Wordpress her ne kadar gelişmiş güvenliğe sahipi sürekli güncel tutulan bir sistem olsada biz kullanıcıları tarafındanda alınması gereken birkaç önlem bulunmaktadır. İşte alınması gereken güvenliklerden birkaç tanesi:
Wordpress Versiyonunuzu Saklayın
Kullandığınız Wordpress’inizi ele geçirmek isteyen “hacker” ‘ların öncelikli bakacağı şey Wordpress sürümüdür. Çünkü mevcut sürümünüzü öğrenerek, o sürümde var olan açıklar ile sisteme sızmak kolay olabilir. Buna önlem olarak kullandığınız temada ki(header.php) alt yapının Wordpress olduğunu belirten ve sürümünü gösteren meta tag’ını şu şekilde düzenlememiz lazım:
Değiştirmeden önce elimizde olan kod:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
Olması gereken hali:
<meta name="generator" content="WordPress" />
Replace WP-Version Eklentisi: Bu eklenti biraz önce yapmak istediğimizi kendisi yapabiliyor. Hatta database sürümünüde silebildiği diğer bir özelliği. Buyrun buradan deneyin.
wp-admin Klasörünü Korumak
Kötü niyetli kişilerin amaçlarından biride şifrenizi ele geçirerek Yönetici Paneli’ne ulaşıp buradan siteye hükmedebilmektir.
wp-admin klasörüne erişimi IP adresi ile engellemek
Bu yöntemde admin klasöründe oluşturacağımız .htaccess dosyası ile belirli bir IP adres(ler)ine erişim hakkı sağlayıp diğerlerinin erişimini engelleyeceğiz. Önemli Not: Düzenlenecek yada yeniden oluşturulacak .htaccess dosyası wp-admin klasörü içindeki olandır!
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Example Access Control" AuthType Basic <limit GET> order deny,allow deny from all allow from xx.xx.xx.xx allow from xx.xx.xxx.xx </limit>
Bu kodu .htaccess dosyasına ekleyin ve kaydedin. “allow from” karşılıklarına IP adreslerinin geleceklerini unutmayın. Bu şekilde birden fazla IP adresine hak tanıyabilirsiniz. IP adresinizi ise buradan öğrenebilirsiniz.
Login Lock Down eklentisi
Login Lock Down eklentisi admin paneline girişteki şifre ekranındaki başarısız girişlerin bir listesini tutar ve bu listede giriş yapmaya çalışan IP adreslerini ve zaman aralıklarını barındırır. Eğer belirlenen başarısız giriş sayısı aşılırsa giriş isteklerine bir süre cevap verilmemesini sağlar. Bu süreleri kendiniz istediğiniz gibi düzenleyebilirsiniz. Buradan eklentinin sayfasına gidebilir ve kullanmaya başlayabilirsiniz.
Güncel Kalın!
Sağlam ve güvenli bir sistem için her zaman geliştiricilerin yayınladığı son sürümleri takip edin. Gerek Wordpress sürümü, gerek eklenti ve tema güncellemelerini kullanın ve güncel kalın!
Wordpress Güncelliği
Bir alt yapı ne kadar güçlü olursa sistem o kadar güvenli çalışır ve o kadar canlı olur. Unutmayın her yeni yayınlanan sürümle beraber yeni güvenlik önlemleri alınır ve mevcut açıklar kapatılır. Siz bu yükseltmeleri yapmazsanız olası saldıralara karşı koyamazsınız.
Unutmayın: Wordpress 2.3‘ten beridir var olan özellikle her yeni Wordpress sürümünü yönteim panelinde bir uyarı kutucuğu ile öğrenebiliyoruz. Takipte kalın ve güncel olun! Wordpress’ini sürekli güncel tutabileceğiniz eklentiler:
- Instant Upgrade Eklentisi Basit birkaç adımda son sürüme/istediğiniz sürüme yükseltmeyi olanak sağlıyor. Fakat otomatik olarak yedek almıyor!
- Wordpress Automatic Upgrade Eklentisi Diğerinin aksine bu eklenti çok gelişmiş özellikleri ile sürüm yükseltme yapmanızı sağlıyor. Güncelleme yapılırken sitede bir mesaj göstermesi, eklentileri aktifsizleştirip yeni dosyaları yüklemesi ve yeniden aktifleştirmesi özellikleri arasında
Eklenti Güvenliği
Dikkat edilmesi gereken önemli bir unsur eklenti güvenliğidir. Çünkü eklentiler yayınlandıktan sonra farkedilen açık yada sorunlar bir alt sürümle yeniden yayınlanır ve bu eklentileri güncelleştirmek önemlidir! Bir çok saldırının güncel olmayan eklentiler ile başarıya ulaştığını unutmayın.
Sürekli güncellemelerden bahsettik ve bunun önemini vurguladık. Bir diğer unsur ise güvenilir olmayan eklentileri seçmeyin. Önceden araştırma yapın, eklenti için yapılan yorumlara bakın ve sonra o eklentiyi edinin.
Alacağımız önemli bir tedbir ise wp-content/plugins/ klasöründe bir boş index.html dosyası oluşturarak yüklü eklentilerin görünmesini engellemektir. “Hacker”‘lar kullandığınız eklentileri öğrenerek bunlarından açıklarından yararlanmak isteyecektir.
Tema Güncelliği
Tema’nın ne etkisi olabilir diye düşünmeyin. Tema sanatçısının eklediği bir özellik yada yanlış kullanılan bir PHP komutu bir açık yaratabilir. Yeni alt sürümlerle bunların önüne geçilmek istenilebilir, sizinde bu güncellemeleri takip etmeniz önerilir.
“wp-config.php” Güvenliği
Önemli bilgi ve şifrelerin saklandığı dosya olan wp-config.php güvenliği belki dikkate alınması en önemli unsurdur. Bunun için alınan çok basit bir önlem vardır, Wordpress’inizi kurduğunuz klasörün içindeki .htaccess (eğer kullanmıyorsanız oluşturunuz) dosyasının içine:
<filesMatch "wp-config.php[~]*"> <limit GET> deny from all </limit> </filesMatch>
kodunu ekliyoruz ve erişimini dış unsurlara engelliyoruz. İşte bu kadar çok basit.
Son Olarak
Yukardaki anlatılanlarla bile şimdiden üst düzey bir güvenliğe sahip oldunuz. Bu yazı dizisinin ilk adımı işte bu satırlarda bitti. Bir diğer bölümün yayınlandığını öğrenmek için bizi RSS okuyucusuna ekleyin!
wp-config güvenliği:
deny from all
şeklinde olmasın?
pardon çıkmamış şurdan bakın http://pastebin.com/f8fc2863
@HMERT:
..
Evet dediğin gibi olmalıymış. Teşekkürler
Güzel bir yazı. İlginiz için teşekkür ederiz.