Günümüzde internette yayın yapan web sitelerinin çoğu wordpress altyapısı kullanmakta, her ne kadar WordPress altyapısı sürekli güncellenen bir içerik yönetim sistemi olsada bazı küçük detaylar sitenizi açık hedef haline getirebiliyor. Bu sebeple bu yazımızda wordpress altyapılı sitenize yapılacak saldırıları önlemek için hangi güvenlik önlemlerini almanız gerektiğinden bahsedeceğim.
1- WordPress Sistemini Güncel Tutun
En önemli güvenlik önlemi sisteminizi güncel tutmaktır. Çünkü WordPress binlerce geri bildirim sonucu oluşan açıkları ivedi şekilde kapatıyor ve güncelleme olarak sizlere sunuyor.
2- Kullandığınız Tema ve Eklentileri Kontrol Edin
WordPress tema ve eklenti mağazasında binlerce ürün bulunmakta. Ancak bu mağazaya eklenen tema ve eklentilerin WordPress geliştiricileri ile ilgisi bulunmamakta bu sebeple sitenize yükleyeceğiniz her eklenti ve temayı detaylıca incelemenizde fayda görüyorum.
Eğer ben konu hakkında bilgi sahibi değilim, inceleyemem diyorsanız az kurulum almış eklenti ve temalar yerine çok fazla kişi tarafından tercih edilmiş eklenti ve temaları sitenize kurmanızda fayda var.
Son olarakta wordpress mağazası veya envato vb gibi mağazaların dışında geliştiricisi belli olmayan muhattap bulamayacağınız tema veya eklentileri kesinlikle sitenize kurmayın.
3- Yönetici Hesap Şifrenizi Kimseyle Paylaşmayın
Yönetici hesap şifrenizi kimse ama kimseyle paylaşmayın. Eğer paylaşmak zorunda kalıyorsanız mutlaka yeni hesap açıp yetkilerini sınırlandırıp o hesabı kişiye iletin. Çünkü varsayılan yönetici hesabı tam yetkiye sahiptir ve yönetici paneli üzerinden her işlemi yapabilir.
Dipnot olarak ta admin kullanıcı adını değiştirmelisiniz. Bunun yanında login kısımlarına robot doğrulaması eklemekte gerekli önlemlerin başında geliyor.
4- Dosya İzinlerini Kontrol Edin
Herhangi bir ftp programı ile sitenize bağlanın ve wordpress dosyalarınının izinlerini aşağıdaki gibi uygulayın.
| Dosya Adı | Sayısal Değer |
| Ana Dizin | 0755 |
| wp-includes | 0755 |
| wp-admin | 0755 |
| wp-admin/js | 0755 |
| wp-content | 0755 |
| wp-content/themes | 0755 |
| wp-content/plugins | 0755 |
| wp-admin/index.php | 0644 |
| wp-config.php | 0644 |
| .htaccess | 0644 |
5- .htaccess dosyası aracılığıyla güvenliği
Wp-config.php dosyası wordpress’in en önemli dosyasıdır. Çünkü içerisinde veritabanı tablo eki, şifresi, adı ve kullanıcı bilgileri yer almakta.
Dipnot bu dosyayı ioncube veya vb güvenliğinden emin olduğunuz bir şifreleme aracı ile şifreleyebilirsiniz.
6- Güvenlik Eklentisi Kullanının
Bu adımda sitenizin güvenliği en üst seviyeye çıkarabilecek bir eklenti tavsiyesinde bulunacağım. Bu eklentinin adı iThemes Security. ASlında bu adımlar çok uzayabilirdi ancak ben bu adımları bu eklenti ile kısaltmayı tercih ettim.
Bu eklenti bir çok güvenlik önlemi sitenize uygulamaktadır. Bunlardan bazıları şöyledir;
- Wp-admin yolunu değiştirebilirsiniz. (Önerilir)
- Çok fazla sayıda giriş hatası yapılmışsa ilgili kişinin veya botun bir süre giriş yapmasını engelleyebilirsiniz. (Önerilir)
- Sitenizde yüklü olan dosyaları izleyebilirsiniz yani hangi dosyalarda ne zaman değişiklik yapıldığını görebilirsiniz. (Önerilir)
- İki faktörlü doğrulama olayını aktif edebilirsiniz. (Önerilir)
- İstediğiniz ip adresini banlayabilirsiniz.
Bu eklentinin özellikleri arasında benim için önemli olanlar bunlardı ancak toplam 31 başlıkta güvenlik adımı mevcuttur hepsini sitenize uygulayabilir ve arkanıza rahatlıkla yaslanıp sitenize içerik girmeye devam edebilirsiniz.
7- PHP hata raporlamayı devre dışı bırakın
Eğer bir geliştirici iseniz bu adımı atlayabilirsiniz ancak değilseniz bu adımı uygulamanızda fayda görüyorum çünkü sitenizde oluşabilecek bir hatayı ziyaretçinize gösterirseniz ve bu ziyaretçinin kötü amaçları varsa siteniz tehtid altında olabilir.
Eğer php hata raporlamayı devre dışı bırakmak isterseniz ana dizinde bulunan wp-config.php dosyasını açın ve aşağıdaki kodu ekleyin.
error_reporting(0);
@ini_set(‘display_errors’, 0);8- WordPress Versiyonunu Gizleyin
Bu adımıda eğer wordpress sistemini güncel tutmuyorsanız uygulamanızı şiddetle tavsiye ediyoruz, eğer güncel tutuyorsanız wordpress versiyonunu gizleyip gizlememenin bir önemi yoktur uygulayıp uygulamamak tamamen size kalmış.
Kullandığınız temanın functions.php dosyasının en altına aşağıdaki kodu eklerseniz wordpress versiyonunuzu gizleyebilirsiniz.
remove_action('wp_head', 'wp_generator');9- WordPress Dosyaları Arasında Zararlı Yazılım Olup Olmadığını Kontrol Edin
Eğer sitenizin hacklendiğini düşünüyorsanız bu adım mutlaka uygulanmalı. Benim tavsiyem tüm dosyaları 1 saatinizi ayırarak hızlıca kontrol etmenizdir ancak bu konularda bilginiz yoksa neyin zararlı olup olmadığını bilemeyebilirsiniz. Bu sebeple bu adımda sizlere bir eklenti tavsiye edeceğim. Bu eklentinin adı Wordfence.
10- Her hafta düzenli olarak sitenizin yedeğini alın
Bu adım içinde bir eklenti tavsiyesinde bulunmak istiyorum, ama yine de yedek işleminde eklentilere çok fazla güvenilmemesi taraftarıyım. Bu sebeple bu adımı hosting sağlayınıcızla halletmeniz fayda görüyorum. Hosting sağlayıcınıza ulaşarak sitenizin yedeklerinin ne kadar sıklıkta alındığını öğrenin, eğer yedek almıyorlarsa başka bir hostinge geçin veya yedek almaları için onları ikna edin.
Eğer eklenti ile WordPress yedeği almak istiyorsanız ilgili yazımıza bakabilirsiniz.
Yorum Yap