[Web Master ve Wordpress Bilgi Paylaşım Blogu | Etkisizeleman.com]
Wordpress Güvenliği | Web Master - Wordpress ve Seo Blogu |
Anasayfa / WORDPRESS / WordPress Güvenliği

WordPress Güvenliği

Wordpress Güvenliği
WordPress Güvenliği

WordPress Güvenliği adlı makalemizde sizlere wordpress sistemlerinizi saldırılara karşı korumanızı anlatacağız. Birçok wordpress kullanıcısının muzdarip olduğu açıklara çözüm bulacağız.

Öncelikle Hosting firmanızı iyi seçmelisiniz. Piyasada 1000’den fazla hosting firması bulunmaktadır. Seçeceğiniz hosting firmasının hızı kadar güvenliği de oldukça önemlidir.

Adım adım wordpress güvenliği için yapmanız gerekenleri aşağıda anlatacağız.

Aşağıdaki işlemleri yapmadan önce lütfen yedek alınız. WordPress cpanel ayarlarını yaptığınızda wp-confing.php dosyasında değişiklikler yapmaz iseniz İnstall dosyası mevcutsa sistem sizi tekrar kuruluma zorlar yada Veritabanına bağlanılamadı hatası alırsınız.

1- WordPress Güvenliği için Veritabanı ve kullanıcı bilgileri değiştirmek

Softaclous gibi cpanel üzerinden otomatik script kurulumu ile kurulmuş wordpress sistemleri genelde basit kullanıcı adı ve datebase adı atamaktadır. Database adınızı, database kullanıcı adı, database kullanıcı adı şifresi basit ise öncelikle bunu değiştirelim. Ön eki olan kısmı asla wp_ gibi basit şeyler koymayalım. Bazı sunucularda bu sitenizin adının ilk harfleri gibide olabilir. Örnek: etkisiz_as9sdg0pL

Örnek wordpress veritabanı adı: ahot_x6F908w6
Örnek wordpress kullanıcı adı: xgla_w0X9pG77d2F
Örnek wordpress kullanıcı adı şifresi: dk,9e{AJCCSJl;plo2^F_MDK&iUOsyC+

2-Wordpress Güvenliği için Veritabanı ve kullanıcı yetkileri ayarları yapmak

WordPress sistemlerini yeni kullanmaya başlayan arkadaşlarımız genellikle yetkileri tam vermektedir. Fazla yetki göz çıkarmaz diye bir şey yok cpanel’e bağlanarak MYSQL Veritabanları > Veritabanına Kullanıcı Ekle yolunu takip ederek veritabanı adı ile daha önceden atamış olduğunuz kullanıcıyı seçip Add butonuna basalım. Kullanıcı Ayrıcalıklarını Yönet sayfasında Tüm ayrıcalıklar butonun yanındaki tiki kaldırarak aşağıdakileri seçelim ve kaydedelim.

  • Delete
  • Select
  • Update
  • İnsert

3-Phpmyadmin Tablo ön eki ayarları

Bazılarınız bunu siteadı_as9s0dsf0* vb şekillerde yapıyorsunuz. Yada wp_ adını koyuyorsunuz tablo ön eki olarak. Akla ilk gelecek şeylerden kaçınmanızı tavsiye ederim. Sisteminiz kaç karakter tablo ön eki yazmanıza izin veriyorsa o kadar yazın ama insanların aklına gelebilecek birşey olmasın. Yine klavyeden sallama karakterler yazarak bu sorunu aşabiliriz. Örnek: sxolgq_

Bu işlemi yaptıktan sonra ftp ana dizininizde bulunan wp-config.php dosyasında

$table_prefix = ‘wp_’;

kodunu bularak wp_ kısmını değiştirelim. Aksi halde Veri tabanına bağlanılamadı hatası alırsınız.

4-Doğrulama anahtarı(Auth Key) değiştirmek

Wp-config dosyasındaki define auth key ile başlayan şifreleri görmüşsünüzdür. Daha önce bir saldırıya uğradınız ve çerez sistemi o saldırı yapanın bilgisayarında hesabı açık halde bıraktı sisteme tekrar sızıp işlem yapmaması için bu anahtarı değiştirelim.

Aşağıdaki adres tamamen wordpressin kendi sitesi olduğu için oluşturulan anahtara güvenebilirsiniz.

https://api.wordpress.org/secret-key/1.1/salt

Yukarıdaki kod gibi size yeni bir kod verecektir bunu wp-config dosyanızdaki ile değiştirin.

5-Hata mesajlarını gizlemek

Web sitenizde olan hataların gün yüzüne çıkıp hackerlara davetiye çıkarmayı kimse istemez. Bunun önüne geçmek adına hata mesajlarımızı gizleyelim kimse sitenin ne hatası verdiğini göremesin.

Kullandığınız temanın functions.php dosyasını düzenle diyerek “<?php” nin hemen altına aşağıdaki kodu ekleyelim.

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

6-Sürüm gizlemek

Her güncellemede wordpress açıklarını kapatmaya çalışsa da saldırıya uğramayacak tam güvenlikli web sitesi asla yoktur. Sürümleri öğrendikten sonra açığı bulmak daha kolay olur. Gelelim wordpress sisteminin sürümünü gizlemeye aşağıdaki kodu functions.php dosyasını düzenleyerek “<?php” nin hemen altına aşağıdaki kodu ekleyelim.

remove_action(‘wp_head’, ‘wp_generator’);

7-Wp-admin yolunu değiştirmek

Her ne kadar internette saçma sapan anlatımlar, basitce sadece giris yolunu değiştirme yer alsa da biz sizin sorununuzu kökten çözecek wp-admin adını, link yolunu komple değişmeyi daha önce yazmış olduğumuz makalede anlattık. WordPress admin panel yol ve url adresini değiştirmek adlı makalemizi inceleyerek sorunu kökten çözebilirsiniz.

8-Yönetici giriş adını farklı yapmak

Özellikle blog siteleri olan yazarlar genellikle makale paylaştıkları isim ile web sitesi giriş bilgilerini aynı tutmaktadır. Web sitenizin yönetici kullanıcı adı “admin” ise bunu değiştirmeliyiz.

Cpanel’e bağlanarak Phpmyadmine giriş yapalım daha sonra databasemizi seçerek tabloöneki_users’e tıklayarak giriş yapalım.

user_login kısmı giriş yaparken kullandığınız kullanıcı adınızdır.
display_name kısmı makale paylaşırken görünen adınızdır.

İki seçeneği de farklı isimler girerek dolduralım ve daha sonra git butonuna basıp kaydedelim.

Bu yöntem çok uzun başaramadım diyen olursa Phpmyadmine bağlandıktan sonra databasemizi seçelim ve üst menüden SQL’a tıklayalım ve sorgu çalıştırma ekranını açalım.

User Login adını değiştirmek için

UPDATE wp_users SET user_login = ‘yenikullanıcıadı‘ WHERE user_login = ‘eskikullanıcıadı’;

Display Name adını değiştirmek için

UPDATE wp_users SET display_name = ‘yenikullanıcıadı‘ WHERE display_name = ‘eskikullanıcıadı’;

9- .htaccess dosyası ile güvenlik sağlamak

.htaccess dosyası ile güvenlik tedbirleri almak için daha önce yayınlamış olduğumuz .htaccess güvenlik ayarları nasıl yapılır ? adlı makalemizi inceleyebilirsiniz.

10- Dosya izinlerini değiştirmek

Ana dizin (public_html dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0404
.htaccess: 0404
wp-config.php: 0640
wp-activate.php: 0404
wp-blog-header.php: 0404
wp-comments-post.php: 0404
wp-cron.php: 0404
wp-links-opml.php: 0404
wp-load.php: 0404
wp-login.php: 0404
wp-mail.php: 0404
wp-settings.php: 0404
wp-signup.php: 0404
wp-trackback.php: 0404
xmlrpc.php: 0404

11- Eklentileri gizlemek

wp-content/plugins klasörünün içerisine index.html diye bir dosya oluşturarak içerisini boş bırakın. Eklenti dosyalarına erişmek isteyenler boş bir sayfa ile karşılacaktır.

12- Wordfence Security ve benzeri WAF servisleri Kurulumu Yapmak

Kendi kullandığım bir eklenti olan Wordfence eklentisini tavsiye edebilirim. WordPress eklentisi olan Wordfence indirebilirsiniz. Wordfence ayarları için daha önce yazmış olduğumuz makaleyi inceleyebilirsiniz.

Wordfence Güvenlik Eklentisi Kurulumu

13-Hardening

WordPress Codex’te ingilizce anlatımı mevcut olan Hardening wordpress seçeneklerini uygulayabilirsiniz.

14-Eklentilerin güncelliğini kontrol edin

WordPress açığı olduğu gibi eklentilerinde açığı mevcuttur. Eklentilerinize gelen güncellemeleri yaparak açıkların kapanmasını sağlayınız.

15- Sık sık yedek alın

Sık sık database yedeği alınız. Sürekli yedek almak zor geliyor ise otomatik yedek alan wordpress eklentileri kullanabilirsiniz.

Yeni makalelerimizden haberdar olmak için abone olmayı unutmayınız.
Bir Önceki Makale  Wordpress Contact Form 7 SMTP ayarları

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir