1 Tıkla WordPress Kurulumu (Digitalocean)
Diğer güvenlik yazıları:
iptables ile güvenlik önlemleri (blacklist + basit kurallar)
htaccess güvenlik önlemleri
Öncelikle wp-config.php dosyasını açıyoruz:
cd /var/www/html
nano wp-config.php
Panel üzerinden tema/eklenti dosyalarını düzenlemeyi kapat
define('DISALLOW_FILE_EDIT',true);
wp-config.php dosyasına girerek üstteki kodu ekleyin. Bu sayede panel üzerinden tema ve eklentiler üzerinde düzenleme yapılamayacak.
Panel üzerinden bir eklenti yüklenemesin veya güncellenemesin
Üstekine göre daha ileri düzey bir güvenlik önlemidir. Eğer panele birden fazla kullanıcı erişim halinde ise ve onların bu tarz şeylere müdahale etmesini istemiyorsanız bu özelliği öneririm.
define('DISALLOW_FILE_MODS',true);
WordPress’in güvenlik anahtarı
define('AUTH_KEY', 'eşsiz karakter kümenizi buraya yerleştirin');
define('SECURE_AUTH_KEY', 'eşsiz karakter kümenizi buraya yerleştirin');
define('LOGGED_IN_KEY', 'eşsiz karakter kümenizi buraya yerleştirin');
define('NONCE_KEY', 'eşsiz karakter kümenizi buraya yerleştirin');
define('AUTH_SALT', 'eşsiz karakter kümenizi buraya yerleştirin');
define('SECURE_AUTH_SALT', 'eşsiz karakter kümenizi buraya yerleştirin');
define('LOGGED_IN_SALT', 'eşsiz karakter kümenizi buraya yerleştirin');
define('NONCE_SALT', 'eşsiz karakter kümenizi buraya yerleştirin');
wp-config.php dosyanıza girdiğinizde üstteki alanı hazır olarak göreceksiniz. .Her anahtar farklı bir karakter kümesi olmalı. http://api.wordpress.org/secret-key/1.1/salt WordPress.org secret-key service servisini kullanarak yaratabilirsiniz. Çerezleri geçersiz kılmak için istediğiniz zaman bu değerleri değiştirebilirsiniz. Bu tüm kullanıcıların tekrar giriş yapmasını gerektirecektir. WordPress bu anahtarların kullanılmasını şiddetle öneriyor. Peki bu anahtarlar tam olarak ne iş yapar? Aslında bu işlem çerezlerin belli anahtarla güvenli hale getirilmesidir. Yani özetle kullanıcının bilgisayarında bulunan – kullanıcı adı ve parolası gibi önemli olan şeyler – çerezler bu anahtarlar ile koruma altına alınır. Eğer bu çerez dosyaları kötü amaçlı birinin eline geçerse istediği şeylere ulaşması imkansız olmasa da çok zor hale gelecektir.
wp-config dosyasının izinleri
wp-config dosyasının izinleri oldukca çok önemlidir. Genelde bu dosyanın izni – hatırladığım kadarıyla – 644 olarak gelmektedir. wp-config.php dosyasının izin ayarı 444 veya 400 olarak ayarlanmalıdır.
sudo chmod 444 wp-config.php
wp-config.php ile debug modunu açmak sizin için çok yararlı olacaktır.
define('WP_DEBUG',true);
Bir eklenti , temada bir problem varsa bu özellik sayesiyle görebilir, daha sonra da bunu giderebilir veya tamamen ortadan kaldırabilirsiniz. Bir de şunu bilmek de fayda var. Eklenti sayısının artması sadece performans açısından değil, güvenlik açısından da kötüdür. Eklenti demek, açık demektir ve dünya tarafından güven kazanmamış eklentileri kullanmamaya çalışın. İncelemelere göz gezdirin.
—
Şimdi ise sizden eğer sitenizde “test” adında bir kullanıcı var ise bunu kaldırmanızı isteyeceğim. “test” kullanıcısı genelde bir şeyi denemek için sitenin ilk günlerinde açılan kullanıcı olur ve bu bazı şeyleri deneyebilmek için bazı kullanıcı izinleri verilir. İstediğimiz bazı şeyleri denemek olduğundan bu kullanıcının parolası da oldukca kolay olur. “test” gibi. Bundan dolayı bazı botlar bu kullanıcı adı ile giriş denemeleri yapar.
Tablo ön eklerini değiştirelim
Genelde her şeyi elinizle yapmanızı öneririm fakat bu işlem biraz riskli ve yapılacak hata sitenizde sorunlar teşkil edebilir. Tablo ön eki genelde “wp_” olur ve böyle kalınması, başkaları tarafından tablo isimleri bilinmesi pek güvenli değil. Bunun değiştirilmesi için bir eklenti var. Adı Change DB Prefix . Bu eklenti ile veritabanınızda bulunan tabloların ön ekini değiştirebilirsiniz.
Kaynakça:
WordPress tabanlı siteyi güvenli hale getirmek
