Skip to main content

WordPress güvenlik önemleri

WordPress güvenlik önemleri

Web siteleriniz hackleniyormu? WordPress güvenlik açığınız mı var? Bu makaleyi sonuna kadar okuyarak artık web sitelerinizi ve wordpress tabanlı sistemlerinizi son derece güvenli hale getirebiliceksiniz.

Detaylı bir anlatım olucaktır baştan sona dikkatlice okuyup adımlara uyunuz.

Öncelikle dün başımdan geçen olayı anlatayım. Hiçbir şekilde güvenlik kurmadığım siteme kendimce bilgi paylaştığım kişisel web siteme saldırı düzenlenip temam ile oynayıp benimle dalga geçmişler. Neden böyle birşey yaptıklarını anlamıyorum hani günümüz hacker’ları misyon için çalışırdı ki webserver güvenlik açıkları ile bende uğraşıyorum. Fakat kimsenin emeği ile oynicak kadar düşmedim. Websitem için değil kişi için ve bu kadar basitleştiği için üzüldüm bu saatten sonra güvenlik önlemlerimi son derece güzel aldığımı düşünüyorum fakat %100 kapatmadım. Çünkü her güvenliğin bir açığı vardır.

Warez Temaları kaldırmak

Başlayalım öncelikle hacker’ların en kolay saldırı yöntemi SQL açıklı yöntem ile saldırıdır. Kullandığınız warez temalar veya güncellenmeyen temalar genelde bu saldırılara en açık saldırılardır. Çünkü warez tema kullanımı kişinin kodladığı temayı ücretli satarken sizin ücretsiz almanızdan geçiyorki böyle şeylerin genelde amacı milletin güvenliğine açık sızdırmaktan geçiyor.

Bu sebepten dolayı warez temanız varsa kaldırın. Kurulan warez’in içine sızdırılan kodlar sizin emeklerinizi mahvedebilir şimdi diceksiniz ulan benimle kim uğraşır nereden bulucak inurl:/wp-content/themes/sparkling örnek dork budur burada açık bulurlarsa direkt temanıza yönelik saldırılar olabilir. Google’da kelimeyi aratıp açığı bulmak yeterlidir. Saldırmakta çok kolaydır.

Admin Panel Yolunu Gizlemek

Warez temalarımızı kaldırıp ücretsiz temalara geçiş yaptık. Diğer bir güvenlik önemli ise admin panel yolumuzu gizlemek. Düşünsenize admin panelinizin yolunu biliyorum siteadı.com/wp-admin aylarca deniyerek belki yıllarca bulabilirim. Yani imkansız diye birşey yok. Heleki şifreniz kolaysa zaten kullanıcı adınız belli siteadı.com/author/kullanıcıadı sizin wp-admin’deki kullanıcı adınızdır. Grepwin programı ile admin panel yolunuzu değiştirebilirsiniz. Fakat sorunlar çıkabilir o yüzden tek bir eklenti ile wp-admin’i kilitleyerek başka bir yerden giriş yapıcaz. Örnek siteadı.com/wp-admin yazıldığında aranan sayfa bulunamıyor dicek aslında login kısmı siteadı.com/sibergelisim-login/ yaptık buradan giriş yaptıktan sonra wp-admin’e düşecek.

Eklentinin adı LockdownWP Eklentiye gitmek için tıklayınız. Kullanımı çok basittir direkt anlar ve yaparsnıız. (Çalışmıyor demeyin eklentiyi kurduktan sonra çıkış yapıp wp-admin’e giremiceksiniz yönlendirdiğiniz adresle giriş yapıcaksınız. Eğer bozulma söz konusu olursa ftp dizininden Publich_html kısmından wp-contente girip plugins’lerden kaldırabilirsiniz. Düzgün yönlendirme ile sorun falan olmicaktır. Gerçekten çok kolaydır korkmayın.

.htaccess dosyasını güvenli hale getirmek

Ne kadar etkili olur bilmiyorum. Fakat webmasterların genel önerisi bu kodlar içinde bu kodları .htaccess’in en üst sırasına yerleştirmeniz yeterlidir.

ServerSignature Off 
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files> 
<files wp-config.php>
order allow,deny
deny from all
</files> 
<files wp-load.php>
order allow,deny
deny from all
</files>

Dosya izinlerini varsayılan hale getirmek

Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644

Alıntıdır.

Eklentileri ve Temaları gizlemek

Wp-content içindeki plugins ve themes kısmının içine girip yeni dosya oluştur diyip adını index.html (boş beyaz sayfa) olarak kayıt ediyoruz. Böylece pluginlerimize erişemiyorlar  [NOT: index.php var ama siz html diyede açın]

wp-config.php’nin yerini değiştirmek

En önemlilerinden bir tanesi çünkü veritabanı bilgileriniz burada yazar ve programlar sayesinde veritabanına bağlanıp admin paneli kullanıcı adınızı öğrenip md5 yolu ile yeni şifre belirleyerek o kullanıcı adı ve şifre ile giriş yaparlar indexlerini atıp çıkarlar. İsterlerse kullanıcıları makalelerinizi yorumlarınızıda silebilirler.

wp-config.php’nin içindeveritabanı bilgileriniz yer alır. Bunun önemli ise wordpress’in kurulu olduğu dizindeki wp-load.php’den geçer onu not defreti ile açınız. ve ctrl + f yardımı ile

</pre>
<blockquote>if ( file_exists( ABSPATH . ‘yenidosyayolu/wp-config.php’) ) {

/** The config file resides in ABSPATH */
require_once( ABSPATH . ‘ ‘yenidosyayolu/wp-config.php ‘ );

} elseif ( file_exists( dirname(ABSPATH) . ‘ ‘yenidosyayolu/wp-config.php ‘ ) && ! file_exists( dirname(ABSPATH) . ‘/wp-settings.php’ ) ) {

/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . ‘ ‘yenidosyayolu/wp-config.php /wp-config.php’ );</blockquote>

Veritabanı bilgilerini zorlaştırmak

Bilmiyorsanız fazla kurcalamayın bilgileriniz kaybolabilir.

Benim önerim burada yeni dosya yolu adını /wp-includes/guvenlikk gibi bir dosya oluşturup orayı gösterip wp-config.php’yi guvenlikk adındaki klasöre atmak tabi ondan önce wp-load.php’de yei dosya yolu yazan yerleri düzenlemeniz gerekiyor.

Şimdi geriye kaldı veritabanı kullanıcı adı ve veritabanımızın adını değiştirmeye genelde saldırılar kolay veritabanı adından veya şifreden kaynaklanıyor. Örnek basit veritabanı adı siteadı_wp kırılması çok zor olan veritabanı adı siteadı_w0rdpr3ss1 gibi şeylerdir. Hostunuzdan değiştirip wp-config.php’dende bunları düzgün bir şekilde düzenleyip yeni şifremizide zor birşey yapıp eski veritabanındaki sql’i dışarı aktarıp yenisinde içeri aktardıktan sonra artık güvenlik önemleriniz alınmıştır gerisi takdiri ilahi.

Bu tür konularda wordpress güvenlik açıklarınızı kapatma konusunda sizlere tam destek vermek amacı ile yapamadığınız ve yardım beklediğiniz yerleri söyleyin cevapliyim. Böylece diğer okuyanlarda yararlansın sizinde işiniz çözülsün. Unutmayın %100 güvenlik bankalarda bile yok. Sizdede olamaz. Sadece biz daha fazla uğraştırıyoruz hackerları hatta çoğu zaman sabote ediyoruz. En güncel wordpress ve en güncel temayı kullanmak yeterli gelmiyor bazen.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir