Dünyanın en çok kullanılan CMS sistemlerinden biri olan wordpress de güvenlik önlemi nasıl alınır ? WordPress Dünya çapındaki milyonlarca kullanıcısına hizmet vermekte ve hizmet kalitesini her geçen saniye arttırmaktadır. Yeni güncellemeler ile güvenlik açıkları kapatılmaya çalışılır , kullanıcılara fayda sağlayacak araçlar getirilir bu güncellemeler ile.
İşte bahsettiğim bu güncellemelerin en önemli bölümü güvenlik. WordPress yazıldığı ilk günden itibaren güvenlik önlemleri alıyor , çalışıyor çabalıyor ama ne yazık ki hacker’lerin önüne geçemiyor.
MYSQL Database ve User İsmi / Şifresi
WordPress kurulumu esnasında mysql tablolarına ihtiyaç vardır ve bunları da mysql databaselerinden ( yani veritabanlarından ) elde ederiz. Bu veritabanlarında sitemize ait tüm bilgiler bulunmaktadır . Admin panel şifreniz de bunların başında gelir.
Bilgilerinizin başkalarının eline geçmesini istemiyorsanız mysql database ve user isimlerini akla gelmeyecek şekilde oluşturmalısınız. Bu size zaman kazandıracak ve bilgilerinize erişimi zorlaştıracaktır.
Örnek verecek olursam . Mysql ön ekimiz her zaman sabittir (cpanel kullanıcı adımız). Bunun yanına deneme getirilirse hormonsuzblog_deneme şeklinde bir isim oluşacaktır. Bunu güçlendirmek için harf ve sayılardan hatta özel karakterlerden oluşan bir isim seçmeliyiz. Buna örnek verecek olursak hormonsuzblog_dWQ1+s(=?)Xdv ilk verdiğim örnekten kat ve kat daha güvenlik sağlayacaktır.
Bununla beraber bu güvenli isimlere güvenli şifreler koymak gereklidir. Şifreleri “123456” yapmak yerine “4+1SA1/*21xF2 ” tarzı kombinasyonlar oluşturursak güvenliğimiz artacak ve WordPress sitemizi sağlam temeller üzerine kuracağız.
Eşsiz Doğrulama Anahtarı
Bu önlemimiz Config dosyası ile ilgili . WP- Config Key ‘e giriyorsunuz ve karşınıza ;
define(‘AUTH_KEY’, ‘[)))^oe|aC+Om*`Xc1G]s&@.b6Ub_O%}MC5^i?-m(-Nd.]L}w>EjcOuDoRW$J!+{‘);
define(‘SECURE_AUTH_KEY’, ‘%(}M%-jEZ`]7t@|Vsb(BB_OV4SzN|0-%# :=/H6tVQ]?nF(}+C-/rH/a?@L6′);
define(‘LOGGED_IN_KEY’, ‘`]eRE};9}]UJhYo_{Pz5&H.+BxJN+vU7HKu,2,oKx1I*vW-{&{T<O|Yzak7|(9Oe’);
define(‘NONCE_KEY’, ‘x+8)x?<++LA^|xg*7rwhPY,Dco XQ@EV|MS@K;Tmb#-LDE#g+?xHpc6~?I|T@}i|’); define(‘AUTH_SALT’, ‘SZRV*dPNRlqx%Q%J|&G$S]CHa5#7,P|_|2[1_p=EQ=}+:ieB6BZ~(&!?y!x/V}Y^’); define(‘SECURE_AUTH_SALT’, ‘RU0sS0tIoJDia~3l6G;S3+EehArG>_[jS&IP>[-43$ EcUo;2IiS3t.-3j1|+yX|’);
define(‘LOGGED_IN_SALT’, ‘qg3:_)0-K+,.Vgs(DG.+<R;U2SV#s(8n`1p?|q@|)c]s`b<Y-{9Jl7AzEQQhJ2aJ’);
define(‘NONCE_SALT’, ‘i1a[vJFB7pFoC-d!wc;zxYmFSc{8oU23z9}GA0EeTlWI0jtK/o{IA@G+U/%8 !MH’); tarzında kodlar geliyor.Siz bu kodları Wp-Config’de secret key bölümüne kopyalayacaksınız . Böylece çerezler kabul edilmeyecek ve ortak kullanım alanlarında rahatça erişimde bulunabileceksiniz.
Hata Mesajları
Saldırganların login sayfanızı bulduğu taktirde vereceğimiz kod çok işinize yarayacaktır. Bu kodun amacı saldırganların herhangibi bir programla şifrenizi kırmaya çalışırken , onları yanıltmaktır. Hiçbir “Kullanıcı adı yanlış” tarzında hata verdiymeyen bu kod , saldırganın kafasını karıştıracak ve size zaman kazandıracaktır.
functions.php belgesinde <?php kodundan sonra şu kodu eklemeniz yeterli olacaktır.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));Sürüm Gizlemek
WordPress yeni bir sürümünü duyurduğunda bazı arkadaşlar o sürümün açıklarını bulacak ve siteleri bu açıklarla ele geçirmeye çalışacaklardır . Fakat biz sürümümüzü gizlersek bu olmayacak ve sistemimizin güvenliğini arttıracağız. Bu kodu da functions.php belgesine <?phpkodundan sonra ekliyoruz.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));Kullanıcı Adı
Kesinlikle ve kesinlikle admin panel kullanıcı adınızı Admin yapmayın . Bunun nedeni ise sitemizi ele geçirmeye çalışan kişilerin ilk olarak bu kullanıcı adını denemeleridir . Kullanıcı adınız admin olduğu zaman sitenizin ele geçirilme şansı kat ve kat artacak , bu yüzdende güvenlik sağlanamayacaktır.
Diyelim ki sisteminizi kurarken bunu bilmiyordunuz ve kullanıcı adınızı admin yaptınız . Üzülmenize hiç gerek yok . PHP MY ADMİN’ e girerek veritabanınızı seçin. Oradan wp_users bölümünde admin kullanıcı adını değiştirin ve başka bir isim seçin.
Bu wordpress de güvenlik önlemi sizin güvenliğinizi arttıracak ve lamerlere yem olmamanızı sağlayacaktır.
.htaccess dosyanızı güvenli hale getirin
.htaccess dosyanızın en üstüne verdiğimiz kodları ekleyerek daha güvenli bir sistem yaratabilirsiniz.
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>- Dosya İzinleri
Dosya izinleriniz yanlış yapıldıysa hack yemeniz olasıdır. Bu açığı kapatmak için ftp sunucunuz da dosyanıza sağ tıklayıp izinleri ayarlayabilirsiniz. Bizim size vereceğimiz kodları kullanarak bu işi pratikleştirebilirsiniz.
Ana dizin (public_html veya wordpress dizini): 0755
- wp-includes/: 0755
- wp-admin/: 0755
- wp-admin/js/: 0755
- wp-content/: 0755
- wp-content/themes/: 0755
- wp-content/plugins/: 0755
- wp-admin/index.php: 0644
- .htaccess: 0644
- wp-config.php: 0644
0 Comments:
Yorum Gönder