Wordpress siteleriniz için güvenlik önerileri

Wordpress, web uygulamaları arasında güvenlik anlamında en riskli uygulamalardan biridir. Aşağıda anlatılan yöntemler ile wordpress sitenizi daha güvenli hale getirebilirsiniz.

Wordpress, bütün dünyada ve Türkiye'de en yaygın kullanılan içerik yönetim sistemi yani web site yazılımıdır. Bir yazılım bu kadar çok kullanılınca, onunla ilgili güvenlik açıkları vs. de çok fazla olabiliyor, wordpress ile yapılmış web sitelerinin güvenliği için ekstra önlemler almak gerekiyor.Bir hacker kolayca wordpress sitetizin admin şidresini kolayca ele geçirebilir, değiştirebilir, sitenizin içeriğine müdahale edilebilir, tecrübe ile sabittir :)

Hacker'lar genellikle web sitesinin admin şifresini değiştirmek yerine sizden habersiz olarak sitenizin içeriğine kendi linklerini yerleştirirler, eğer siz de çok dikkatli değilseniz uzunca bir süre bundan habersiz olabilirsiniz. Büyük bir sürprizle web sitenizin google, paypal veya başka uygulamalar tarafından güvensiz web siteleri içinde yer aldığını görebilirsiniz.

Wordpress tabanlı web sitenizi daha güvenli hale getirmek için aşağıdaki önerileri uygulayabilirsiniz.

İlk Kurulumda Alınacak Önlemler

Wordpress'i kurmadan önce güvenliği arttırmak için alabileceğiniz bazı önlemler var, bunlar;

MySQL veritabanı adı

Her wordpress siteniz için ayrı ayrı veritabanı kullanmanız daha güvenli olacaktır. Birden fazla wordpress sitenizi farklı veritabanı ön ekleri (prefix) ile tek veritabanına kurabilirsiniz, ancak veritabanı bilgileriniz başkaları tarafından ele geçirildiğinde tüm siteleriniz tehlikede olacaktır. Genellikle wordpress için kullanacağımız veriabanına "wordpress", "site" gibi bazı isimler veririz, bu da güvenli değildir. Veritabanı adınız, kullanıcı adınız ve şifreniz kesinlikle birbirinden farklı olmalıdır. Ayrıca tahmin edilmesi kolay isimler ve şifreler seçmek de güvenlik zaafı oluşturacaktır. Unuturum gibi bir kaygınız olmasın, wp-config.php dosyasından bu bilgileri kolayca öğrenebilirsiniz.

Unutulmaması gereken en önemli noktalardan biri de düzenli olarak yedek almaktır. Günlük olarak yedek alan bir hosting firması tercih edebilirsiniz, en kötü ihtimalle hosting firmanızın haftada bir yedek alması şart.

Özel tablo ön eki

Wordpress varsayılan olarak oluşturduğu tablolar için wp_ ön ekini (prefix) kullanır, tablo isimleri genellikle wp_posts, wp_users şeklindedir. Kurulum ekranında farklı bir ön ek yazarak, SQL injection'a karşı biraz daha güvenlik önlemi alabilirsiniz.

Kurulumdan Sonra Alınacak Önlemler

Wordpress sitenizi kurduktan sonra da bazı güvenlik önlemleri alabilirsiniz.

wp-config dosyasıne erişimi engelleyin

Wordpress sitenizin tüm erişim bilgileri wp-config.php dosyasında tutulur, bu dosyanın başka kullanıcılar tarafından ele geçirilmesi durumunda web sitenizi de ele geçirmiş sayılır. .htaccess içine yazacağını aşağıdaki kodlar ile wp-config.php dosyasına erişimi engelleyin.

<files wp-config.php> 
    order deny,allow 
    deny from all 
</files> 

"admin" kullanıcı adı

Wordpress 3'ten önceki sürümlerde kurulum sırasında size kullanıcı adı sormayıp, varsayılan kullanıcı adı olarak admin kullanılıyordu. Wordpress 3 sonrası sürümlerde size kurulum sırasında bir de yönetici için kullanıcı adı sormaya başladı. Sitenizdeki yönetici kullanıcınıza yani sitede her türlü yetkiye sahip kullanıcı ismi olarak admin kullanmayın.

Eğer kullanıcı adı olarak admin kullanırsanız hacker'ların sitenizi ele geçirmesi biraz daha kolay olacaktır, kullanıcı adını bildikleri için sadece şifre denemeleri ile sitenizi ele geçirebilirler.

Yönetim paneline erişimi kısıtlayın

Wordpress'in varsayılan yönetici adresi; siteadi.com/wp-admin'dir. Eğer IP adresiniz sabit ise ve belirli adreslerden sitenizin yönetim paneline erişiyorsanız wp-admin'e IP kısıtı koyabilirsiniz. Böylece sizin dışınızdaki hiçkimse sitenizin yönetim paneline erişemeyecektir.

wp-admin'e IP kısıtı için aşağıdaki kodları .htaccess dosyanıza ekleyebilirsiniz. allow from satırlarındaki adreslere erişme yetkisi olan IP adreslerini yazacaksınız.

order deny, allow 
allow from 1.2.3.4 # user 1 IP 
allow from 5.6.7.8 # user 2 IP, etc 
deny from all 

Tema dosyanızdan Wordpress tanımını kaldırın

Wordpress tema dosyalarında genellikle o sitenin wordpress ile yapıldığını göstermek için meta etiketleri eklenir. Kullandığınız temanın header.php dosyasından aşağıdaki meta tanımını kaldırabilirsiniz. Böylece otomatik tarama yapan uygulamalar sitenizin wordpress olup olmadığını anlayamayacaktır.

<meta name="generator" content="WordPress" />

Güncelleme

Wordpress sitenizi güncel tutun. Özellikle wordpress'in son versiyonlarında artık otomatik güncelleme gibi bir seçenek var, tek tık'la sitenizi güncelleyebilirsiniz. Güncel olmayan bir wordpress her zaman risklidir, unutmayın.

Güvenlik ile ilgili eklentiler kullanın

Wordpress'in güvenlik ile ilgili eklentileri var, bunlardan bazılarını kullanabilirsiniz. Örneğin WP Security Scan eklentisini kullanabilirsiniz.

Kullandığınız eklentiler konusunda dikkatli olun

Wordpress'te çok başarılı eklentiler olmasına karşın, kötü niyetli eklentiler de olabilir. Eklentileri kullanmadan önce, o eklenti ile ilgili yorumları vs. okumak faydalı olabilir. Bir de wordpress.org adresi dışından eklenti alıp kullanmamak gerekir.

Hacklendim, ne yapmam lazım?

  • FTP, site, cPaneş vs. tüm şifrelerinizi değiştirin. 
  • Eğer veritabanın bir yedeğini almamışsanız tüm içerikleri dışarı XML olarak export edin.
  • Hangi eklentileri kullandığınızı not edin.
  • wp-content altındaki dosyaların yedeğini alın, eğer çok gerekli değilse bu dosyaları almayın, alacaksanız da virüs taramasından geçirin.
  • Tüm dosyaları silip sınıfrdan bir wordpress kurun.

Bunun dışında sizin önereceğiniz başka güvenlik önlemleri var mıdır?

 

Güvenlik

Yorumlar

Çrş, 03/08/2011 - 17:34 — mehmet

teşekkürler

Yeni yorum ekle