-GÜNCELLEMELER:
WordPress için en temel güvenlik önlemi güncellemelerdir.WordPress belli periyotlarla sürekli sürüm güncellemeleri yapar.Burada amaç wordpressdeki açıkları ve güvenlik zafiyetlerini kapatmaktır.Bu sebeple sizlerde sürekli wordpress sürümünüzü güncel tutun.Bunun yanında eklenti ve temalarınızda güncel olsun.Kısacası güncelleme gelen tüm şeyleri direk güncelleyin.
-KARAKTER GÜCÜ:
WordPress kullanıcı adı ve şifrenizi rakam, özel karakter, büyük ve küçük harf içerecek şekilde oluşturun.Yani kullanıcınız kırılması zor bir şifreden oluşsun.
-VERSİYON BİLGİSİ:
WordPress versiyonunuzu gizleyiniz.Aksi taktirde daha kolay hedef olursunuz.Bunu kaldırmak için çok basit bir işlem yapabilirsiniz.Kullandığınız temada functions.php yani tema işlevleri kısmına gelip, en alta ya da en üste şu kodu eklemeniz gerekiyor:
function remove_version() { return ”; } add_filter(‘the_generator’, ‘remove_version’);-ADMİN KULLANICI ADI:
Admin kullanıcı adını silin arkadaşlar.Eğer direk bu şekilde bırakırsanız hacker’ın işini kolaylaştırmış olursunuz.
-WORDPRESS VERİ TABANI YERİ:
WordPress veritabanı bağlantı bilgilerinizin tutulduğu wp-config.php dosyanızın konumunu değiştirmenizi ve izin değerini 400 olarak ayarlamanızı öneririz. wp-config.php dosyanıza define(‘DISALLOW_FILE_EDIT’, true); kodunu da ekleyin.
-VERİ TABANI YEDEĞİ:
Veri tabanınızın yedeğini belirli periyotlarla alın.Bunun için WP-DP-BACKUP gibi pluginleri kullanabilirsiniz.
-YANLIŞ GİRİŞ KISITLAMASI:
Yanlış girişleri kısıtlayın.Admin panelinde hackerlar tarafından yapılabilecek girişlere kısıtlama getirin.Bunun için Limit Login Attempts gibi pluginler kullanabilirsiniz.
-DOSYA İZİNLERİ:
Bu dosyaların izinlerini FTP programınızdan gösterilen şekilde uygulayın.
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644- README.HTML ERİŞİMİ:
Bu da yine versiyon kontrolü ile ilgilidir.Versiyonunuzu gizlenemeniz için bir yöntemdir.README.HTML dosyasında versiyonunuza erişebilirler.Bunun için bu dosyanın ismini değiştirin.Readme.html değil de readus.html gibi.
-PHP VERSİYON:
Bunu kaldırabilmeniz için .htaccess ‘e gidip, şu kodu ekleyin:
Header unset X-Powered-By Header unset Server- DATABASE ŞİFRENİZ:
WordPressi kurarken database şifrenizi çok güçlü bir şifre olarak ayarlayın.Database şifrenizi değiştirmek için cpanelden mysql ayarlarından yapabilirsiniz.
- display_errors İZİNLERİ:
Bu dosya php hatalarınızın görünmesine yarıyor.Bu dosya log kaydı yapmaktadır.wp-config.php dosyasında require_once fonksiyonunu aratın ve bir üst satırına şu kodu yapıştırın:
ini_set(‘display_errors’, 0);- SECRET KEY:
Bu siteye gidin https://api.wordpress.org/secret-key/1.1/salt/ wp-config dosyasında 45-52 satırları arasına siteden aldığınız kodu yerleştirin.
YARARLANDIĞIM BİRKAÇ KAYNAK:
mywebgal.com
keithdevon.com
cyberchimps.com
KAYNAK:
bugrahanisbakan.com
EKLER:
-Wordpress kurulumu yapılırken prefix (tablo önadı) kesinlikle değiştirilmeli.Bütün exploitlerde wp tablo öneki "wp_" olarak geçer
