Sizin için aklıma gelen güvenlik önlemlerini sıralıyorum;
1-) Site dosyalarınızın CHMOD değerlerini düzgünce ayarlayın.
Örneğin şu şekilde uygun:
2-) wp-config.php ve wp-load.php dosyalarınızı symlink ve türevi yöntemler ile sunucu üzerindeki başka bir dizin ve kullanıcı üzerinden okunamaz hale getirmenin önlemini alın. Bu dosyalar hariç veri tabanı bağlantısı gibi önemli bilgiler içeren dosyalarınız varsa yine aynı yöntemle onlarıda korumaya dahil ediniz (örn: .htaccess). Tabi bu işlemi uygulamadan önce veri tabanı kullanıcı adı ve şifreniz gibi db connect bilgilerinide kesinlikle değiştiriniz, çünkü 1 kez hacklendiniz o bilgiler çalınmış olabilir.
Bu kodları .htaccess dosyanıza ekleyerek işlemi halletmiş olursunuz:
3-) 2. seçenekte korumaya aldığımız bu önemli dosyalarınızı ioncube, base64, md5 vb. kod kriptolama yöntemi ile güvenlik altına alınız.
4-) wp-content/plugins dizininize index.html dosyası atın. Bu sayede wordpress ile beraber hangi eklentileri kullandığınızın kolaylıkla öğrenilir olmasını engellemiş olursunuz. Eğer eklenti kaynaklı bir açık mevcut ise bu işlem önemli güvenlik rolü oynayacaktır.
5-)wp-config.php Dosya ismini değiştirebilirsiniz ek olarak.
6-)wp-admin/ dizininde bulunan theme-editor.php ve plugin-editor.php dosyalarınızı kesinlikle silin. Bu sayede saldırgan admin panelinizede ulaşsa FTP dizininizdeki dosyalara ve kodlara dokunamayacaktır.
Aklıma gelen en önemli faktörler sırasıyla bu şekilde tabi bu önlemleri uygulamadan önce birkez ve uyguladıktan sonra yeniden birkez admin giriş bilgilerinizi değiştirmeniz iyi olacaktır.
Bunlar sunucu taraflı alınabilecek güvenlik önlemleri hazır bunları ayarlama niyetine girmişken birde ilk olarak kullandığınız bilgilsayarında güvenli olduğundan emin olun : ) dahada iyi olur.
1-) Site dosyalarınızın CHMOD değerlerini düzgünce ayarlayın.
Örneğin şu şekilde uygun:
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644
2-) wp-config.php ve wp-load.php dosyalarınızı symlink ve türevi yöntemler ile sunucu üzerindeki başka bir dizin ve kullanıcı üzerinden okunamaz hale getirmenin önlemini alın. Bu dosyalar hariç veri tabanı bağlantısı gibi önemli bilgiler içeren dosyalarınız varsa yine aynı yöntemle onlarıda korumaya dahil ediniz (örn: .htaccess). Tabi bu işlemi uygulamadan önce veri tabanı kullanıcı adı ve şifreniz gibi db connect bilgilerinide kesinlikle değiştiriniz, çünkü 1 kez hacklendiniz o bilgiler çalınmış olabilir.
Bu kodları .htaccess dosyanıza ekleyerek işlemi halletmiş olursunuz:
order allow,deny
deny from all
order allow,deny
deny from all
order allow,deny
deny from all
order allow,deny
deny from all
3-) 2. seçenekte korumaya aldığımız bu önemli dosyalarınızı ioncube, base64, md5 vb. kod kriptolama yöntemi ile güvenlik altına alınız.
4-) wp-content/plugins dizininize index.html dosyası atın. Bu sayede wordpress ile beraber hangi eklentileri kullandığınızın kolaylıkla öğrenilir olmasını engellemiş olursunuz. Eğer eklenti kaynaklı bir açık mevcut ise bu işlem önemli güvenlik rolü oynayacaktır.
5-)wp-config.php Dosya ismini değiştirebilirsiniz ek olarak.
6-)wp-admin/ dizininde bulunan theme-editor.php ve plugin-editor.php dosyalarınızı kesinlikle silin. Bu sayede saldırgan admin panelinizede ulaşsa FTP dizininizdeki dosyalara ve kodlara dokunamayacaktır.
Aklıma gelen en önemli faktörler sırasıyla bu şekilde tabi bu önlemleri uygulamadan önce birkez ve uyguladıktan sonra yeniden birkez admin giriş bilgilerinizi değiştirmeniz iyi olacaktır.
Bunlar sunucu taraflı alınabilecek güvenlik önlemleri hazır bunları ayarlama niyetine girmişken birde ilk olarak kullandığınız bilgilsayarında güvenli olduğundan emin olun : ) dahada iyi olur.
Hepsini yapacağım hocam yardımınız için gerçekten teşekkür ederim :) Kim benim sitemi niye hacklesin diye hiç güvenlik önlemleri ile ilgilenmemiştim. Anlattıklarınız ile daha güvenli bir altyapı olur inşallah