Günümüzde internette yayın yapan web sitelerinin çoğu wordpress altyapısı kullanmakta, her ne kadar WordPress altyapısı sürekli güncellenen bir içerik yönetim sistemi olsada bazı küçük detaylar sitenizi açık hedef haline getirebiliyor. Bu sebeple bu yazımızda wordpress altyapılı sitenize yapılacak saldırıları önlemek için hangi güvenlik önlemlerini almanız gerektiğinden bahsedeceğim.

1- WordPress Sistemini Güncel Tutun

En önemli güvenlik önlemi sisteminizi güncel tutmaktır. Çünkü WordPress binlerce geri bildirim sonucu oluşan açıkları ivedi şekilde kapatıyor ve güncelleme olarak sizlere sunuyor.

2- Kullandığınız Tema ve Eklentileri Kontrol Edin

WordPress tema ve eklenti mağazasında binlerce ürün bulunmakta. Ancak bu mağazaya eklenen tema ve eklentilerin WordPress geliştiricileri ile ilgisi bulunmamakta bu sebeple sitenize yükleyeceğiniz her eklenti ve temayı detaylıca incelemenizde fayda görüyorum.

Eğer ben konu hakkında bilgi sahibi değilim, inceleyemem diyorsanız az kurulum almış eklenti ve temalar yerine çok fazla kişi tarafından tercih edilmiş eklenti ve temaları sitenize kurmanızda fayda var.

Son olarakta wordpress mağazası veya envato vb gibi mağazaların dışında geliştiricisi belli olmayan muhattap bulamayacağınız tema veya eklentileri kesinlikle sitenize kurmayın.

3- Yönetici Hesap Şifrenizi Kimseyle Paylaşmayın

Yönetici hesap şifrenizi kimse ama kimseyle paylaşmayın. Eğer paylaşmak zorunda kalıyorsanız mutlaka yeni hesap açıp yetkilerini sınırlandırıp o hesabı kişiye iletin. Çünkü varsayılan yönetici hesabı tam yetkiye sahiptir ve yönetici paneli üzerinden her işlemi yapabilir.

Dipnot olarakta admin kullanıcı adını değiştirmenizi tavsiye ederim. (Wp Admin-Kullanıcılar-Admin sayfasından değiştirebilirsiniz.)

4- Dosya İzinlerini Kontrol Edin

Herhangi bir ftp programı ile sitenize bağlanın ve wordpress dosyalarınının izinlerini aşağıdaki gibi uygulayın.

Dosya AdıSayısal Değer
Ana Dizin0755
wp-includes0755
wp-admin0755
wp-admin/js0755
wp-content0755
wp-content/themes0755
wp-content/plugins0755
wp-admin/index.php0644
wp-config.php0644
.htaccess 0644

5- Wp-config.php Dosyasını Koruyun

Wp-config.php dosyası wordpress’in en önemli dosyasıdır. Çünkü içerisinde veritabanı tablo eki, şifresi, adı ve kullanıcı bilgileri yer almakta.

Dipnot bu dosyayı ioncube veya vb güvenliğinden emin olduğunuz bir şifreleme aracı ile şifreleyebilirsiniz.

6- Güvenlik Eklentisi Kullanının

Bu adımda sitenizin güvenliği en üst seviyeye çıkarabilecek bir eklenti tavsiyesinde bulunacağım. Bu eklentinin adı iThemes Security. ASlında bu adımlar çok uzayabilirdi ancak ben bu adımları bu eklenti ile kısaltmayı tercih ettim.

Bu eklenti bir çok güvenlik önlemi sitenize uygulamaktadır. Bunlardan bazıları şöyledir;

  1. Wp-admin yolunu değiştirebilirsiniz. (Önerilir)
  2. Çok fazla sayıda giriş hatası yapılmışsa ilgili kişinin veya botun bir süre giriş yapmasını engelleyebilirsiniz. (Önerilir)
  3. Sitenizde yüklü olan dosyaları izleyebilirsiniz yani hangi dosyalarda ne zaman değişiklik yapıldığını görebilirsiniz. (Önerilir)
  4. İki faktörlü doğrulama olayını aktif edebilirsiniz. (Önerilir)
  5. İstediğiniz ip adresini banlayabilirsiniz.

Bu eklentinin özellikleri arasında benim için önemli olanlar bunlardı ancak toplam 31 başlıkta güvenlik adımı mevcuttur hepsini sitenize uygulayabilir ve arkanıza rahatlıkla yaslanıp sitenize içerik girmeye devam edebilirsiniz.

7- PHP hata raporlamayı devre dışı bırakın

Eğer bir geliştirici iseniz bu adımı atlayabilirsiniz ancak değilseniz bu adımı uygulamanızda fayda görüyorum çünkü sitenizde oluşabilecek bir hatayı ziyaretçinize gösterirseniz ve bu ziyaretçinin kötü amaçları varsa siteniz tehtid altında olabilir.

Eğer php hata raporlamayı devre dışı bırakmak isterseniz ana dizinde bulunan wp-config.php dosyasını açın ve aşağıdaki kodu ekleyin.

error_reporting(0);
@ini_set(‘display_errors’, 0);

8- WordPress Versiyonunu Gizleyin

Bu adımıda eğer wordpress sistemini güncel tutmuyorsanız uygulamanızı şiddetle tavsiye ediyoruz, eğer güncel tutuyorsanız wordpress versiyonunu gizleyip gizlememenin bir önemi yoktur uygulayıp uygulamamak tamamen size kalmış.

Kullandığınız temanın functions.php dosyasının en altına aşağıdaki kodu eklerseniz wordpress versiyonunuzu gizleyebilirsiniz.

remove_action('wp_head', 'wp_generator');

9- WordPress Dosyaları Arasında Zararlı Yazılım Olup Olmadığını Kontrol Edin

Eğer sitenizin hacklendiğini düşünüyorsanız bu adım mutlaka uygulanmalı. Benim tavsiyem tüm dosyaları 1 saatinizi ayırarak hızlıca kontrol etmenizdir ancak bu konularda bilginiz yoksa neyin zararlı olup olmadığını bilemeyebilirsiniz. Bu sebeple bu adımda sizlere bir eklenti tavsiye edeceğim. Bu eklentinin adı Wordfence.

10- Her hafta düzenli olarak sitenizin yedeğini alın

Bu adım içinde bir eklenti tavsiyesinde bulunabilirm ama yedek kısmında eklentilere çok fazla güvenilmemesi taraftarıyım. Bu sebeple bu adımı hosting sağlayınıcızla halletmeniz fayda görüyorum. Hosting sağlayıcınıza ulaşarak sitenizin yedeklerinin ne kadar sıklıkta alındığını öğrenin, eğer yedek almıyorlarsa başka bir hostinge geçin veya yedek almaları için onları ikna edin.