WordPress Güvenlik Açığı Kapatma

/
/
/
230 Views

Bir çok web master wordpress sistemini olduğu gibi kullanır, web sitesinin görsel açıdan güzel durması için de elinden geleni yapar. Fakat işin arka planına pek takılmaz, gerek de duymaz. Unutulmaması gerekir ki; işin en önemli kısmı, arka plandır. Siz web sitenizin hoş bir görünüme, kullanıcının beğeneceği özelliklere sahip olmasıyla uğraşırken, kötü insanların sitenizin arka planında açık kolladığını bilmiyorsunuz yada önemsemiyorsunuz.

Bu yazımızda sizlere WordPress Güvenlik Açığı Kapatma ile ilgili bilgiler verecek ve en azından wordpress sitenizin eskiye nazaran daha güvenli olması için bir kaç kod ve önerilerde bulunacağız. 

Bir çoğumuz web sitelerimizden para kazanmak amacıyla uğraşırken, şirketlerin kurumsal web sitesini oluşturmak için wordpressi kullandığını da biliyoruz. Bu yüzden para kazanmak amaçlı olan webmasterların ve şirketinin kurumsal sitesiyle ilgilenen site yöneticilerinin bu önerileri dikkate almalarını rica etmekteyiz.

Yapılan araştırmalara göre; siber saldırı sonuçlarında, mağlup olan ve en çok açık veren WordPress, Joomla gibi CMS tabanlı sistemlerdir.

İlk tavsiyemiz, wordpress ve kullandığınız bütün wordpress eklenti ve temaları son sürüme güncellemenizdir…

WordPress eklenti kütüphanesinde bulunan iThemes Security eklentisini mutlaka indirip, yükleyiniz,

wordpress admin şifrenizi mutlaka karışık, büyük küçük harfler içeren, sayıları barındıran ve özel karakterlerle güçlendirilmiş olarak değiştirin. Zira tahmin edilmesi kolay şifreler ile siteleriniz çok kısa bir süre içerisinde hacklenebilir. db_user için DROP komutunu iptal edin. Normal bir WordPress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.

WordPress Güvenlik Açığı Kapatma

Lisans ve readme(benioku) dosyalarını silin, çünkü bu dosyalara ulaşan kötü bir kişinin sitenizin/temanızın/eklentinizin versiyon bilgilerini öğrenmesini istezsiniz.

wp-config.php dosyasını bir üst dizine taşıyarak izinleri 400 olarak değiştirin, bu sayede veritabanı bilgilerinizin ele geçirilmesini biraz daha güçleştirebilirsiniz.

.htaccess dosyası çok önemli bir dosyadır, bu dosyanın erişilebilir olup olmadığını mutlaka kontol edin ve .htaccess dosyası içerisine aşağıdaki kodu ekleyin;

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
# BEGIN WordPress

order allow,deny
deny from all

*** Wp-admin giriş sayfasına mutlaka IP sınırlaması getirin ki, önüne gelen wp-admin sayfasına erişemesin…

Gereksiz yere dosya izinlerini (777) herkese açık olarak belirlemeyin, ve son olarak Akismet eklentisini kullanarak web sitenize gelen spam yorumları direkt olarak engelleyebilir veya disqus, facebook gibi yorumları kullanarak spam yorumlardan kaçınabilirsiniz.

  • Facebook
  • Twitter
  • Google+
  • Linkedin
  • Pinterest

Leave a Comment

This div height required for enabling the sticky sidebar