WordPress’te Temel Güvenlik

WordPress GüvenliğiWordPress‘in çıkış noktası bir blog sistemi olsa da günümüzde milyonlarca sitenin alt yapısını oluşturmakta. Artık olay kişisel blogların dışına çıktığı için kullanıcı sayısı da günden güne artmakta. Hackerların ise popüler sistemlere saldırmayı sevdiğini biliriz.

Ben bu makaleyi yazarken dünya üzerinde tamı tamına 66,863,289 WordPress kullanan web sayfası bulunmakta. Ayrıca yine hazır uygulamalardan en çok tercih edileni %58 ile WordPress.

Yazımın devamında sizlere WordPress web sayfanızı birkaç basit önlemle nasıl daha güvenli hale getirebileceğinizi anlatacağım.

WordPress İstatistikleri

Adım adım güvenlik önlemlerini konuşalım.

1. Zor tahmin edilir şifreler kullanın

Hackerların bir çoğu şifrelerinizi tahmin etmek için zaman harcamazlar. Çünkü bu işlemi otomasyon ile yapmaktır onları hacker yapan. Fakat acemileri veya sizi tanıyan şahıslar özel bilgilerinizi kullanarak şifrenizi tahmin edebilir. O yüzden kimsenin aklına gelmeyecek şifreler kullanın.

2. Yönetici kullanıcı adı

Yetkili hesabın adını Admin olarak bırakmayın. Herkesin ilk aklına gelebilecek rumuz, hacker için bir sitenini hacklenmesinde %30’luk işlemin tamamlanması demektir. Çünkü geriye sadece kırılması gereken şifre kalır.

3. Yönetici kullanıcı ID numarası

Bildiğiniz gibi SQL veritabanı üzerinde admin kullanıcı adının ID numarası 1 olarak gözükür. Sitenizde başka kullanıcılar varsa bu numarayı onlardan biriyle değiştirin. SQL’e yapılacak saldırılarda ve şifre çekimlerinde her zaman ilk hedef 1 nolu ID olur.

4. Merkezi wp-config.php dosyasını koruyun

Bu dosya WordPress sitenizin veritabanı ile bağlantısında köprü görevi üstlenir. İçerisindeki veritabanı adı, veritabanı kullanıcı adı ve şifresi yüksek derecede önemli satırlardır. Başkaları tarafından ele geçirilmesi her şeyin sonu olabilir. Blog sisteminin tekniğine hakimseniz bu dosyayı yeniden isimlendirin ve dizinini değiştirin.

5. Yönetici panelinizden yabancıları uzak tutun.

Ana dizinimizdeki wp-admin klasörü filmin koptuğu alandır. Buranın düşmesi, hackerın buradan giriş yapıp panelinizi görüntülemesi, her şeyin sonu olabilir. .HTACCESS kullanarak bu alanı girişi sınırlamak sizin elinizde.

order deny,allow allow from a.b.c.d # Statik IP adresinizi yazın

Üstteki kodu .htaccess dosyanıza eklemeniz, panele sadece kendi IP adresiniz ile girilmesini sağlar. IP adresinizi buradan öğrenebilirsiniz.

Bu da ilginizi çekebilir  WordPress'te Yazılara AdSense Reklamı Yerleştirme

6. Yedekler oluşturun

Siteniz için bilgisayarınızda iki adet yedek klasörü oluşturun. Birine veritabanı yedeklerini, diğerine ise dosya (FTP) yedeklerinizi atın. Veritabanınızın yedeklerini almak için WP-DBManager kullanmanızı öneririz. Bu konuyla alakalı gelişmiş bir makalemiz de mevcut.

7. MYSQL veritabanı ismi, kullanıcı adı ve şifresi

Veritabanınız için seçtiğiniz isim, kullanıcı adı ve şifre fazlasıyla önemlidir. Bütün bu bilgilerin zor tahmin edilebilir olduğuna emin olun. Veritabanınıza erişim sağlayan bir hacker, tüm makalelerinizi ve şifrelerinizi saniyeler içerisinde çalabilir.

8. Hata mesajlarını gizlemek

WordPress’in temelinde yatmasa da yazılımsal olarak bazen hatalar kullanıcıya listelenebilir. Örneğin sitenize giriş yapmaya çalışan hacker sürekli şifre denemeleri yapabilir.Alacağı sonuç ise:

Örneğin : Girdiğiniz kullanıcı adı hatalı

Böyle bir şey olsun istemezsiniz sanırım. O zaman temamızın function.php dosyası içine ekleyeceğimiz bir satırlık kod ile bu hataları görünmez kılalım.

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

Böylece girdiği bilgilerin doğruluğu ve yanlışlığı ile ilgili hiçbir veri gösterilmemekte.

9. WordPress versiyonunuzu gizlemek

Kullandığınız blog versiyonu için özel açıklar geliştirilmiş olabilir. Hackerlar ise sadece sürüm kodunuzu Google’da aratarak size erişebilirler. Açık hedef olmamak için temanızın function.php dosyasını açın ve <php kodundan sonra herhangi bir yere aşağıdaki kodu yapıştırın.

remove_action(‘wp_head’, ‘wp_generator’);

10. Güvenlik arttırıcı eklentiler kurun

WordPress için onlarca güvenlik eklentisi mevcut. Bunları sitenize dahil ederek site güvenliğini arttırabilirsiniz.

AdobeWordPress olarak güvenlik konusunda makaleler yazmaktayız. Bunları da okumanızı öneririz.

http://www.adobewordpress.com/wordpress/guvenlik/

Kapanış

WordPress yine en temel haliyle bile en güvenli web sistemlerinden biridir. Fakat siz yine de 10 maddelik güvenlik tavsiyemizi dikkate alın ve web sayfanızın temelini güçlendirin.



  • SpamFree

    2 tanesi hariç hepsini siteme uyguladım. Teşekkürler.

  • JasonBaba

    Tüm hazır sitelerde versiyonu gizlemek faydalı. joomla ve phpbb gibi forumlarda dahıl

  • Gökhan Dalkılınç

    Yazdıklarının tamamı ve yazdıklarından da fazlası http://wordpress.org/plugins/better-wp-security/ bu eklentide yer alıyor. Çok faydalı bir eklenti gerçekten, ben severek kullanıyorum. 🙂 Temel düzeyde güvenlik açıklarını gösteriyor ve bunları birkaç butona tıklayarak kapatmanızı sağlıyor.

  • soulmy

    11.Better WP Security eklentisini kullanın 😉