Wordpress te Güvenlik

Kullanımı kolay ve geliştirilmeye açık olduğu için blog denince akla gelen ilk sistem Wordpresstir. Kolay eklenti kodlaması da büyümesinde etkili olmuştur. Güvenlik konusunda belki de en önemlisi dosyaların güvenliğidir.Wordpress te wp-config.php dosyası nedeniyle veritabanınız ele geçirelebilir.Peki ne yapmam gerekiyor ?Hemen neler yapacağımızı öğrenelim ozaman. İlk olarak wordpress dosya izinlerine göz atalım.

Dosya İzinleri

Ana dizin , wp-includes/ , wp-admin/ , wp-admin/js/ , wp-content/ , wp-content/themes/ , wp-content/plugins/ dosyalarının dosya izinleri 755 olmalıdır.Wp-admin/index.php , .htaccess , wp-config.php dosyalarının dosya izinleri ise 644 olmalıdır.Eklenti kurarken wp-content klasörünün dosya izini 777 yapılmalı eklenti kurulduktan sonra tekrar dosya izini 755 yapılmalıdır

Wordpress kurulumundan sonra wp-admin/install.php dosyasını silmeyi unutmayınız.

Veritabanı Şifresi

Veritabanının ismini ve şifresini karışık rakamlardan harflerden oluşturun.Örnek verecek olursak
define('DB_NAME', 'eca2A7_0weB');
define('DB_USER', 'dB1a2_Web0aa1');
define('DB_PASSWORD', '9*8d]ee_8.-+/');

Wordpress kurulumunu yaparken veritabanı ön ekini değiştirmeyi unutmayın.Örnek verelim bir tane.
$table_prefix = ‘0we8saB_’;

wp-content/plugins/ klasörünü gizleyin, bu klasörün altına boş index.html (veya index.php) adında bir dosya bırakın. Aksi takdirde, dışarıdan kullandığımız eklentiler hakkkında bilgi alınabilir. WordPress Development blogu takip edin, böylelikle herhangi bir güncelleme veya güvenlik patchlerinde anında haberdar olursunuz.WordPress sürümünüzü gizleyin. Temanızın header.php dosyasında bulunan bir kod hangi wordpress sürümünü kullandığınızı açığa vurmaktadır.

?/>.

Bu satırı silerek bu bilgiyi saklayabilirsiniz.


.htaccess


.htaccess dosyanız yoksa aşağıdan indirerek sunucuza atınız.Eğer .htaccess dosyanız varsa aşağıda paylaştığımız dosyaya göz atın uygun bulduğunuz kodları kendi .htaccess dosyanıza ekleyiniz.

Tıkla indir

Wp-Config Dosyası

wp-config.php dosyasının içeriğini şifrelemeyi unutmayın. Şifreleme için ionCube, Zend Guard sitesindeki aracı kullanabilirsiniz. Wp-load.php dosyasınıda şifremenizi tavsiye ediyorum.Wp-config dosyamızın yerini değiştirmek için wp-load.php dosyasını açmalı ve wp-config.php yazan yerleri dilediğimiz şekilde değişirmeliyiz. Örneğin wp-includes klasörüne taşımak için wp-load.php dosyasındaki wp-config.php yazan yerleri wp-includes/wp-config.php şeklinde değiştirmeliyiz. Ana dizinede sahte bir wp-config.php dosyası oluşturarak hackerları kandırabiliriz :) .
Eklentiler

1)Force SSL


İndir : http://downloads.wordpress.org/plugin/force-ssl.zip

Eklentiyi kısaca özetlersek, güvenilir olmayan bağlantıları tespit edip, oradan gelebilecek olası saldırıları engelliyor. Bu da sitenizin hem trafiğini, hem de güvenliğini düzene sokmuş oluyor.

2- Secure Files



İndir : http://downloads.wordpress.org/plugin/secure-files.zip

Bu eklenti kendi sitenizin güvenliğini sağlamak için sisteme yükleyeceğiniz resim,doküman veya müzik gibi dosyalarınızı sunucunuzda belirtmiş olduğunuz başka bir dizinden yükleyerek sitenizde güvenliği sağlar.

3- Login Lockdown


Anasayfa : Bad Neighborhood - Login LockDown WordPress Security Plugin
İndir : http://www.bad-neighborhood.com/loginlockdown-1.1.zip

Siz kendi evinizden admin paneline giriyorsunuz, bir başkası da sizin şifrenizi tahmin etmeye çalışıyor ve admin panelindeki kullanıcı adı,şifre alanında denemeler yapıyor. Sizin isteğinize göre ayarlayabileceğiniz deneme sayısını 3 olarak farzedersek, denemeyi yapan kişi 3 defada tutturamazsa ip adresi kayıt altına alınıyor ve o kişinin o dizine ulaşması sistem tarafından engelleniyor.

Kaynak: Kaynak: Wordpress te Güvenlik