lostyazilim
tr.link

WordPress’te Güvenlik için Öneriler

26 Mesajlar 15.689 Okunma
acebozum
tr.link

aorhan aorhan Emekli Mod. Kullanıcı
  • Üyelik 30.03.2011
  • Yaş/Cinsiyet 36 / E
  • Meslek Makine Mühendisi
  • Konum Ankara
  • Ad Soyad A** O**
  • Mesajlar 345
  • Beğeniler 27 / 236
  • Ticaret 22, (%100)



WordPress konusunda wmaraci.com adresinde neyi merak ettiklerini sorduğumda wordpress’te güvenlik nasıl sağlanır ve seo hakkında sorular oldu. Bunun üzerine ilk olarak wordpress’te güvenlik amaçlı yapacağınız basit ve gelişmiş bazı yapılacak işlemlerden bahsedeceğim. Öncelikle wordpress açık kaynaklı olması ve bir çok hack girişimden yararlanmak isteyen kişiler için yapısını iyi tanıyabilecek bir içerik yönetim sistemi olması bizim dezavantaj; fakat aynı zamanda bir çok wordpres severin elinden geçmesi bu açıkların kapatılmasına ek olanak sağlıyor.

1- WordPress sitenizi açmadan önce ilk olarak database,database kullanıcı adı ve şifrelerini gelişi güzel seçmeyiniz. Örnek olarak: goo_db değilde goo_db35u gibi farklı bir isim seçiniz. Aynı şekilde kullanıcı adını da bu şekilde oluşturunuz. Eğer plesk kullanıyorsanız db ön ekinide değiştirmenizde fayda var. Db kullanıcı şifresinide yine rakam, harf ve özel karakterden oluşan güçlü bir şifre seçiniz. Çünkü bazı programlarla bu şifreler çözülebilir. Eğer siz güçlü şifre oluştursanız ve eklediğiniz her karakter o olasılığı yükselteceğinden dolayı uzun ve karışık şifre yazınız.

WordPressi kurarkan bize wp_ ön ekini sunar wordpress. Siz bunu silip farklı bir ön eki seçiniz. Bu database’de wp_posts değilde goo_posts şeklinde görünecektir. Yani burada wp_ değilde goo_ ile değiştirdik.

Kurulumun tamamlanmasına az kaldı. Şimdi artık kullanıcı adı ve şifre seçeceksiniz. Burada kesinlikle admin kullanıcı adını değiştiriniz. Çünkü bu varsayılan olduğundan ilk olarak wordpress sitelerde bu denenecektir. Bunu uzun karakterli bir kullanıcı adı yapınız ve şifreyide db şifresindeki mantıkla kendiniz oluşturunuz.

2- Bu işlemler sonras güvenlik önlemleri artırılmış wordpressi kurmuş olacaksınız. Şimdi diğer önlemlerimize geldi. Tüm eklenti, tema ayarlarınızı yaptıktan sonra wordpresss security eklentisi yardımıyla düzenlemeler yapacağız. Bu eklenti bizlere hangi klasörlere, hangi dizine hangi yazma izinleri vermemiz gerektiğini ve yapılan işlemleri göstermektedir. Bu nedenle bu eklentiyi kurarak önce yazma izinlerinizi kontrol ettirin.

Eklentiyi buradan indirebilirsiniz.

3- Blogumuzu yazma izinlerini de kontrolünü yaptıktan sonra .htaccess dosyasında eklemeler yapacağız. Bu eklemeler ile bazı dosya ve dizin erişimini engelleyeceğiz. Aşağıdaki kodları .htaccess dosyasının yedeğini aldıktan sonra ekleyiniz.


# .htaccess dosyasına erişimi engelle

order allow,deny
deny from all


# sunucu imzasını kaldır
ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle

order allow,deny
deny from all


# wp-load.php dosyasına erişimi engelle

order allow,deny
deny from all


# dizin listelemeyi iptal et
Options All -Indexes


4- .htaccess dosyanıza eklediğiniz kodlar sonrasında wp-config‘de düzenleme yapacağız. Bu düzenlemlerden biri, eşsiz doğrulama anahtarları WordPress’in kullanıcı parolalarının ve çerezlerinin (cookie) daha güvenilir olması için gereken kelimelerdir. Bu nedenle wp-config.php dosyasında bulunan eşsiz doğrulama anahtarlarını mutlaka doldurun. Burayı en güvenli şekilde doldurmak için de ilgili siteyi kullanmaktan çekinmeyin.

5- Wp-config’e kodları ekledikten sonra size tavsiyem şifrelemenizdir. Çünkü içinde db bilgileri ve parolalar yer aldığından bunu ioncube gibi şifreleme yöntemleri ile şifrelemeniz size ekstra güvenlik önlemi katacaktır. Wp-config dosyanızı aşağıdaki adresten online olarak şifreleyip kullanabilirsiniz. Şifrelemeden önce yedek almayı unutmayınız.

Şifrelemek için ioncube adresi

6- Sitenizde açmış olduğunuz kalasörler varsa ve wp-content ve alt kalsörlerinde yoksa index.html dosyasını oluşturup atınız. Bu boş index sizin klasörlerinizi listelemek isteyenleri engeleyecektir.

7- Tema ve eklenti kullanmadan önce güvenili kaynaklara dikkat ediniz. WordPress.org dışındaki kaynaklar bazen zararlı kodları eklenti ve temalara ekleyip sizi kendi elinizle ayağınızla sitenizi teslim etmenizi sağlıyor. Bu yüzden zorunlu kalmadıkça wordpress.org dışından tema ve eklenti kullanmayınız. Temalarda şifrelenmiş kısımlar varsa bu temaların güvenilirliğini araştırınız.

8- Sitenizdeki temayı ara ara kontrol ediniz. İçine eklenmiş olan ufak kodla size zararlı yazılım yüükletebilirler. Bu nedenle eğer çok sık değişiklik yapmıyorsanız temanızın tüm dosyalarını lisanslayın kendi adresinize ve şifreleyiniz.

9- Sitenizde sorgu artıracak bölümlerden kaçınız. Örneğin arama kutuları çok dost canlısı görülebilir; fakat botnet gibi saldırılarda sorguyu buradan yaptırıp sizin cpu tüketimizi artırabilirler. Bu nedenle buna benzer bölümleri dikkat ediniz.

10- Sitenizde dosya upload kısımları zorunlu kalmadıkça kullanmayınız. Çünkü shell dosyalarını buradan içeri yükleyerek sitenizdeki kontrolü ellerine geçirebilirler. Dosya upload bölümlerini başka host üzerinden yapınız ya da zorunlu kalmadıkça farklı yollar arayınız.

11- WordPresss versiyonunuzu gizlemeyi unutmayınız. Çünkü wordpress sürümünü her zamaan güncelleyemeyebilirsiniz. Bu nedenle eski versiyonda varsa bir açık, sizin başınızı ağrıtabilir. Bunun için temanızın functions.php dosyasına aşağıdaki kodu ekleyiniz. Tabi yedek alarak.


remove_action(‘wp_head’, ‘wp_generator’);

12- Sık sık yeni wordpress versiyonlarını güncelleyiniz. Yani her yeni versiyonu yedek alarak güncellemenizde fayda var. Güncel wordpress versiyonları iyileştirmeler haricinde kritik açıkları da gözden geçirdiklerinden dolayı her güncel wordpress versiyonu sitenizi daha fazla koruyacaktır.

13- Blogunuzun barındığı hostta sizinle beraber aynı sunucuda barınan diğer sitelere göz atın. Eğer diğer siteler pek güvenli görünmüyorsa ya taşıyınız ya da varsa yeni bir farklı ip alarak onlarla aynı yerde barındırmayınız. Çünkü sizde açık olmasa dahi başka sitedeki açıktan girerek size ulaşabilirler. Bu yüzden seohosting, özel ip gibi sizden başka kimsenin görünmeyeceği şekilde hostlar kullanın. Sunucu tarama hizmetlerinden sitenizin barındığı sunucudaki diğer siteleri görebilirsiniz. Eğer yoksa şanslısınız icon smile Wordpresste Güvenlik için Öneriler

Bu alınacak önlemler artırabilir; fakat bunlar bile sizi oldukça epey güvenli bir blog keyfi sürmenizi sağlayacaktır. Bu alınan önlemler sayesinde bloglarınız yapılacak saldırıları biraz olsun püskürtebilirsiniz.

İyi bloglamalar icon smile Wordpresste Güvenlik için Öneriler

Kaynak: http://www.aorhan.com/wordpresste-guvenlik-icin-oneriler.html
bd Adil Melek

kişi bu mesajı beğendi.

wmaraci
reklam

Psycho Psycho <--! Am I Psycho? --> Kat. Mod.
  • Üyelik 11.12.2010
  • Yaş/Cinsiyet 37 / E
  • Meslek Emekçi
  • Konum Edirne
  • Ad Soyad H** K**
  • Mesajlar 6013
  • Beğeniler 3911 / 3920
  • Ticaret 6, (%100)
güzel bir makele olmuş :) arşive alıyorum. teşekkürler.
Gerilim

kişi bu mesajı beğendi.

Hatalıysam telefon etme, idare et (?)

mertsaluvan mertsaluvan WM Aracı Kullanıcı
  • Üyelik 10.11.2011
  • Yaş/Cinsiyet 33 / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 159
  • Beğeniler 29 / 13
  • Ticaret 0, (%0)
Özet niteliğinde güzel bi makale olmuş, ellerine sağlık.
 

 

Pasa Pasa Gelecek Bizim Yönetici
  • Üyelik 30.03.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Bilgisayar Mühendisi
  • Konum 🖤 Hatay
  • Ad Soyad S** P**
  • Mesajlar 14668
  • Beğeniler 3061 / 3060
  • Ticaret 356, (%100)
Eline sağlık Ahmet, yararlı bir makale olmuş.
Gerilim

kişi bu mesajı beğendi.

Deneyim demeyin, deneyin!

wmaraci
wmaraci

aorhan aorhan Emekli Mod. Kullanıcı
  • Üyelik 30.03.2011
  • Yaş/Cinsiyet 36 / E
  • Meslek Makine Mühendisi
  • Konum Ankara
  • Ad Soyad A** O**
  • Mesajlar 345
  • Beğeniler 27 / 236
  • Ticaret 22, (%100)
Teşekkürler arkadaşlar.. Süleyman sana ayrıca teşekkür ederim :)
 

 

isodmin isodmin Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 13.01.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Waiter / Writer / Webmaster
  • Konum Suudi Arabistan
  • Ad Soyad ** **
  • Mesajlar 905
  • Beğeniler 223 / 159
  • Ticaret 4, (%100)
Güzel bir makale olmuş.

Bu alınacak önlemler artırabilir;

Araştırmamız için örnek verebilir misiniz?
 

 

aorhan aorhan Emekli Mod. Kullanıcı
  • Üyelik 30.03.2011
  • Yaş/Cinsiyet 36 / E
  • Meslek Makine Mühendisi
  • Konum Ankara
  • Ad Soyad A** O**
  • Mesajlar 345
  • Beğeniler 27 / 236
  • Ticaret 22, (%100)

isoNehir adlı üyeden alıntı

Güzel bir makale olmuş.



Araştırmamız için örnek verebilir misiniz?


wordpress security diye arama yaparsanız yabancı bir çok makale var. İçlerinde çok ileri düzeyde güvenlik önlemleri de bulunmaktadır. Benim yazdıklarım yapılması kolay ve genel kullanıcıya hitap edenlerdir.
 

 

zego zego İnternet Reklamcılığı Kullanıcı
  • Üyelik 27.06.2011
  • Yaş/Cinsiyet 32 / E
  • Meslek İnternet Reklamcılığı
  • Konum Ankara
  • Ad Soyad E** Ü**
  • Mesajlar 716
  • Beğeniler 44 / 46
  • Ticaret 29, (%100)
wp-config şifrelemek iyi fikirmiş, uygulayacağım.
 

 

mertsaluvan mertsaluvan WM Aracı Kullanıcı
  • Üyelik 10.11.2011
  • Yaş/Cinsiyet 33 / E
  • Meslek Öğrenci
  • Konum
  • Ad Soyad ** **
  • Mesajlar 159
  • Beğeniler 29 / 13
  • Ticaret 0, (%0)

isoNehir adlı üyeden alıntı

Güzel bir makale olmuş.



Araştırmamız için örnek verebilir misiniz?


Ali Arslan'ın kitabında bahsettiği "Yönetici Paneline Erişimi Şifrelemek" ve "Robots.txt Dosyasının Yapılandırılması" örnek olabilir sanırım.
 

 

Melek Melek Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 09.12.2010
  • Yaş/Cinsiyet 34 /
  • Meslek
  • Konum
  • Ad Soyad ** **
  • Mesajlar 781
  • Beğeniler 224 / 218
  • Ticaret 1, (%100)
Merhaba öncelikle bu öneriler için teşekkür ediyorum. Yalnız bir sorum olacak size, .htacces dosyasına sizin vermiş olduğum kodları ekleyince siteye erişim sağlayamadım aşağıdaki hatayı aldım.


Forbidden

[FONT=Times New Roman]You don't have permission to access / on this server.[/FONT]
[FONT=Times New Roman]Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.[/FONT]



Sebebi nedir acaba bunun?
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al