wordpress güvenlik önlemleri

Merhaba okurlarım. Bugün bu makale de bir WordPress tabanlı sayfalarının hack girişimlerini az olsada azaltabilecek bir konuya deyinmek istiyorum. Biliyoruz ki, Hack en basit yöntem ile deneme yanılma yada tabanın config.php‘nin ele geçirilmesiyle başlıyor. Ve geçirildiğinde de veritabanı bilgileri ile hesabınıza kadar girip neyiniz varsa ele geçirebiliyor. Bu mantığı sadece WordPress eklentisi kullanarak çözemeyiz. Sadece belli başlı olan IP engelleme veya giriş yapmayı deneyen IP adreslerini görebiliriz. Yinede bu Hack girişimleri için tam anlamıyla engel değil.

Bugün çevremde fazlaca WordPress kullanan var. Belki de çoğu Hack girişimleri için açık olan yolları kapamış değiller. Yada bundan haberdarları bile yok. Elbette Hack girişimi bilgi gerektiren bir mantıktır. Bu mantığı bilen de onun için çocuk oyuncağıdır. Yinede onun yollarını keserek engeller oluşturabiliriz. Şimdi hazırsanız hemen alabileceğimiz önlemleri sırası ile inceliyelim.

Dosya İzinleri

Bu önemli bir husustur. Ve önlem olarak yapılması öncü gereken bir sistemdir. Neyse Dosya İzinleri; belli başlı hack girişimlerinde önemli olan dosyalara girişlerin engellenme yoludur. Bu sayede bilgilere mevcut olmayan kişisel dışardan sızma yaptığında bu izinler sayesinde istedikleri dosyalara giriş yapamazlar. Birnevi parola sistemi gibidir. Peki hangi dosyaların dosya izinleri ile engellenebilir. Hemen aşağıdaki tabloya bakın ve dosya isminin karsısındaki izinleri ayarlayın.

Dosya İznini Nasıl Değiştiririm ?

FTP giriş yapın. Engellemek istediğiniz dosyanın üzerine gelin sağ tıklayın ve “Dosya İzinleri” butonuna tıklayın. Aşağıdaki tabloda verilen değerleri yazın ve kaydedin.

1 2 3 4 5 6 7 8 9 10

Ana dizin (root directory)  : 0755 wp-includes/    : 0755 wp-admin/   : 0755 wp-admin/js/    : 0755 wp-content/     : 0755 wp-content/themes/  : 0755 wp-content/plugins/     : 0755 wp-admin/index.php  : 0644 .htaccess   : 0644 wp-config.php   : 0644

NOT: Bazı eklenti kurulumlarında izinlerin açılmasını ister. Böyle durumlarda wp-content eklentiyi kurmadan önce dosya izinlerini 0777 ayarlayın. Aynı mantık .htaccess içinde geçerlidir.

.Htaccess Dosyası

.htaccess dosyası bizim için standart yönlendirmelerde önemli bir dosyadır. Onu güvenli hale getirmek bizim elimizdedir. Bu dosya WordPress FTP de ana dizin de bulunur. Eğer bu dosya yoksa kendiniz de olusturabilirsiniz. İlk önce dosyanın yedeğini alın ve size aşağıdaki verdiğim kodları .htaccess dosyasının en üstüne kopyalayın ve kaydedin. Sizin göremeyipte Hack girişimlerinde açık olan yolları birkez daha kapatacaktır.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

# sunucu imzasını kaldır ServerSignature Off   # dosya yükleme boyutunu 10mb ile sınırlandır LimitRequestBody 10240000   # dizin listelemeyi iptal et Options All -Indexes   # Dosya erişimlerini engelle <files wp-config.php> order allow,deny deny from all </files>   <files wp-load.php> order allow,deny deny from all </files>

wp-config.php Dosyası

En önemli dosyamız budur. Hack girişimlerinde ençok bu dosyayı ele geçirmeye çalışırlar. İçinde veritabanı’na ait kullanıcı ve parola mevcuttur. Bunun ele geçirilmesi demek WordPress‘i hatta sitenizi ele geçirebilir. O yüzden önlemi alınması gerekir.

wp-config.php Dosyasını Şifrelemek

Bu dosya internet tarayıcısından kaynak yolu ile görüntülenmez. O yüzden şifrelenen kodlar HTML çevrilemiyeceği için de ulaşamaz. Ancak PHP şifreleme tekniklerinde kırma yolunu bilenler kolaylıkla açabilir. Fakat bu sayı az olduğundan herkez kıramaz. Benim önerebileceğim en iyi şifreleme tekniği İonCube fakat ücretlidir. Ücretsiz isterseniz yine güvenebileceğiniz ByTerun dan şifreliyebilirsiniz. Şifrlemeden önce yedek almayı unutmayın.

wp-config.php Dosyasını Yolunu Değiştirmek

Sadece şifreleme tekniğine güvenemeyiz. Bunun için benimde kullandığım bu mantığı kolay yol ile hemen halledebiliriz.FTP ana dizinde bulunan wp-load.php dosyası içindeki wp-config.php dosya isimleri ve yolunu değiştirebiliriz. Örneğin;wp-config.php dosyasını FTP de oluşturduğum yeni bir klasöre taşımak istiyorsam, wp-load.php de config.php yazan yerleri “yeniklasör/wp-config.php” şeklinde wp-load.php dosyasında göstermem gerekir.

Diğer Önlemler

Yukarıdaki önlemler dışında sitenizin CPanel den yine şifre korumalı uygulamalar mevcut. Bu uygulamalar ile istediğiniz dosya ve klasörlere şifre koruması getirebilirsiniz.

Son Söz

Yukarıdaki önemleri almadığınız sürece devamlı açık halde tehtit altına alınabilirsiniz demektir. Küçük bir index testinde dahi açık yollarınız anlaşıldığında sonuna kadar Hack girişimleri mutlaka olucaktır. Bu önlemler ile elbette kesin olarak sayfanız ele geçirilemez demiyorum. Ama bu önlemler ilede en azından koruma sağlıyabilirsiniz. Son olarak bu bilgiler den dolayı sayın Yakuter’e teşekkür ederiz.