Özellikle WordPress tabanlı siteler, WordPress’in popülerliğinin ve yaygınlığının bir dezavantajı olarak, daha sık saldırı hedefi olabiliyorlar. Eğer sizin de bir WordPress siteniz varsa güvenlik için aşağıdaki önlemleri almanızda fayda var.
Sık Yedek Alın
Eskilerin “Hırsıza kilit dayanmaz” diye bir lafı vardır. Özellikle de internet gibi bir ortamda hangi önlemi alırsanız alın, bir risk taşıdığınızı unutmamanız lazım. O yüzden alınacak ilk önlem sık sık yedek almak olmalı. WordPress’te bu işi otomatik olarak yapmaya yarayan eklentiler mevcut. (ör: WP-DB-Backup)
Güncellemeleri Sıkı Takip Edin
WordPress, kendi sürümü ve ilgili eklentilerin güncellemelerini kolaylıkla takip edebilmeniz için pek çok imkan sunuyor. Yayınlanan güncellemeleri kurma işini aksatmayın. Çünkü her güncelleme genelde bazı güvenlik açıkları için de yamalar sunuyor.
Yönetici Kullanıcı Adını Değiştirin
WordPress, ilk kurulumda otomatik olarak yönetici hesabının kullanıcı adını “admin” olarak atıyor. Bu da özellikle doğrudan yönetim panelini ele geçirmek için yapılan kaba kuvvet saldırıları (Brute Force) için bir güvenlik tehdidi oluşturuyor. O yüzden yönetici kullanıcı adını ya database yönetim programı (phpmyadmin) üzerinden ya da yine bir eklenti kullanarak değiştirin.
Kuvvetli Bir Şifre Kullanın
Maalesef çoğumuz çok da kuvvetli olmayan, internetten hakkımızda toplanabilecek basit verilerle tahmin etmesi nispeten kolay şifreler kullanıyoruz. Hatta bu şifreleri genelde sitelere göre de farklılaştırmayıp pek çok yerde kullanıyoruz. Öncelikle, yönetim hesabı şifrenizin karakter zenginliğini ve uzunluğunu arttırıp şifrenizi daha kuvvetli yapın. Siteniz için kullandığınız şifreyi başka yerlerde kullanmayın. Veritabanı için ayrı bir kullanıcı adı tanımlayın ve farklı bir şifre kullanın.
Klasör ve Dosyalarınızın Erişim Yetkilerini Biraz Daha Kısıtlayın
WordPress sitenizin kalbi olan “wp-config.php” dosyasının erişim ayarlarını kontrol edin. İlk kurulumda bütün dosyalar için “everyone read” yetkisi veren chmod 644 veya 755 tanımlanır. “wp-config.php” için “everyone read”i kaldırın. Chmod 640 ya da 750 olmalı. Bunun dışında dosyanın bulunduğu “.htaccess” dosyasına aşağıdaki satırları ekleyerek korumayı daha da arttırabilirsiniz.
order allow,deny
deny from all
Bunun dışında bütün klasörleriniz için chmod 755, dosyalarınız için de chmod 644 olmalı.
“wp-admin” klasörünüz için (mümkünse) sunucu tarafında şifre tanımlayın. Bunun için bir “.htaccess” dosyası yaratmanız gerekecek. (Bunu nasıl yapacağınızı öğrenmek için WordPress sitesine bakabilirsiniz. Ya da sunucunuzun kontrol paneline erişebiliyorsanız, oradan da bu işlemini yapabilirsiniz.) Bu önlemin yaratacağı tek sıkıntı ajax kullanan eklentilerin wp-admin içindeki “ajax.php” dosyasına erişememesi olur. Eğer “wp-admin” klasörü içindeki “.htaccess” dosyasının en altına aşağıdaki satırları da eklerseniz bu sorunu da bertaraf etmiş olursunuz.
Order allow,deny
Allow from all
Satisfy any
Robot.txt Dosyasını Dikkatli Düzenleyin
Arama motorlarının sitenin alt klasörlerini de listelemesini engellemek için “robot.txt” dosyasına aşağıdaki satırları ekleyin:
User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/Siteye Girişlerde SSL’i Etkinleştirin
WordPress uzunca bir süredir SSL ile kullanıcı/yönetici girişini destekliyor. Bu sayede giriş yaparken kullanıcı bilgileri internet üzerinden şifrelenerek gönderiliyor olacak. Eğer SSL sertifikanız varsa, WordPress’i de SSL’li yapmak için tek yapmanız gereken “wp-config.php” dosyasına aşağıdaki satırı eklemek:
# Sadece kullanıcı girişlerini SSL’li yapmak için:
define(‘FORCE_SSL_LOGIN’, true);
# Hem kullanıcı hem yönetici girişlerini SSL’li yapmak için:
define(‘FORCE_SSL_ADMIN’, true);Güvenlik Eklentileri Kurun
WordPress eklenti havuzundan bulabileceğiniz bazı eklentiler şüpheli erişimleri tespit edip engelleme özelliğine sahip.
Ard arda gerçekleşen başarısız login girişimlerini bloke etmek için Login LockDown gibi bir eklenti kullanın. Bu eklenti aynı IP adresi üzerinden gerçekleştirilen başarısız girişimleri tanıyıp tüm erişimin belirli bir süre askıya alınmasını sağlıyor.
WordPress Firewall, WordPress Antivirus gibi eklentiler de belli başlı saldırı tiplerinin algılanıp önlenmesini sağlıyor. WordPress File Monitor ise WordPress kurulumunuzdaki dosyaları düzenli olarak tarayarak, değişiklikleri size haber veriyor.
Açıkçası, en çok tavsiye edeceğim eklenti yukarıdakilerden farklı. MuteScreamer eklentisi PHPIDS adlı PHP tabanlı saldırı tespit sistemini bazı ek özelliklerle WordPress’e entegre ediyor. Login LockDown ile birlikte sadece bu eklentiyi bile kullansanız yeterli olur bence.
Sitenizin WordPress ile Yapıldığını Söylemeyin
Tarayıcı üzerinden web sitenizin kaynak koduna baktığınızda meta etiketleri arasında aşağıdaki gibi bir satır görürsünüz.
Bu meta etiketi, Hacker’lara sitenizin hangi WordPress sürümünü kullandığını gösterir. Bu etiketi silmek için kullandığınız temanın “functions.php” dosyası içine aşağıdaki kodu yapıştırın.
remove_action(‘wp_head’,'wp_generator’);Eğer Windows Live Writer kullanmıyorsanız aşağıdaki satır ile WLW aparatını da kaldırmanız faydalı olur.
remove_action(‘wp_head’, ‘wlwmanifest_link’);Veritabanınızdaki Tablo Önadını Değiştirin
Pek çok “SQL Injection” saldırısının başarılı olmasının altında WordPress veritabanı mimarsinin biliniyor olması yatıyor. O yüzden kurulum esnasında ya da sonrasında veritabanı tablo adlarını değiştirin. Bunu yapan eklentiler mevcut ama açıkçası ben MySQL’den ve PHP’den anlayanlara elle (ne yaptığını bilerek) bu değişikliği yapmalarını tavsiye ederim.
Bu işlemi kabaca şöyle özetleyeyim:
Öncelikle veritabanınızın yedeğini alın ve tüm eklentileri etkisizleştirin.
“wp-config.php” dosyasındaki “$table_prefix” parameterisini değiştirin. “wp_” dışında gelişigüzel bir önad belirleyin. Yani:
$table_prefix=”yeni_onad_”
Daha sonra phpmyadmin üzerinden “RENAME TABLE … TO …” komutunu kullanarak bütün tabloların önadını değiştirin. Yani:
RENAME TABLE wp_commentmeta TO yeni_onad_commentmeta;
Son olarak birkaç tablodaki 1-2 parametreyi daha değiştirmeniz gerekecek.
“yeni_onad_options” tablosunu bulup içindeki “wp_user_roles” ifadesini “yeni_onad_user_roles” olarak değiştirin.
“yeni_onad_usermeta” tablosunu bulup içindeki “wp_user_level”, “wp_capabilities”, “wp_autosave_draft_ids” ifadelerini sırasıyla “yeni_onad_user_level”, “yeni_onad_capabilities”, “yeni_onad_autosave_draft_ids” olarak değiştirin.
Veritabanı Kullanıcısının Haklarını Kısıtlayın
Veritabanına ulaşan kullanıcının sadece “select, insert, delete, update, create, drop, alter” yetkilerinin olması yeterli. Diğer yetkileri budayın.
WordPress Kurulumunuzun Yapısını Değiştirin
“wp-content” klasörünüzün yerini ve ismini de değiştirmeniz mümkün. Her ne kadar bu değişiklik bazı eklentilerde (kötü tasarımdan ötürü) sorun yaratsa da faydası çok olduğu için denemeye değer. Bir miktar PHP bilginiz varsa, bunun yaratabileceği sorunları kendinizin gidermesi de mümkün.
“wp-config.php” dosyasını açıp “wp-content” dizininin yerinde ve isminde yaptığınız değişikliği yansıtacak şekilde aşağıdaki satırları ekleyin.
define(‘WP_CONTENT_FOLDERNAME’, ‘yeni-wp-content-dizini’);
define(‘WP_CONTENT_DIR’, ABSPATH . WP_CONTENT_FOLDERNAME );
define(‘WP_CONTENT_URL’, ‘http://alan-adi/’.WP_CONTENT_FOLDERNAME);
define(‘WP_PLUGIN_DIR’, WP_CONTENT_DIR .’/plugins’ );
define(‘WP_PLUGIN_URL’, WP_CONTENT_URL.’/plugins’);Proxy Bağlantılarını Kısıtlayın
WordPress web siteniz pek çok farklı site ile iletişim içindedir. Bazen bunu kısıtlamak gerekli / faydalı olabilir. O zaman tek yapmanız gereken, “wp-config.php” dosyasına aşağıdaki satırları eklemek olacaktır.
define(‘WP_HTTP_BLOCK_EXTERNAL’, true); // dış sitelerden erişimi engelle
define(‘WP_ACCESSIBLE_HOSTS’, ‘api.wordpress.org’); // WordPress api sayfası hariçKaynak: Uğur Cem Yıldız
