Wordpress İçerikleriSiber Güvenlik - Siber Güvenlik Nedir?

WordPress Güvenlik Önlemleri

Wordpress güvenlik önlemlerini, wordpress güvenlik eklentisi ve wordpress htaccess güvenlik gibi bir çok konuyu işleyeceğimiz makaleye hoşgeldiniz.

Wordpress dünyada en çok kullanılan güncel, içerik yönetim sistemi yani CMS olduğunu biliyorsunuzdur. Popüler olmanın internet ortamında bir hedef olduğu geçmişten günümüze kadar aşikardır. Bugün popülerliğini hızla arttıran cms yazılımımıza wordpress güvenlik önlemlerinden bahsedeceğim.

Ne Kadar Az Eklenti O Kadar Optimizasyon ! 

İlkesini benimsemiş birisi olarak zorunlu kalmadıkça eklenti önermiyorum. Her neyse hemen wordpress güvenlik önlemlerinin en büyük adımı kişisel güvenliğiniz ile başlayalım.

1 – KİŞİSEL GÜVENLİĞİNİZİ ALIN: 

password

 

Evet siz hacklenirseniz size ait olan her şey hacklenir.. Kısaca bilgisayarınız ya da telefonunuz trojan, keylogger gibi zararlı yazılımlardan korunmalıdır. 2 Adımlı doğrulamayı her yerde kullanmaya özen gösterin. Bilgisayarınız da ve telefonunuz da kesinlikle antivirüs programı yüklenmelidir. Bu maddeyi fazla detaylandırmayacağım girersek çıkamayız 🙂 Kısacası en iyi antivirüs sizin kendiniz olduğunu unutmayın yeter.

2 – WORDPRESS YAZILIMINI SÜREKLİ GÜNCEL TUTUN:

Wordpress üzerinde her gün yeni exploitler ( sistemsel açıklar ) piyasaya çıkıyor. Wordpress bunu engellemek ve kendini geliştirmek için sürekli güncelleme gönderiyor.

Admin panelinize giriş yaptıktan sonra Başlangıç > Güncellemeler diyerek güncel olmayan ögeleri görebilir ve güncelleyebilirsiniz.

3 – 2 ADIMLI DOĞRULAMA KOYUN:

2adimlidogrulama

 

Benim kullandığım eklenti olan Google Authenticator ile kullanıcı adınızı ve şifrenizi bilseler dahil admin panelinize kimse sızamaz. Eklentiyi kullanmak için telefonunuza Authenticator uygulamasını indiriyorsunuz ve Google Authenticator eklentisini entegre ederek kullanıyorsunuz. Yani telefonunuz olmadan kimse panelinize giremez. Tabi hem telefonu hem şifrelerinizi çaldırmazsanız 🙂

4 – WORDPRESS ADMİN PANELİNİN YOLUNU DEĞİŞTİRME:

Admin panelinize girmek için kullandığını siteadresiniz.com/wp-admin ya da wp-login.php yi değiştirmenizi öneririm kesinlikle.

wps hide login

 

.htaccess ile eklenti olmadan da önceden çok rahatlıkla admin panelini değiştirebiliyorduk. Fakat htaccess ile panel değiştirdiğimizde çok kolay bulunabiliyor. Bunun için en güvenli ve en çok tercih edilen wordpress admin panelinin yolunu değiştirme eklentisi olan WPS Hide Login kullanmanızı tavsiye ediyorum.

5 – WORDPRESS wp-config.php ( DATABASE ) DOSYASINI SAKLAMA:

Ana dizinde (public_html) bulunan wp-load.php dosyası var. Ftp ya da cpanel ile bağlanıp wp-load.php dosyasını editleyebiliriz.



 if ( file_exists( ABSPATH . ‘belirlediginizdosyayolu/wp-config.php’) ) {

/** The config file resides in ABSPATH */
require_once( ABSPATH . ‘ ‘belirlediginizdosyayolu/wp-config.php ‘ );

} elseif ( file_exists( dirname(ABSPATH) . ‘ ‘belirlediginizdosyayolu/wp-config.php ‘ ) && ! file_exists( dirname(ABSPATH) . ‘/wp-settings.php’ ) ) {

/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . ‘ ‘belirlediginizdosyayolu/wp-config.php /wp-config.php’ );

 


belirlediginizdosyayolu” kısmını siz wp-config.php nereye attıysanız öyle değiştirmelisiniz.

İşlem bu kadar wp-config.php yolunu değiştirmiş oluyorsunuz. Böylelikle hackerların sizin database bilgilerinize ulaşmasını engelliyorsunuz.

Bu işlem %100 güvenlik tabi ki sağlamaz fakat karşı tarafın işini oldukça zorlaştıracaktır.

6- WORDPRESS SÜRÜMÜNÜ GİZLEME:

Wordpress sürümünüzü sürekli güncel tutmanız gerektiğini söylemiştik. Ama sürüm güncellediği an itibari ile saniyesinde sürümünüzü güncelleyemeyeceğinizden dolayı Wordpress Sürümünü Gizleme işlemini kesinlikle yapmanızı tavsiye ederiz. Şöyle ki bir çok exploit-açık çıktığında wordpress belli sürümlerinde çıkar. Bunu saldırgan göremezse sitenize saldırı yapacağı yollardan bir tanesini kesinlikle kapatmış olacaksınız.

Functions.php Bulmak İçin Cpanel Ya Da Ftp’den : public_html/wp-content/themes/kullandıgınıztemaismi/functions.php

Kullandığınız temanın içerisinde functions.php dosyası vardır onu açarak şu kodları eklemeniz wordpress sürümünüzü gizleyecektir.


function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

 

7- DOSYA DÜZENLEMEYİ KAPATMA:

Wordpress sitelerin admin yetkilerinde dosya düzenleme default olarak açık gelir. Yani admin panelinize sızan birisi istediği dosyaya zararlı yazılım ( shell, backdoor vs ) bırakabilir. Böylelikle sisteminizi gerçekten hacklemiş olacaktır. Bunun önüne geçmek için wordpress dosya düzenlemeyi kapatmanızı şiddetle öneriyorum.

Database bilgilerinizin bulunduğu wp-config.php dosyasına aşağıda verdiğim kodları eklediğinizde admin panelinize sızılsa dahil Görünüm > Tema Düzenleyici ya da Eklenti Düzenleyici kısımlarında dosya editlemesi – yani dosya düzenlenmesi tamamen kapanacaktır.


define( 'DISALLOW_FILE_EDIT', true );

8- XML-RPC’Yİ DEVRE DIŞI BIRAKMA:

XML-RPC, HTTP’nin bir tür taşıma-iletme mekanizmasını ve XML’nin kodlama mekanizması şeklinde çalışarak veri transferine imkan tanıyan bir wordpress yazılımının özelliğidir. Kısacası BRUTE FORCE ( kaba kuvvet ) saldırısına olanak sağlayan bir köprüdür. Bunu engellemek için devre dışı bırakılması şarttır.

Disable XML-RPC eklentisi ile xml-rpc’yi eklenti ile devre dışı bırakabilirsiniz.

2. Yol ise .htaccess dosyasına verdiğim kodlarınızı ftp ya da cpanel aracılığıyla eklerseniz de kapanır.


# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Genel hatlarıyla bunları yapmanızı öneriyorum. Peki bu kadarla sınırlı mıdır Wordpress Güvenlik Önlemleri diyecek olursanız tabi ki hayır.. Kısaca bunların dışında wordpress güvenliği için şunları da yapmanızı tavsiye ediyorum.

  • Nulled yani kaçak-crackli wordpress temaları ve eklentileri asla kullanmayın.
  • Güvenilir hosting kullanmanızı öneriyorum.
  • PHP sürümünüzü sürekli güncel tutunuz.
  • Olabildiğince fazla yedek almaya çalışın.
  • Kullanılmayan tema ve eklentilerinizi kaldırın.
  • HTTPS protokolüne geçiş yapın. ( Cloudflare ile ücretsiz ssl konuma bakabilirsiniz )
  • WordPress Güvenlik Eklentilerini kullanabilirsiniz.

9- WORDPRESS HTACCESS GÜVENLİK:

Wordpress (CMS) yazılımların çoğunda genellikle en basit düzeyde koruma .htaccess dosyası ile beraber olur. Biz .htaccess dosyalarında bir çok işlemi basit 1-2 komut ile gerçekleştirebiliriz.

Htaccess’in özelliklerin en başında güvenlik açıklarına engel olarak güvenlik kodları bulunmaktadır.

Htaccess İle SSL Yönlendirme Yapabiliriz. Bunu şu komutlar ile gerçekleştirebiliriz.

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R,L]

Yukarıdaki .htaccess SSL yönlendirmesi ile web sitenizde bulunan tüm urller https:// ile beraber açılacaktır.

.htaccess Dosyasının en iyi kullanımlarından biri, birden çok IP adresinin sitenize erişmesini engelleme yeteneğidir. Bu, bilinen spam göndericileri ve diğer şüpheli veya kötü niyetli erişim kaynaklarını engellerken kullanışlıdır. Kod:

<Limit GET POST>
order allow,deny
deny from İpAdresiYazınız1
deny from İpAdresiYazınız2
allow from all
</Limit>

İpAdresiYazınız1 ve İpAdresiYazınız2 kısmına yazacağınız İp adreslerini .htaccess ile engellemiş olacağız.

Htaccess ile Dizin Engelleme

Bu, bir WordPress sitesindeki en zayıf güvenlik kusurlarından biridir. Varsayılan olarak, Apache web sunucusu dizin taramayı etkinleştirir. Bu, web sunucusunun kök dizinindeki (bazen ev dizini olarak adlandırılır) içindeki tüm dosya ve klasörlerin bir ziyaretçi tarafından listelenebileceği ve erişilebilir olduğu anlamına gelir. Bunu istemezsiniz çünkü insanların medya yüklemelerinize veya temanız veya eklenti dosyalarınıza göz atmasını istemezsiniz.

Rastgele WordPress çalıştıran 10 kişisel veya ticari web sitesi seçersem, bunların 6-8’inde dizin tarama devre dışı bırakılmaz. Bu, herkesin wp-content/uploads klasörünü veya varsayılan index.php dosyasına sahip olmayan herhangi bir dizini kolayca incelemesini sağlar. Aslında, gördüğünüz ekran görüntüsü, düzeltmeyi önermeden önce müşterimin sitesinden. Dizin taramasını devre dışı bırakmak için kod parçacığı:

Dizine olan tüm erişimi kapatmak isterseniz;

deny from all # DİZİNE TÜM ERİŞİMİ KAPATMA

Sadece belli bir IP adreslerini veya IP bloklarından erişime izin vermek isterseniz aşağıdaki kod ile bu işlemi gerçekleştirebilirsiniz.

deny from all # DİZİNE TÜM ERİŞİMİ KAPATTIK
# TEK IP ADRESİNE İZİN VERDİK. İZİN VERİLECEK IP ADRESİNİ AŞAĞIYA YAZMALISINIZ.
allow from 192.168.1.10  
# IP BLOĞUNA İZİN VERDİK. İZİN VERİLECEK IP BLOĞUNU AŞAĞIYA YAZMALISINIZ.
allow from 192.168.1.0/24

Bazı durumlarda klasör içindeki tek bir dosyaya, medyaya erişimi kapatmak isteyebilirsiniz. Bu durumda aşağıdaki kodu kullanabilirsiniz.

<Files gizli.html>
Order allow,deny
Deny from all
</Files>

Umarım en çok hacklenen ama en güvenlikli diyebileceğim CMS sistemi olan Wordpress siteleriniz hiçbir zaman hacklenmez 🙂

Wordpress güvenlik konusunda daha detaylı bilgi için benimle iletişime geçebilirsiniz.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu