WordPress Sitenizi Güvenli Hale Getirmek

WordPress Sitenizi Güvenli Hale Getirmek

May 15, 2014 4 Yazar: Cem TÜRK

Bildiğiniz gibi internette yayımlanan bir çok açık kaynak kodlu projede bir takım güvenlik açıkları bulunabiliyor, peki WordPress siteniz ne kadar güvenli nasıl anlayacağız? Kurulumumuzu güvenli hale getirmek için yapabileceğimiz şeyler nelerdir?

Wordpress Güvenlik Ayarları

WordPress Güvenlik Ayarları

WordPress Sitenizi Güvenli Hale Getirmek için yapmanız gerekenler;

  1.  Aslında güvenli kurulum için yapmamız gerekenler ilk kurulumdan itibaren başlıyor, veritabanı ayarlarında ilk olarak tablo öneki olarak wp_ den farklı birşey belirlemeliyiz ki tahmin edilemesin.
  2. İlk kurulum esnasında yönetici için kullanıcı adı ve bir şifre belirlememiz gerekiyor, bunların da kolay tahmin edilmemesi için kullanıcı adını admin den farklı bir şey olarak belirlemekte fayda var. Düşünsenize internette milyonlarca site var ve çoğunun yöneticisinin kullanıcı adı admin :) Kullanıcı adımızı admin dışında herhangi bir şey yaptıktan sonra sıra  yönetici kullanıcımız için güvenli bir şifre ayarlamakta, güvenli bir şifre oluşturmak için ilgili yazımdan faydalanabilirsiniz.
  3. Bu adımdan önce yaptıklarımız ilk kurulum esnasında alabileceğimiz önlemlerdi, kurduğumuz wordpress sitemizi güvenli hale getirmek için yapacaklarımız asıl şimdi başlıyor. İlk yapacağınız şey sitenizin güncellemelerini eksiksiz olarak yapmak, böylece wordpress sitenizin en yeni ve en güvenli versiyonu kullandığından emin olabilirsiniz.
  4. Kullanmadığınız eklentileri silin, yeni eklentiler yüklerken yüklediğiniz eklentinin sürekli güncellenen yeni bir eklenti olduğundan emin olun, güncellemeyen bir eklentideki olası bir güvenlik açığı kapatılmadığı sürece sizin için için problem yaratacaktır. Sitemde kullandığım ve tavsiye ettiğim WordPress Eklentilerini görmek için tıklayınız.
  5. WordPress config dosyanıza aşağıdaki satırı ekleyin.
    define('DISALLOW_FILE_EDIT', true);

    Bu tanımlamayı yaptığımızda WordPress Admin arayüzünden tema ve eklenti dosyalarını değiştiremeyeceğiz, olası bir durumda herhangi bir kişi yönetici şifresini ele geçirse bile sitenin kodlarına müdahele edemeyecek böylece.

  6. Gereksiz dosyaları kaldırın : Kullanıcılar wordpress versiyonunuzu sitenizin kök dizinindeki readme.html dosyasından öğrenebilirler, eğer kullandığınız wordpress versiyonu ile ilgili herhangi bir açık varsa kolay bir hedef olabilirsiniz bu nedenle readme.html ve wp-admin klasörü altındaki install.php (kurulum scripti) dosyalarını silmekte yarar var.
  7. WordPress klasörlerinin izinlerini WordPress Codex’e göre şu şekilde ayarlamalısınız;

    /wp-content/  klasörü için izin kodu 777 olmalı

    /wp-content/themes/ klasörü için izin kodu 755 olmalı

    /wp-content/plugins/ klasörü için izin kodu 755 olmalı

    /wp-admin/  klasörü için izin kodu 755 olmalı

    /wp-includes/ klasörü için izin kodu 755 olmalı

  8. Sucuri Security – SiteCheck Malware Scanner isimli eklentiyi yükleyip sitenizi kötü amaçlı yazılımlara karşı taratabilirsiniz. Ayrıca 1-click Hardening bölümünden ufak modifikasyonlar yapmaya izin veriyor. WordPress Integrity bölümünde ise wordpress dosyalarınızda değişiklik olup olmadığını görebiliyorsunuz.

 

Ultimate Security Checker Puanı

Ultimate Security Checker Puanı

Yaptığımız bütün bu ayarlamalar Worpress sitenizi güvenli hala getirmek için yapabileceğiniz şeylerdi ama tüm bunları yapmamız maalesef sitemiz hiç bir zaman %100 güvenli diyemeyiz, yapabileceğimiz yukarıdaki önlemleri alıp riskleri azaltmak. Eğer sitenizin ne kadar güvende olduğunu merak ediyorsanız Ultimate Security Checker isimli eklentiyi yükleyip 115 üzerinden güvenlik puanınızı öğrenebilirsiniz. Bu yazıyı yazdığımda sitemin güvenlik puanı 106 idi.

Eğer yukarıdaki adımları uygulamakta zorlanırsanız sorularınızı ve Ultimate Security Checker puanınızı yorum kısmından benle paylaşabilirsiniz.

Görüşmek üzere :)