Kullanımı kolay ve geliştirilmeye açık olduğu için blog denince akla gelen ilk sistem Wordpresstir. Kolay eklenti kodlaması da büyümesinde etkili olmuştur. Güvenlik konusunda belki de en önemlisi dosyaların güvenliğidir.Wordpress te wp-config.php dosyası nedeniyle veritabanınız ele geçirelebilir.Peki ne yapmam gerekiyor ?Hemen neler yapacağımızı öğrenelim ozaman. İlk olarak wordpress dosya izinlerine göz atalım.
Dosya İzinleri
Ana dizin , wp-includes/ , wp-admin/ , wp-admin/js/ , wp-content/ , wp-content/themes/ , wp-content/plugins/ dosyalarının dosya izinleri 755 olmalıdır.Wp-admin/index.php , .htaccess , wp-config.php dosyalarının dosya izinleri ise 644 olmalıdır.Eklenti kurarken wp-content klasörünün dosya izini 777 yapılmalı eklenti kurulduktan sonra tekrar dosya izini 755 yapılmalıdır
Wordpress kurulumundan sonra wp-admin/install.php dosyasını silmeyi unutmayınız.
Veritabanı Şifresi
Veritabanının ismini ve şifresini karışık rakamlardan harflerden oluşturun.Örnek verecek olursak
define('DB_NAME', 'eca2A7_0weB');
define('DB_USER', 'dB1a2_Web0aa1');
define('DB_PASSWORD', '9*8d]ee_8.-+/');
Wordpress kurulumunu yaparken veritabanı ön ekini değiştirmeyi unutmayın.Örnek verelim bir tane.
$table_prefix = ‘0we8saB_’;
wp-content/plugins/ klasörünü gizleyin, bu klasörün altına boş index.html (veya index.php) adında bir dosya bırakın. Aksi takdirde, dışarıdan kullandığımız eklentiler hakkkında bilgi alınabilir. WordPress Development blogu takip edin, böylelikle herhangi bir güncelleme veya güvenlik patchlerinde anında haberdar olursunuz.WordPress sürümünüzü gizleyin. Temanızın header.php dosyasında bulunan bir kod hangi wordpress sürümünü kullandığınızı açığa vurmaktadır.
Bu satırı silerek bu bilgiyi saklayabilirsiniz.
.htaccess
.htaccess dosyanız yoksa aşağıdan indirerek sunucuza atınız.Eğer .htaccess dosyanız varsa aşağıda paylaştığımız dosyaya göz atın uygun bulduğunuz kodları kendi .htaccess dosyanıza ekleyiniz.
Tıkla indir
Wp-Config Dosyası
wp-config.php dosyasının içeriğini şifrelemeyi unutmayın. Şifreleme için ionCube, Zend Guard sitesindeki aracı kullanabilirsiniz. Wp-load.php dosyasınıda şifremenizi tavsiye ediyorum.Wp-config dosyamızın yerini değiştirmek için wp-load.php dosyasını açmalı ve wp-config.php yazan yerleri dilediğimiz şekilde değişirmeliyiz. Örneğin wp-includes klasörüne taşımak için wp-load.php dosyasındaki wp-config.php yazan yerleri wp-includes/wp-config.php şeklinde değiştirmeliyiz. Ana dizinede sahte bir wp-config.php dosyası oluşturarak hackerları kandırabiliriz :) .
Eklentiler
1)Force SSL
İndir : http://downloads.wordpress.org/plugin/force-ssl.zip
Eklentiyi kısaca özetlersek, güvenilir olmayan bağlantıları tespit edip, oradan gelebilecek olası saldırıları engelliyor. Bu da sitenizin hem trafiğini, hem de güvenliğini düzene sokmuş oluyor.
2- Secure Files
İndir : http://downloads.wordpress.org/plugin/secure-files.zip
Bu eklenti kendi sitenizin güvenliğini sağlamak için sisteme yükleyeceğiniz resim,doküman veya müzik gibi dosyalarınızı sunucunuzda belirtmiş olduğunuz başka bir dizinden yükleyerek sitenizde güvenliği sağlar.
3- Login Lockdown
Anasayfa : Bad Neighborhood - Login LockDown WordPress Security Plugin
İndir : http://www.bad-neighborhood.com/loginlockdown-1.1.zip
Siz kendi evinizden admin paneline giriyorsunuz, bir başkası da sizin şifrenizi tahmin etmeye çalışıyor ve admin panelindeki kullanıcı adı,şifre alanında denemeler yapıyor. Sizin isteğinize göre ayarlayabileceğiniz deneme sayısını 3 olarak farzedersek, denemeyi yapan kişi 3 defada tutturamazsa ip adresi kayıt altına alınıyor ve o kişinin o dizine ulaşması sistem tarafından engelleniyor.
Kaynak: Kaynak: Wordpress te Güvenlik
