13 Adımda WordPress de Güvenliği Sağlayın

Güncel WordPress Kullanın

Güncellik en önemli güvenlik önlemidir. Geliştiricler her güncelleme de WordPress de açık ve bugları kapatır.Ayrıca yeni özellikler de ekler.Bu yüzden sitenizde ki WordPress’ i, temaları, eklentileri her zaman güncel tutun.

WordPress de Warez (Korsan) Yazılımlardan Uzak Durun

WordPress için yapılmış tema ve eklentiler çoğunlukla yurtdışı kaynaklı geliştirildiği için dolar ve avro üzerinden satışa sunuluyor. Ülkemizde de döviz fiyatların artması nedeniyle basit bir WordPress teması veya eklentisi en az 150 TL ‘den başlıyor. Tabi bizim insanımız herşeye para ayırıp WordPress tema ve eklentiye para ayırmadığı için warez yani korsan kullanıma yöneliyor. Tabi kimse size babasının hayrına en az 150 TL olan eklentileri ve temaları bedavaya vermiyor. Bu warez yazılımların içinde gizledikleri arka kapılar ile

  • Sitenize virüs bulaştırıp Google sıralamasını düşürebilirler
  • Sitenize sizin haberiniz olmadan link (hacklink) ekleyebilirler ki bu linkler genellikle masum linkler olmuyor. Yani sitenize +18, kumar, uyuşturucu ve spam linkleri ekleyebilirler. Bu da sizin Google sıralamanızı düşürebilir.
  • Siteniz de haberiniz olmadan tanıtım yazıları yayınlayabilirler. Yayınladıkları tanıtım yazısı full linklerden oluştuğu için bırakın Google de sıra düşmeyi siteniz gözükürse yarabbi şükür diyebilirsiniz.
  • Sitenize 301 yönlendirme,sahte url yapısı veya iframe ekleyebilirler. Bu linkleri çok kolay bir şekilde sitemapınıza ekleyip arama motorlarına indexletebilirler. Bu da sizin Google sıralamanızı düşürür.
  • Siteniz de sizden habersiz korsan yazılım barındırıp indirme linklerini korsan forumlarında dağıtabilirler. Bu yüzden DMCA veya telif bildirimi alabilir yazılım sahipleri sitenizi Google arama sonuçlarından sildirebilirler.

Gördüğünüz gibi warez tema ve eklentiler siteniz için tehlike saçmakta. Eğer WordPress de Güvenlik istiyorsanız Warez yazımlardan uzak durmanız gerekiyor.

WordPress de Kullanıcı Adınızı Değiştirin.

WordPress kurulumda varsayılan olarak admin kullanıcı adı verilir. Tabi ki bunu kurulumda değiştirebilirsiniz ama hatırı sayılır bir kullanıcı kitlesi kullanıcı adı olarak admin kullanıyor. WordPress de güvenlik istiyorsanız kullanıcı adınızı değiştirmeniz lazım.

WordPress de Kullanıcı Adı Nasıl Değiştirilir?

WordPress de Kullanıcı adınızı değiştirmek için WordPress blogunuzun bağlı olduğu veritabanını phpmyadmin yardımıyla açın. Aşağıda ki sql sorgusunda YeniKullanıcıadınız bölümüne istediğiniz kullanıcı adını yazıp sql olarak çalıştırın.

UPDATE `wp_users` SET `user_login` = 'YeniKullanıcıadınız' WHERE `wp_users`.`ID` = 1

WordPress de Karmaşık Şifre Kullanın

Bu adımı gören bazı arkadaşlarımız benim şifrem 123456 değil şifrem güvenli diyebilir. Ancak hackerler brute force programlarında sadece en çok kullanılan şifreleri değil sizin bilgilerinizden oluşan kombinasyonları da deniyorlar. Yani şifreniz doğdunuz yer, sevgilinizin ya da ailenizden birinin adıysa yani herkesin kolayca tahmin edebileceği bir şifre ise çabucak kendinize karmaşık bir şifre seçmeniz lazım.

WordPress de Karmaşık Şifre Nasıl Oluşturulur?

WordPress de karmaşık şifre oluşturmak için Yönetim panelinizden Kullanıcılar -> Profiliniz yolunu izleyin. Açılan sayfada Yeni parola bölümünde Parola oluştur butonuna basıp yeni oluşturduğunuz parolayı not edin. Daha sonra Profili güncelle butonuna basıp yeni şifrenizi kullanabilirsiniz.

WordPress de 2StepAuth (2 Adımlı Doğrulama) Kullanın

WordPress blogunuzda her ne kadar admin kullanıcı adından uzak durup karmaşık şifre kullansanız da bilgisayarına bulaşan basit bir keylogger ile şifrenizi basit bir şekilde ele geçirip basitçe yönetim panelinize girebilirler. Bunu engellemek içinse 2StepAuth yani 2 Adımlı Doğrulama kullanacağınız.

2 adımlı doğrulamayı kısaca anlatmak gerekirse hackerler kullanıcı adınızı ve şifrenizi öğrenseler bile giriş yapmaya çalıştıklarında telefonuzda bulunan Google Authenticator veya Authy uygulamasının ürettiği rastgele şifreleri isteyecektir.

WordPress de Nasıl 2StepAuth (2 Adımlı Doğrulama) Kullanılır?

WordPress de 2StepAuth (2 Adımlı Doğrulama) kullanmak için;

  1. Google Authenticator eklentisini Yönetim panelinizden indirip yada buradan indirip yükleyip aktifleştirin.
  2. Yönetim panelinizden Kullanıcılar -> Profiliniz yolunu izleyin.
  3. Açılan sayfada Google Authenticator Settings bölümüne gelip Active bölümünü işaretleyin.Daha sonra Description bölümünde istediğiniz açıklamayı girebilirsiniz.
  4. Show/Hide QR code butonuna basıp çıkan Qr kodunu Google Authenticator veya Authy uygulaması ile taratın.
  5. Profili güncelle butonuna basarak 2StepAuth (2 Adımlı Doğrulama) yı aktifleştirebilirsiniz.

Yukarıda ki adımları eksiksiz bir şekilde yaptıysanız Yönetim Paneline giriş yaptığınız zaman sizden 2 Adımlı Doğrulama kodunu isteyecektir.

WordPress de Eşsiz Doğrulama Anahtarı Kullanın

Bildiğiniz üzere WordPress bilgisayarınızda belirli cookies (çerezler) depolar. Bu cookiesler sizin kullanıcı adınızı,şifrenizi kısaca giriş bilgilerinizi barındırır.  Ancak bu cookiesler yeteri kadar şifrelenmediği için belirli saldırılara maruz kalıp çalınabiliyor. İşte bu yüzden WordPress bizim için Eşsiz Doğrulama Anahtarı özelliğini sunuyor. Eşsiz Doğrulama Anahtarı ile cookieslerinizi şifreleyip kırılmasını daha da zorlaştırabilirsiniz.

WordPress de Eşsiz Doğrulama Anahtarı Nasıl Kullanılır?

Öncelikle;

  1. Buradan Eşsiz Doğrulama Anahtarınızı oluşturun. Açılan sayfada ki kodlar rastgele kişiye özel oluşturulmaktadır. Bu yüzden herhangi bir değişiklik yapmayınız.
  2. Sayfada ki komutları wp-config.php dosyasına ekleyin ve kayıt edin.
  3. Kayıt edildikten sonra yönetim panelinden otomatik olarak çıkış yapacaksınız. Yeniden giriş yaptığınız zaman Eşsiz Doğrulama Anahtarınız etkin olacaktır.

WordPress de Yönetim Panelinden Dosya Düzenlemeyi Kapatmak

WordPress de doğru chmod izinleri verdiğiniz zaman size tema dosyalarınızı yönetim panelinde düzenlemenize izin vermektedir. Bu da yönetim panelinize izinsiz girişlerde tema dosyalarınızın çok kolay bir şekilde düzenlenebilir olmasını sağlamakta. Bu yüzden WordPress de Yönetim Panelinde Dosya Düzenlemeyi kapatmalısınız.

WordPress de Yönetim Panelinden Dosya Düzenleme Nasıl Kapatılır?

WordPress de Yönetim Panelinden Dosya Düzenlemeyi Kapatmak için wp-config.php dosyasını açın ve aşağıda ki kodu ekleyin.
define('DISALLOW_FILE_EDIT', true);

WordPress de Chmod İzin Ayarlarını Yapın

WordPress blogunuzda chmod ayarlarınız öncelik taşır. Blogunuz da ki klasörlere ve dosyalara doğru chmod izinlerini vermezseniz hosting hesabınıza yetkisiz olarak dosya veya klasör kaydının önüne açmış olursunuz.

WordPress blogunuzda chmod izinleri;

  • Klasörler 755
  • Dosyalar 644 olmalıdır.

WordPress de Login (Giriş) Hata Mesajlarını Gizleyin

WordPress de üyeliğinize giriş yaptığınız zaman herhangi bir bilgiyi yanlış girdiğiniz zaman veya sunucu kaynaklı bir hata olduğu zaman ayrıntılı bir hata mesajı ile ifade edilir. Bu mesaj sitenize sızmaya çalışan hackerlerin işine yarayacağı için gizlemeniz gerekmektedir.

WordPress de Login (Giriş) Hata Mesajları Nasıl Gizlenir?

WordPress de Login (Giriş) Hata Mesajlarını gizlemek için aşağıdaki kodu Ftp hesabınızdan wp-includes -> functions.php dosyasına ekleyin.

function no_wordpress_errors(){</code>
return 'Hata Aldın.';
}
add_filter( 'login_errors', 'no_wordpress_errors');

WordPress de Sürümüzü Gizleyin

WordPress de güvenlik açıkları sürümlere göre depolanır. Örneğin WordPress 4.7 için açıklar ayrı WordPress 4.8 için açıklar ayrı bir şekilde listenir ve uygulanır. Hackerler de WordPress blogunuzu hacklemek için sürüm numaranıza uygun açıkları tarar. Eğer siz wordpress sürümünüzü gizlerseniz hackerleri durdurmayı başarabilirsiniz.

WordPress de Sürüm Nasıl Gizlenir?

WordPress sürümünüzü gizlemek için Ftp hesabınızdan wp-includes -> functions.php dosyasını açıp aşağıda ki kodu eklemeniz yeterlidir.

remove_action(‘wp_head’, ‘wp_generator’);

WordPress de Wp-config.php Dosyasının Yolunu Değiştirin.

WordPress önemli ayarlarınız ve bilgileriniz wp-config.php dosyasın da saklanır. Bu yüzden blogunuzu hacklemek isteyen hackerlerin ilk hedefi sizin wp-config.php dosyanızı ele geçirmek olacaktır. Bu nedenle wp-config.php dosyasının adını değiştirmeniz gerekmektedir.

WordPress de Wp-config.php Dosyasının Yolu Nasıl Değiştirilir?

Wp-config.php adını değiştirmek için ; wp-load.php dosyasında

  1. Wp-config.php dosyasının yeni dizinini ayarlayın. Ben kodlarda örnek olarak yenidizin/wp-config.php gösterdim
  2. Aşağıda ki kodu bulun
if ( file_exists( ABSPATH . 'wp-config.php') ) {

	/** The config file resides in ABSPATH */
	require_once( ABSPATH . 'wp-config.php' );

} elseif ( @file_exists( dirname( ABSPATH ) . '/wp-config.php' ) && ! @file_exists( dirname( ABSPATH ) . '/wp-settings.php' ) ) {

	/** The config file resides one level above ABSPATH but is not part of another install */
	require_once( dirname( ABSPATH ) . '/wp-config.php' );

} 

Aşağıda ki kodu kendinize göre düzenlendikten sonra yukarıda ki kodun yerine kayıt edin.
if ( file_exists( ABSPATH . 'yenidizin/wp-config.php') ) {

	/** The config file resides in ABSPATH */
	require_once( ABSPATH . 'yenidizin/wp-config.php' );

} elseif ( @file_exists( dirname( ABSPATH ) . '/yenidizin/wp-config.php' ) && ! @file_exists( dirname( ABSPATH ) . '/wp-settings.php' ) ) {

	/** The config file resides one level above ABSPATH but is not part of another install */
	require_once( dirname( ABSPATH ) . '/yenidizin/wp-config.php' );

}

WordPress de Wp-login.php Ve Wp-admin İsimlerini Değiştirme

WordPress de bildiğiniz üzere default olarak giriş sayfası wp-login.php, admin klasörü olarak da wp-admin geçer. Hackerlerde bunu bildiği için sitenize direk bu 2 yoldan giriş yapmaya çalışırlar.  Eğer kullanıcı adınızı ve şifrenizi bilen bir hackerse rahatlıkla blogunuzun yönetim paneline girebilir.

WordPress de Wp-login.php Ve Wp-admin İsimlerini Nasıl Değiştirilir?

  1. Yönetim panelizden iThemes Security eklentisini yükleyip etkinleştirin.
  2. Yan bölümden Security bölümü seçin Security Check bölümünü görüp Close butonuna tıklayın. (Ayrıntılı anlatım)
  3. Üst bölümde All bölümüne tıklayın. Böylece tüm ayarlar görünmüş olacak.
  4. Ayarlar göründüğü zaman Hide Backend bölümün de Configure Settings butonuna tıklayın.
  5. Açılan bölümde Enable the hide backend feature seçeneğini seçin ve Login Slug bölümünde yeni giriş adresinizi belirleyin.
  6. Ayarları tamamladıktan sonra kayıt edin ve wp-login.php veya wp-admin’ e ulaşmaya çalıştığınıda 404 hatası alacaksınız.

WordPress de Tablo Ön Ekini Değiştirin

WordPress de tablo ön eki kurulumda wp_ olarak gelmekte. Tablo ön ekinizi default ayarda bırakmak tehlikeli bir seçenektir. Bu yüzden kendinize özel tablo ön ekiniz olması lazımdır.

WordPress de Tablo Ön Eki Nasıl Değiştirilir?

  1. Üst adımda yüklediğimiz iThemes Security eklentisini yüklemediyseniz lütfen yükleyiniz.
  2. Yan bölümden Security bölümü seçin Security Check bölümünü görüp Close butonuna tıklayın.
  3. Üst bölümde All bölümüne tıklayın. Böylece tüm ayarlar görünmüş olacak.
  4. Ayarlardan Change Database Table Prefix bölümünde Configure Settings butonuna tıklayın
  5. Açılan bölümde Change Prefix bölümünü yes olarak işaretleyip Save butonuna basın. Burada size yeni tablo ön ekinizi verecek. Bunu kopyalayın
  6. Wp-config.php dosyasını açın ve aşağıda ki kodu bulup kendinize göre düzenleyip kayıt edin.
    $table_prefix = 'wp_';

Tablo ön ekiniz otomatik olarak değişecektir. Eski tablo ön ekinize dönmek için Change Prefix bölümünü no olarak işaretleyip wp-config.php de $table_prefix bölümünü tekrardan düzenlemeniz yeterlidir.

Final

Size bu yazımda 13 adımda nasıl WordPress Güvenlik Önlemleri alacağınızı anlattım. Anlattığım güvenlik önlemlerini sizde uygulayarak kaliteli webmaster blog sahibi olabilirsiniz.




About the Author