmenize hiç gerek  yok . PHP MY ADMİN’ e girerek veritabanınızı seçin. Oradan wp_users bölümünde  admin kullanıcı adını değiştirin ve başka bir isim seçin. 

Bu wordpress de güvenlik önlemi sizin güvenliğinizi arttıracak ve lamerlere yem olmamanızı sağlayacaktır.

  • .htaccess dosyanızı güvenli hale getirin

.htaccess  dosyanızın en üstüne  verdiğimiz kodları  ekleyerek daha güvenli bir sistem yaratabilirsiniz.

ServerSignature Off 
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files> 
<files wp-config.php>
order allow,deny
deny from all
</files> 
<files wp-load.php>
order allow,deny
deny from all
</files>

  • Dosya İzinleri

Dosya izinleriniz yanlış yapıldıysa hack yemeniz olasıdır. Bu açığı kapatmak için ftp sunucunuz da dosyanıza sağ tıklayıp izinleri ayarlayabilirsiniz. Bizim size vereceğimiz kodları kullanarak bu işi pratikleştirebilirsiniz.

Ana dizin (public_html veya wordpress dizini): 0755

  • wp-includes/: 0755
  • wp-admin/: 0755
  • wp-admin/js/: 0755
  • wp-content/: 0755
  • wp-content/themes/: 0755
  • wp-content/plugins/: 0755
  • wp-admin/index.php: 0644
  • .htaccess: 0644
  • wp-config.php: 0644
1 Yıldız2 Yıldız3 Yıldız4 Yıldız5 Yıldız / Ortalama puan: 5,00.
Loading...

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir