lostyazilim

Wordpress Güvenlik Önlemleri

3 Mesajlar 4.705 Okunma
lstbozum
wmaraci reklam

Psycho Psycho <--! Am I Psycho? --> Kat. Mod.
  • Üyelik 11.12.2010
  • Yaş/Cinsiyet 37 / E
  • Meslek Emekçi
  • Konum Edirne
  • Ad Soyad H** K**
  • Mesajlar 6008
  • Beğeniler 3911 / 3917
  • Ticaret 6, (%100)
Günümüzde kullanılan blog sistemlerinin en büyüğü olan Wordpress şimdiye kadar yapılmış en güvenli sistemlerden birisi olmasına rağmen alınmış olan bu güvenlik önlemlerinin yanında blog'umuzun veya web sitemizin daha güvenli olması için bizim de yapmamız gereken birkaç önemli değişiklik var.


Güncelleme, Güncelleme, Güncelleme !!!

Şimdiye kadar yapılmış olan yazılım sistemlerinin hiçbirinde "bugların" veya "güvenlik açıklarının" blunmaması mümkün olmamıştır. Bu nedenle tüm yazılım sistemi üreticiler sürekli güncellemeler yayınlamakta ve bu açıkları kapatmaya çalışmaktadır. Güncellemenin en büyük faydalarından birisi sistemlere yeni yetenekler kazandırmaktır, fakat güncellemelerde bizim genellikle farketmediğimiz asıl önemli nokta varolan ve bilinen bug'ların giderilmesi ve güvenlik açıklarının kapatılmasıdır.

Web tabanlı yazılım sistemlerinde (wordpress, drupal, joomla.. vs) güncellemeler herzamankinden çok daha önemlidir. Wordpress'in önceki versiyonlarında güncelleme yapmak biraz sıkıntılıydı 2009'un son yarısında Wordpress geliştiricileri sistemlerine kazandırdıkları "Otomatik Yazılım Güncelleme" özelliğiyle bunu aştılar.

Artık wordpress tabanlı blog veya sitenizi güncel tutmak sitenin güvenliği için yapacağınız en basit önlemlerden birisi.

Sitenizde kullandığınız Wordpress versiyonu en son versiyon değilse bir an öce güncellemekte fayda var. çünkü güncelleme yapmamak tatile çıktığınızda kapınızı kilitlemeden evden ayrılmaktan farksız.
Güçlü ve tahmin edilmesi zor şifreler kullanın

Wordpress tabanlı web sitenizin "kullanıcı ayarları" kısmında şifrenizi verilen uyarıya göre güçlü veya zayıf olarak kullanmak sizin elinizde. ama ne kadar güçlü olursa web sitenize istemediğiniz kişilerin erişmesi o kadar zorlaşır.

Şifre oluştururken dikkat edilmesi gerekenlerden birkaçı şifrenin küçük-büyük harfler içermesi, numaralar kullanılması ve hatta noktalama işaretleri kullanılmasıdır.

güçlü şifreler oluşturabilmek için angelsdemos'ın yazısında bahsetmiş olduğu goodpassword.com'dan faydalanabilirsiniz.

Şifrenizi 3 veya 6 aylık periyodlarla değiştirmeniz sitenize ekstra güvenlik sağlayacaktır.


WP-Config dosyanızda gizli anahtarlar kullanın

Wordpress'te kullanılan wp-config.php dosyası Wordpress'inizin sitenizin database'i ile iletişimini sağlamaktadır. Dosyanın içinde sitenizdeki yazıların, yorumların ve içeriğinizin tamamını bulunduran MySQL database'inizin ismi, adresi ve şifresi bulunur.

Aynı zamanda dosyanın database'inizde iletişimi sağlamaktan başka bir yeteneği daha vardır. Database'in kimlik denetlemesi.

Wordpress geliştiricileri kimlik denetleme kodlarının olabildeğince karışık, tahmin edilmesi mümkün olmayan ve anlamsız olmasını sağlamak için küçük bir uygulama daha geliştirmişler.
Bu uygulamayı kullanarak verilen kod bloğunu wp-config.php dosyanızdakiyle değiştirebilir ve sitenizi daha güvenli hale getirebilirsiniz.
Htaccess dosyası kullanın

.htaccess dosyası kullanarak sitenizin FTP sunucusundaki dosyaların ve klasörlerin izinlerini dışarıdan gelen bağlantılara kapatabilirsiz. Örnek olarak klasör ve dosyalara sadece kendi kullandığınız IP üzerinden erişilmesini sağlayabilirsiniz.

.htaccess kullanımı diğer worpdress dosyalarının kullnımından biraz daha karışıktır, ama ASkApache / Ultimate Tutorial'daki yönergeleri uygulayarak .htaccess kullanımını öğrenebliirsiniz.

Sitenize sadece kendi IP'niz üzerinden ulaşım sağlamak, hack'lenmenizi neredeyse imkansız olmasını sağlar.


Sitenize sadece kendi IP'niz üzerinden ulaşım sağlamak, hack'lenmenizi neredeyse imkansız olmasını sağlar.

Bunu yapmak için öncellikle Statik IP ye sahip olmanız gerekmektedir. Statik IP kullanmak için internet servis sağlayıcınıza (TTnet) küçük bir ücret karşılığı aktif edebilirsiniz.

FTP nizin kök dizininde
".htaccess" isminde bir dosya oluşturun.

Dosyanın içine;
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all #IP address to Whitelist
allow from xxx.xxx.xxx.xxx


kodlarını kopyalayıp yapıştırın ve xxx.xxx.xxx.xxx yazan yere What Is My IP 'den aldığınız kendi IP nizi yerleştirin. "allow from" satırının altına yine "allow from" ile başlayarak siteye ulaşabilmenizi sağlayacak diğer IP adreslerinide ekleyebilirsiniz.


Admin kullanıcısını kaldırın

Wordpress ilk sistem kurulumunda varsayılan olarak bir "admin" kullanıcısı oluşturur ve en yüksek görev olan sistem yöneticisi olarak atar. Neredeyse tüm kullanıcılar, tüm hacker'lar ve internet kullanmaya yeni başlamış olan kullanıcılar "admin" kelimseinin ne işe yaradığını az çok bilir. Blog'unuzu kurduğunuzda yeni bir kullanıcı oluşturun, kullanıcı ismini olabildiğince kullanmadığınız bir isim verin. hatta yine yukarıda bahsettiğim gibi, kullanıcı adınızı bir şifre gibi kullanırsanız sizin faydanıza olacaktır. Tabii bunu unutmamak şartıyla.
Tablo önekini değiştirin

Wordpress yine varsayılan olarak database'inizdedaki tablolara ön ek olarak "wp_" getirir. Wordpress yüklemenizi yapmadan önce wp-config.php dosyanızda bu ön eki değiştirerek güvenliğinizi artırabilirsiniz. örnek olarak pw_, ae_, gr_, ali_, ahmet_ şeklinde istediğiniz ön eki getirebilirsiniz. Ancak bunu hali hazırda olan bir wordpress'e yapmak biraz sıkıntılıdır.

* Herşeyden önce wordpress database'inizin bir yedeğini alın. ! çok önemli
* Daha sonra database'inizin başka bir yedeğini alarak sql dosyanızı notepad++ gibi bir "replace" özelliği olan text editöründe açın.

* Notepad++ de dosyanızı açtıktan sonra Ctrl + F kısayolunu kullanarak (kullandığınız text editöre göre kısayol tuşu değişkenlik gösterebilir) Find & Replace diyalog kutusunu çalıştırın.

* Diyalog kutusunun üstünde bulunan Replace tabına gelerek "find what" kısmına wp_ yazın

* "Replace with" kendi oluşturacağınız tablo ön ekini girerek sağ taraftaki "Replace All" butonuna tıklayın.

* Dosyayı kaydedin ve phpMyAdmin arayüzünden database'inizi tekrar yükleyin.

Kurulu olan wordpress'deki tablo ön ekini değiştirmek biraz riskli bir konu bu yüzden kurulumun en başında yaparsanız hiç bir sıkıntı yaşamazsınız


Wordpress versiyonunuzu gizleyin

Wordpress'inizde kullandığınız tema eğer ücretli/ücretsiz hazır temalardan birisiyse

header.php dosyanıza girerek



satırını kaldırın veya



şeklinde değiştirin.

Bu yöntem hacker'ların önüne büyük bir engel koyacaktır. Çünkü versiyonu bilmedikleri için hangi açığı kullanacaklarını bulamayacaklardır.

kaynak: bildirgec.org
 

 

Hatalıysam telefon etme, idare et (?)

wmaraci
reklam

melihcennet melihcennet Paylaşım Diyarı Kullanıcı
  • Üyelik 13.03.2011
  • Yaş/Cinsiyet - / E
  • Meslek
  • Konum
  • Ad Soyad ** **
  • Mesajlar 247
  • Beğeniler 13 / 11
  • Ticaret 7, (%100)
bilgi için sağol
 

 

Artık Yok

kasparow116 kasparow116 WM Aracı Kullanıcı
  • Üyelik 27.02.2012
  • Yaş/Cinsiyet 35 / E
  • Meslek öğretmenlik
  • Konum İstanbul Avrupa
  • Ad Soyad ** **
  • Mesajlar 359
  • Beğeniler 74 / 96
  • Ticaret 10, (%100)
Faydalı bilgiler. Teşekkürler.
 

 

Öğretmenlikte.
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al