WordPress Güvenlik Önlemleri

Merhaba Arkadaşlar,

Wordpress'e son zamanlarda yapılan yatırımlar ve web sektöründe oldukça fazla yelpazesi ile ilgi görmeye başladı.Bu sebebten dolayı hem olumlu hem olumsuz yönlerini doğurdu.Olumsuz yönlerinden biriside, kötü niyetli kişiler tarafından web sitenize saldırı yapılmaya başladı.Açıklar bulmaya çalışıldı.Wordpress bunun önüne geçmeye çalışıyor tabiki.Ama her ne kadar önlem alınsada sizin scripti kurarken ve kullanırken almanız gereken bazı önlemler var.Bu yazımda da Wordpress güvenliğinden bahsedeceğim.

Wordpress sisteminize yapılan saldırılardan dolayı web sayfalarınızda önemli bilgileri ele vermekle beraber sunucularınızda da yavaşlamalara sebeb olacaktır.Bu saldırıların nedeni wordpress'de kullanılan SEO amaçlı hazırlanılmış Social Media pluginleri ve widgetleridir.Bu tür eklentilerden doğacak olumsuzluklar sisteminize zarar verecektir.Bilmediğiniz eklentileri ve widgetleri lütfen kurmayınız.Çünkü, içlerine saklanan ne gibi bir kod yapısına sahip olduğunu bilemezsiniz.Bu kod parçacıkları sisteminize ait herşeyin yönetim hakkını alacağından dolayı isteğini yaptırabilir.Sitenizdeki yazılarınızda sizden habersiz linkler ekleyebilir veya veritabanınıza sızabilir.Hatta başka web sitelerine sizin üzerinizden saldırı gönderebilir.

Wordpress'de alınması gereken bazı güvenlik önlemlerini sizinle paylaşacağım.Lütfen sizde en kısa zamanda tüm wordpress sistemlerinize uygulayın.

1.En Güncel Wordpress Sürümü 

Wordpress panelinizden aşağıdaki adresten son sürüm kontrolü yaptırabilirsiniz.

www.siteadi.comwp-admin/update-core.php


2.Wordpress Security Plugin'i Kurun

http://wordpress.org/plugins/better-wp-security/

 

3.wp-includes klasörünü güvenli hale getirin 

(.htaccess içerisine aşağıdaki kodu yerleştiriniz.)

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
 
order allow,deny 
deny from all 


4.wp-config.php içerisine aşağıdaki kodu ekleyin varsa değiştirin

define('DISALLOW_FILE_EDIT', true);


5.Son olarak klasör ve dosyalarınızın chmod izinlerini değiştirin

Ana dizin (root directory) : 755
wp-includes/ : 755
wp-admin/ : 755
wp-admin/js/ : 755
wp-content/ : 755
wp-content/themes/ : 755
wp-content/plugins/ : 755
wp-admin/index.php : 644
.htaccess : 644
wp-config.php : 644

Hiç bir dizine chmod 777 yapmayınız, yazılabilir yetki için 755 kullanmanız yeterlidir.
Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.

 

Diğer güvenlik önlemleri ilerleyen yazılarımda devam edecektir.Takipte kalın..