0
  Login
WordPress Güvenlik Önlemleri Nedir?

WordPress Güvenlik Önlemleri Nedir?

Bu makalemizde sizlere wordpress güvenlik önlemleri nedir başlığı altında bildiğimiz bilgileri aktaracağız.

WordPress güvenlik önlemleri nedir? Belkide web tasarım ile uğraşmak isteyenlerin wordpress’e başlayacağı zaman sorduğu ilk soru budur. WordPress açık kaynaklı bir içerik yönetim platformu olduğundan ötürü bir çok dikkat edilmesi gereken güvenlik açığı mevcut. İlk başkta uyarmamız gerekiyor. Panik yapmanızı gerektirecek bir durum yok. Fakat ünlü kişiler, büyük şirketler gibi bir oluşumsanız, web siteniz de wordpress altyapısı ile kurulduysa bu makalede anlatacaklarımızı özellikle uygulamanızı tavsiye ediyoruz. Makale içerisinde yer alan bazı bilgileri wordpress dışında da, günlük hayatınız içerisinde yapmanız sizi diğer platformlar da da güvenli yapacaktır.

WordPress ilk başta da belirttiğimiz gibi açık kaynaklı bir platform. Bu sebeple sitenize erişmek isteyen hacker tabirli bu kişiler wordpress’i çok iyi tanıyor. Bir kaç maddede sizlere wordpress güvenlik önlemleri nedir sorusuna yanıt toplayalım. İlk başta belirtelim. Güvenlik önlemi aldıklarını iddia eden eklentileri kurmak siteniz için bir güvenlik önlemi değil tam tersi bir güvenlik açığı oluşturuyor. Güvenlik için çalıştığını iddia eden bir eklenti sizden veri topluyor olabilir. Veri toplamasa bile sitenizde gereksiz yere kaynak tüketecek ve bu kaynak sitenizin aşırı derecede yavaşlamasına sebep olacaktır. Bu tarz eklentiler sadece sitenizin yönetim adresini değiştirir veya spam yorum gibi basit şeyleri engeller. Bunun için kaynak harcamaya gerek yok. WordPress yönetim url adresini gizleme işlemi için daha basit bir yöntem istiyorsanız makalemizi ziyaret edebilirsiniz.

wordpress güvenlik önlemleri

wordpress güvenlik önlemleri

1. Madde: Günlük hayatınız içerisinde de yapmanızı özellikle tavsiye ettiğimiz madde bu diyebiliriz. Günlük hayatta oluşturduğunuz tüm şifrelerde ve wordpress kullanıcı adı ve şifresi, veri tabanı ismi ve şifresi, cpanel kullanıcı adı ve şifresi gibi en önemli etmenleri güçlü oluşturmanız gerekiyor. Örnek verecek olursak; veri tabanı isminizi ornek_veritabani seklinde değil Or0n6Ek_VTbn4i şeklinde oluşturmalı, şifrelerinizi de orneksifre şeklinde değil #Orn3K&5ifR3@ şeklinde oluşturmaya özen göstermelisiniz. Bu tarz şifreler kırılması en zor şifreler sınıfında yer almakta ve hacker diye tabir edilen kitlenin işinide bir hayli zorlaştırmakta. Kullanıcı adlarınızda özel karakter, rakam veya büyük harf desteği vermeyen platformlar ile karşılaşırsanız burada da kullanıcı adını, admin, isimsoyisim, isim, yönetici gibi basit ifadeler koymaktan kaçının. Sizin ile ilgili bilinmesi güç veya tamamen alakasız bir kullanıcı adı tercih etmek sizin için faydalı olacaktır.

Hackerlar her zaman öncelikle sizinle ilgili bilgiler üzerinden giderler. Şifreleriniz ve kullanıcı adlarınızı sizin bilgileriniz ile deneyip ardından iyi bir hacker ise başka yöntemler denemeye giderler. WordPress için de durum aynı. Veri tabanı isimlendirmesi için örneğimizi zaten verdik. Fakat veri tabanı oluştururken wordpress veri tabanı ön eki olarak wp_  şeklinde bir ek oluşturur. Bu ek veri tabanonda bulunan tablo ve değerler için kullanılıyor. Fakat veri tabanlarında hackerların aradıkları ilk ön ad wp_ dir. Veri tabanı ön adını a2c3_ şeklinde yapabilirsiniz. Fakat burada da yukarıda anlattığımız şekilde sizinle alakası olmayan, kolay tahmin edilemeyen ifadeleri seçmelisiniz. Bizim örnek vermek istediğimiz gibi alfabenin harfleri gibi seçimler de hackerlar tarafından deneniyor bunu unutmayın. Gelelim wordpress kullanıcı adına. Belkide bir çoğunuzun yaptığı standart admin kullanıcı adını belirleyip şifre olarak basit bir şifre koymak.

Bu tarz siteler çok kısa sürede basit işlemler ile kırılabiliyor. Bu sadece wordpress için geçerli değil basit kullanıcı adı ve şifreler her platformda kolayca kırılabiliyor bunu unutmayın. Kullanıcı adınızı sizinle alakalı olmayan tahmin edilmesi zor bir şey seçerek işe başlayın. Ardından şifrenizi belirlerken yukarıda anlattığımız taktikler ile bir şifre belirleyip sadece sizin bileceğiniz bir yere kaydedin yada ezberlemeye çalışın.

 

wordpress güvenliği

wordpress güvenliği

2. Madde: Hackerlar tarafından denenen bir diğer yöntem ise site içerisinde bulunan klasörlere erişmek. WordPress üzerinde wp-content gibi standart klasörler bulunur. Hackerlar tarayıcıdan veya başka bir platformdan buralara erişmeyi dener. Bu klasörleriniz içerisine boş bir index.html koyarak bu erişimi engelleyebilirsiniz. Bu işlemi erişmesini istemediğiniz her klasöre yapmanız sizin için faydalı olacaktır. Gene bu işlemi wordpress dışında html tabanlı siteler için de kullanabilirsiniz. Fakat burada dikkat etmeniz gereken şeyler var. Klasör içerisinde index.php gibi yada başka bir index.html dosyası varsa bu işlemi yapmayın. Aksi takdir de o klasör içerisinde bulunan verinin çalışmasını engelleyebilirsiniz.

3. Madde: Genellikle wordpress platformuna erişebilmenin en kolay yolu sitenize yüklediğiniz tema ve eklentiler yolundan geçiyor. WordPress güvenlik önlemleri nedir sorusunda basit ama etkili bir güvenlik maddesi de bu. Sitenize kuracağınız her bir eklenti ve temanın güvenli olduğundan, sahte olmadığından, orjinal ise güvenli bir platform tarafından indirildiğinden emin olduktan sonra yükleyiniz. Eğer özel bir platformdan satın alma işlemi yapmadıysanız, wordpress.org üzerinde bulunan tema ve eklentileri yükleyebilirsiniz. Bu sayede zaten wordpress tarafından denenen ve güvenlik sorunu teşkil etmeyecek tema ve eklentileri yüklemiş olacaksınız.

4. Madde: WordPress üzerine eklediğiniz temayı ara ara kontrol etmeniz sizin yararınıza olacaktır. Güncelleme alan temalara eklenen dosyaları inceleyip içerisinde tuhaf bir kod veya dosya gördüğünüzde incelemeli hatta en mantıklısı temayı kaldırmalısınız. Eğer tuhaf gördüğünüz kod yada dosyayı inceleyecek kadar teknik bilgiye sahipseniz tabiki incelemek sizin kararınıza kalmış fakat biz genede bu tarz bir durumda temanın değiştirilmesini tavsiye ediyoruz.

wordpress security

wordpress security

5. Madde: Worpdress siteniz üzerinde arka planda önlemini almadığınız sürece dosya yükleme kısımları oluşturmayın. Aksi takdirde yukarıdaki anlattığımız güvenlik açıklarından dosaylarını sitenize yerleştiremeyen hackerlar bu yükleme alanları sayesinde sunucunuzun tam göbeğine bu dosyaları kolaylıkla yükleyecektir. Eğer dosya yükleme işlemini yapmak zorundaysanız burada yapmanız gereken işlem, sadece dosya depolama amacı için ayıracağınız ayrı bir host satın almak ve yükleme alanını buraya yönlendirmek.

6. Madde: Basit ama oldukça önemli bir diğer güvenlik açığı ise wordpress sürümünüzün versiyonu. Size de tuhaf gelmiş olabilir fakat wordpress sürümünüzü bilen hackerlar o sürümde bulunan güvenlik açıklarını öğrenerek o açıklardan sitenize erişmeyi deneyebilir. Bunun için yapmanız gereken iki işlem var. Biri wordpress sürümünüzü sürekli olarak güncel tutmak diğeri ise temanın functions.php dosyasına aşağıdaki kodu eklemek. Bu işlemi yaparken orjinal dosyayı yedeklemenizi tavsiye ediyoruz. Aksi bir durumda yedeği yüklemek faydalı olacaktır.

remove_action(‘wp_head’, ‘wp_generator’);

7.Madde: Hackerların ilk denediği yöntemlerden biri ise wordpress dosyaları arasında yer alan wp-config.php dosyası. Bu dosyayı daha önce hiç açmadıysanız içerisinde yer alan önemli bilgileri özetleyelim. Veri tabanı adı, kullanıcı adı ve şifresi gibi önemli bilgiler burada yazmakta. Eğer bu dosyanın önemini hala anlamadıysanız şu şekilde anlatabiliriz. Bir hacker bu dosyaya erişir ise sadece wordpress bilgilerinizi öğrenmekle kalmaz tüm siteyi istediği zaman silebilir ve kullanıcı bilgilerinizi de öğrendiğinden sitede istediği işlemleri yapabilir.

Münkünse bu dosyayı bir başka alana (örneğin wp-content içine) alabilirsiniz. Bunu yapmak için wp-load.php dosyanızı açarak wp.config.php kısmını bulun ve dosya yolunu güncelleyin, örneğin wp-config.php dosyanızı wp-content.php içine atacaksanız, wp-load.php de bahsettiğim alanı şu şekilde değiştirin.

 

wp-content/wp-config.php

Aynı zamanda wp-config.php nin birinin eline geçmesi ihtimaline karşı dosya içinde varolan kodların tümü ioncube tarzı bir şifreleme ile şifreleyebilirsiniz. Bu şifreleme kırılması zor şifreleme türlerinden biridir. Ioncube şifreleme yönteminin nasıl yapılacağını google gibi bir arama motorunda aratarak kolaylıkla bulabilirsiniz.

8. Madde: WordPress üzerinde bu makalenin yayınlandığı tarihte halen daha giderilmeyen önemli bir açık vardır. WordPress çıkış tarihini baz alırsak bu açık düzelecek gibi de durmuyor. Biz bu açığın önlemini kendimiz alarak wordpress in kendi düzelteceği zamanı bekleyebiliriz. Xmlrpc.php dosyası üzerinden DDoS dediğimiz saldırılar yapılabilmekte. Normalde sadece POST ile gönderilen veriler varsa çalışan bu dosya ne yazıkki kötü amaçlı olarak kullanılabiliyor. Sitenizde açık olup olmadığını anlamak için “www.siteniz.com/xmlrpc.php” tarayıcınızda bu şekilde belirttiğimiz adrese gitmeniz yeterli. Eğer aşağıda ki gibi bir sonuç aldısanız sizde de bu açık var demektir.

xmlrpc security

xmlrpc security

Bu açığı kapatmak için yapacağınız işlem ise aslında çok basit. .htacces dosyanıza girerek aşağıda yer alan kodları eklemeniz yeterli olacaktır.

# Begin Protect xmlrpc
RedirectMatch 403 /xmlrpc.php
# End Protect xmlrpc.php

9. Madde: Aslında burada anlatacığımız madde daha önce detaylı olarak makalesini yazdığımız bir madde. Wordpress Güvenlik Önlemleri Nedir başlığı altında topladığımız maddelerin sonuncusu, wordpress yönetim adresini gizlemek. Bu işlem ile ilgili detaylı bilgiyi makalemizden edinebilirsiniz.

Sizlere bu makalemizde wordpress güvenlik açıkları nedir sorusuna cevap vermeye çalıştık. 8 maddede topladığımız güvenlik maddelerini uygulayarak siz üzerinize düşen tüm önlemleri almış olacaksınız. Unutmayın her platformda güvenlik açığı bulunmaktadır. Burada maddelendirdiğimiz bir çok güvenlik açığı günümüzde kullandığımız her uygulama veya sitede mevcut. WordPress için ise yapmanız gereken işlemler bunlarla sınırlı değil. Özellikle az eklenti kullanmak site hızınızı olumlu yönde etkileyecektir.

About the Author