Güncellik en önemli güvenlik önlemidir. Geliştiricler her güncelleme de WordPress de açık ve bugları kapatır.Ayrıca yeni özellikler de ekler.Bu yüzden sitenizde ki WordPress’ i, temaları, eklentileri her zaman güncel tutun.
WordPress için yapılmış tema ve eklentiler çoğunlukla yurtdışı kaynaklı geliştirildiği için dolar ve avro üzerinden satışa sunuluyor. Ülkemizde de döviz fiyatların artması nedeniyle basit bir WordPress teması veya eklentisi en az 150 TL ‘den başlıyor. Tabi bizim insanımız herşeye para ayırıp WordPress tema ve eklentiye para ayırmadığı için warez yani korsan kullanıma yöneliyor. Tabi kimse size babasının hayrına en az 150 TL olan eklentileri ve temaları bedavaya vermiyor. Bu warez yazılımların içinde gizledikleri arka kapılar ile
Gördüğünüz gibi warez tema ve eklentiler siteniz için tehlike saçmakta. Eğer WordPress de Güvenlik istiyorsanız Warez yazımlardan uzak durmanız gerekiyor.
WordPress kurulumda varsayılan olarak admin kullanıcı adı verilir. Tabi ki bunu kurulumda değiştirebilirsiniz ama hatırı sayılır bir kullanıcı kitlesi kullanıcı adı olarak admin kullanıyor. WordPress de güvenlik istiyorsanız kullanıcı adınızı değiştirmeniz lazım.
WordPress de Kullanıcı adınızı değiştirmek için WordPress blogunuzun bağlı olduğu veritabanını phpmyadmin yardımıyla açın. Aşağıda ki sql sorgusunda YeniKullanıcıadınız bölümüne istediğiniz kullanıcı adını yazıp sql olarak çalıştırın.
UPDATE `wp_users` SET `user_login` = 'YeniKullanıcıadınız' WHERE `wp_users`.`ID` = 1
Bu adımı gören bazı arkadaşlarımız benim şifrem 123456 değil şifrem güvenli diyebilir. Ancak hackerler brute force programlarında sadece en çok kullanılan şifreleri değil sizin bilgilerinizden oluşan kombinasyonları da deniyorlar. Yani şifreniz doğdunuz yer, sevgilinizin ya da ailenizden birinin adıysa yani herkesin kolayca tahmin edebileceği bir şifre ise çabucak kendinize karmaşık bir şifre seçmeniz lazım.
WordPress de karmaşık şifre oluşturmak için Yönetim panelinizden Kullanıcılar -> Profiliniz yolunu izleyin. Açılan sayfada Yeni parola bölümünde Parola oluştur butonuna basıp yeni oluşturduğunuz parolayı not edin. Daha sonra Profili güncelle butonuna basıp yeni şifrenizi kullanabilirsiniz.
WordPress blogunuzda her ne kadar admin kullanıcı adından uzak durup karmaşık şifre kullansanız da bilgisayarına bulaşan basit bir keylogger ile şifrenizi basit bir şekilde ele geçirip basitçe yönetim panelinize girebilirler. Bunu engellemek içinse 2StepAuth yani 2 Adımlı Doğrulama kullanacağınız.
2 adımlı doğrulamayı kısaca anlatmak gerekirse hackerler kullanıcı adınızı ve şifrenizi öğrenseler bile giriş yapmaya çalıştıklarında telefonuzda bulunan Google Authenticator veya Authy uygulamasının ürettiği rastgele şifreleri isteyecektir.
WordPress de 2StepAuth (2 Adımlı Doğrulama) kullanmak için;
Yukarıda ki adımları eksiksiz bir şekilde yaptıysanız Yönetim Paneline giriş yaptığınız zaman sizden 2 Adımlı Doğrulama kodunu isteyecektir.
Bildiğiniz üzere WordPress bilgisayarınızda belirli cookies (çerezler) depolar. Bu cookiesler sizin kullanıcı adınızı,şifrenizi kısaca giriş bilgilerinizi barındırır. Ancak bu cookiesler yeteri kadar şifrelenmediği için belirli saldırılara maruz kalıp çalınabiliyor. İşte bu yüzden WordPress bizim için Eşsiz Doğrulama Anahtarı özelliğini sunuyor. Eşsiz Doğrulama Anahtarı ile cookieslerinizi şifreleyip kırılmasını daha da zorlaştırabilirsiniz.
Öncelikle;
WordPress de doğru chmod izinleri verdiğiniz zaman size tema dosyalarınızı yönetim panelinde düzenlemenize izin vermektedir. Bu da yönetim panelinize izinsiz girişlerde tema dosyalarınızın çok kolay bir şekilde düzenlenebilir olmasını sağlamakta. Bu yüzden WordPress de Yönetim Panelinde Dosya Düzenlemeyi kapatmalısınız.
WordPress de Yönetim Panelinden Dosya Düzenlemeyi Kapatmak için wp-config.php dosyasını açın ve aşağıda ki kodu ekleyin.
define('DISALLOW_FILE_EDIT', true);
WordPress blogunuzda chmod ayarlarınız öncelik taşır. Blogunuz da ki klasörlere ve dosyalara doğru chmod izinlerini vermezseniz hosting hesabınıza yetkisiz olarak dosya veya klasör kaydının önüne açmış olursunuz.
WordPress blogunuzda chmod izinleri;
WordPress de üyeliğinize giriş yaptığınız zaman herhangi bir bilgiyi yanlış girdiğiniz zaman veya sunucu kaynaklı bir hata olduğu zaman ayrıntılı bir hata mesajı ile ifade edilir. Bu mesaj sitenize sızmaya çalışan hackerlerin işine yarayacağı için gizlemeniz gerekmektedir.
WordPress de Login (Giriş) Hata Mesajlarını gizlemek için aşağıdaki kodu Ftp hesabınızdan wp-includes -> functions.php dosyasına ekleyin.
function no_wordpress_errors(){</code> return 'Hata Aldın.'; } add_filter( 'login_errors', 'no_wordpress_errors');
WordPress de güvenlik açıkları sürümlere göre depolanır. Örneğin WordPress 4.7 için açıklar ayrı WordPress 4.8 için açıklar ayrı bir şekilde listenir ve uygulanır. Hackerler de WordPress blogunuzu hacklemek için sürüm numaranıza uygun açıkları tarar. Eğer siz wordpress sürümünüzü gizlerseniz hackerleri durdurmayı başarabilirsiniz.
WordPress sürümünüzü gizlemek için Ftp hesabınızdan wp-includes -> functions.php dosyasını açıp aşağıda ki kodu eklemeniz yeterlidir.
remove_action(‘wp_head’, ‘wp_generator’);
WordPress önemli ayarlarınız ve bilgileriniz wp-config.php dosyasın da saklanır. Bu yüzden blogunuzu hacklemek isteyen hackerlerin ilk hedefi sizin wp-config.php dosyanızı ele geçirmek olacaktır. Bu nedenle wp-config.php dosyasının adını değiştirmeniz gerekmektedir.
Wp-config.php adını değiştirmek için ; wp-load.php dosyasında
if ( file_exists( ABSPATH . 'wp-config.php') ) { /** The config file resides in ABSPATH */ require_once( ABSPATH . 'wp-config.php' ); } elseif ( @file_exists( dirname( ABSPATH ) . '/wp-config.php' ) && ! @file_exists( dirname( ABSPATH ) . '/wp-settings.php' ) ) { /** The config file resides one level above ABSPATH but is not part of another install */ require_once( dirname( ABSPATH ) . '/wp-config.php' ); } Aşağıda ki kodu kendinize göre düzenlendikten sonra yukarıda ki kodun yerine kayıt edin.
if ( file_exists( ABSPATH . 'yenidizin/wp-config.php') ) { /** The config file resides in ABSPATH */ require_once( ABSPATH . 'yenidizin/wp-config.php' ); } elseif ( @file_exists( dirname( ABSPATH ) . '/yenidizin/wp-config.php' ) && ! @file_exists( dirname( ABSPATH ) . '/wp-settings.php' ) ) { /** The config file resides one level above ABSPATH but is not part of another install */ require_once( dirname( ABSPATH ) . '/yenidizin/wp-config.php' ); }
WordPress de bildiğiniz üzere default olarak giriş sayfası wp-login.php, admin klasörü olarak da wp-admin geçer. Hackerlerde bunu bildiği için sitenize direk bu 2 yoldan giriş yapmaya çalışırlar. Eğer kullanıcı adınızı ve şifrenizi bilen bir hackerse rahatlıkla blogunuzun yönetim paneline girebilir.
WordPress de tablo ön eki kurulumda wp_ olarak gelmekte. Tablo ön ekinizi default ayarda bırakmak tehlikeli bir seçenektir. Bu yüzden kendinize özel tablo ön ekiniz olması lazımdır.
$table_prefix = 'wp_';
Tablo ön ekiniz otomatik olarak değişecektir. Eski tablo ön ekinize dönmek için Change Prefix bölümünü no olarak işaretleyip wp-config.php de $table_prefix bölümünü tekrardan düzenlemeniz yeterlidir.
Size bu yazımda 13 adımda nasıl WordPress Güvenlik Önlemleri alacağınızı anlattım. Anlattığım güvenlik önlemlerini sizde uygulayarak kaliteli webmaster blog sahibi olabilirsiniz.