Merhaba bu makalemizde  wordpress’te güvenliği arttırmak ve sitemize yapılacak olası saldırıları bertaraf etmek için alabileceğimiz bazı önlemlerden bahsedeceğim. WordPress bilindiği üzere açık kaynaklı. Dolayısı ile hack girişiminde bulunmak isteyen kişiler yapısını iyi tanıyabiliyorlar. Aynı zamanda wordpress le ilgilenen bir dünya insan olması bu açıkların kısa sürede kapatılmasına olanak sağlıyor.

wordpress-güvenlik-önlemleri-600x338

1- WordPress sitemizi açmadan önce database, database kullanıcı adı ve şifrelerini mümkün olduğunca özen göstererek seçmeliyiz. Örnek olarak:  krnz_db değilde krnz_db43u gibi bir nebzede olsa zor bir isim seçmeye çalışın.Eğer plesk panel hosting kullanıyorsanız veritabanı ön ekini de değiştirmenizde fayda var. Aynı şey kullanıcı adı içinde geçerli.  Database kullanıcı şifresinde rakam, harf ve özel karakter bulunması çok önemli. Çeşitli programlar vasıtasıyla koyduğumuz basit şifreler çözülebilir. Eğer güçlü ve karmaşık bir şifre oluştursanız bu programların işi zorlaşır. Örneğin “123456” şifresini koydunuz bu şifre uygulamaların ilk deneyeceği kombinasyonlardan biri. yada “abc12345” bir nebzede olsa uygulamanın işini zorlaştıran bir şifre haline geldi. Ancak “abc_123-25_45” gibi bir şifre uygulamanın sayısız kombinasyon denemesini gerektirecek ve bu şifreyi çözmek neredeyse imkansız olacak. Eklediğiniz her karakterin  şifrenin bulunma olasılığını azalttığını unutmadan uzun ve karışık şifre yazınız.

WordPressi kurarkan database ön eki olarak wp_  tanımlı gelir. Farklı bir ön eki kullanmamız faydalı olacaktır. Bu değişiklik database’de yer alan bilgilerin wp_user değilde abc_user şeklinde görünmesini sağlayacak. Bir nebzede olsa hackerlerin işi zorlaşacak.

Kurulum işlemimiz bitmek üzere. Admin kullanıcı adını ve şifresini seçeceğiz. Kesinlikle Admin kullanıcı adını değiştiriniz.  Varsayılan admin id olduğundan wordpress sitelerde denenecek ilk admin id’dir.. Mümkün olduğunca uzun karakterli ve unutmayacağınız kadarda akılda kalıcı bir kullanıcı adı yazınız ve şifreyi veritabanı şifresindeki mantıkla oluşturunuz.

Wordpress-Guvenlik-onlemleri-

2- Sitenizde açtığınız ekstra kalasörler varsa ve wp-content ve alt klasörlerin de index.html dosyasını oluşturup bu dosyalara atınız. Bu boş indexler  klasörlerinizi listelemek isteyenleri engelleyecek.

wordpress-guvenlik

3-Tema ve eklenti kurmadan önce güvenilir olmalarına dikkat ediniz. WordPress.org dışındaki kaynaklar zararlı kodları shell dosyalarını eklenti ve temalara entegre edip sitenizi onlara teslim etmenizi sağlayabiliyor. Bu yüzden zorunlu kalmadıkça wordpress.org dışından eklenti kullanmayınız. Eğer kuracağınız temalarda şifrelenmiş kısımlar varsa bu temaların güvenilir olup olmadıklarını teyit ettiriniz.

wordPress-ecurity-advices

4-Temanızı ara ara kontrol ediniz. İçine eklenmiş olan kodla zararlı yazılım yükleyebilirler. Sitenizin görünümünde ara ara ufak değişiklikler oluyorsa bu bir işaret olabilir. İşin uzmanına başvurun yada temanızı değiştirin.

AN-WordPress-Security-Guidelines

5- Sitenizdeki sorgu sayısını artırabilecek bölümleri mümkün olduğunca az tutmaya çalışın. Arama kutuları botnet gibi saldırılarda sorgu yaptırıp  cpu tüketiminizi artırabilir. Bu kısımlara dikkat etmenizde ve güvenliklerini arttırmaya çalışmanızda fayda var.

timthumb

6-Sitenizdeki dosya yükleme kısımlarını zorunlu kalmadıkça kullanıcılara açmayınız. Shell dosyalarını buradan yükleyerek sitenizdeki kontrolü ellerine geçirebilirler. Dosya upload bölümlerini farklı bir host üzerinden yapınız ya da zorunlu kalmadıkça kullanmayınız.

WP_security

7- WordPresss versiyonunu gizlemek çok öenli. WordPress sürümünü güncellememiş olabilirsiniz. Eski versiyonlarda bulunan açıkları bilen hackerlar sizin versiyonunuza ait açığı kolayca tespit edip hızlı bir şekilde sitenizi alt üst edebilir. Bunun için temanın functions.php dosyasına aşağıdaki kodu ekleyiniz. Yedek almayı unutmayın.

remove_action(‘wp_head’, ‘wp_generator’);

wordpress-dosya-izinleri-iç
8- WordPress versiyonunun sürekli güncel olduğundan emin olun. Yedek alarak güncellemekte fayda var.Güncellenen wordpress versiyonlarındaki iyileştirmeler haricinde kritik açıklara da çözüm bulunduğundan dolayı her güncel wordpress versiyonu sitenizin güvenlik duvarını bir nebze daha sağlamlaştıracak.

WordPress-Güvenlik

9-Wp.config wordpress’in çalışması için gerekli en önemli dosyalar arasında yer alır. wp.config içerisinde sitenizin veritabanı adı, kullanıcı adı, şifresi gibi kritik önem arzeden bilgiler yer almaktadır. Bu sebeple bu dosyanın muhafazası ve güvenliği oldukça önemlidir. Şöyle ki, bu dosyanıza erişen bir hacker, veritabanı şifrenize de erişmiş olur. Münkünse bu dosya anadizinden bir başka alana (örneğin wp-content içine) alınabilir. Bunu yapmak için wp-load.php dosyanızı açarak wp.config.php kısmını bulun ve dosya yolunu güncelleyin, örneğin wp-config.php dosyanızı wp-content.php içine atacaksanız, wp-load.php de bahsettiğim alanı şu şekilde değiştirin.

wp-content/wp-config.php

Aynı zamanda wp-config.php nin birinin eline geçmesi ihtimaline karşı dosya içinde varolan kodların tümü ioncubetarzı bir şifreleme ile şifreleyin. Bu şifreleme tarzı kırılması zor yöntemlerden biridir. Ioncube şifrelemenin nasıl yapılacağını google arama motorunda çeşitli sitelerde bulabilirsiniz.

WordPress-Security

10-Eklentileri mümkün olduğunca az kullanın. Hem sitenizi yavaşlatacaklardır hem de saldırıya açık olma durumlarını artıracaklardır.

highsecurity

11- WordPress‘de mevcut olan bir açık vardır. Xmlrpc.php dosyası üzerinden saldırılar gerçekleşebiliyor. Normalde sadece POST ile gönderilen veriler varsa çalışan bu dosya kötü amaçlı kullanılabiliyor. DDoS saldırıları yapılabiliyor.

Açık olup olmadığını anlamak için sitenizde şöyle bir url’ye gidin “www.siteniz.com/xmlrpc.php”. Eğer aşağıdaki resimdeki gibi bir sonuç alıyorsanız sizde de bu açık mevcut demektir.

xmlrpc-securityBu açığı kapatmak için ise .htaccess dosyanıza aşağıdaki kodları eklemeniz yeterlidir.

# Begin Protect xmlrpc
RedirectMatch 403 /xmlrpc.php
# End Protect xmlrpc.php
|Hosting.com.tr