WordPress Güvenlik Önlemleri Alın
Eğer WordPress tabanlı web sayfanız var ise bu konuyu incelemenizi öneririm. Hack girişimleri için engel olabilecek çözüm yollarından bir kaçıdır.
Dosya İzinleri
Bu önemli bir husustur. Ve önlem olarak yapılması öncü gereken bir sistemdir. Neyse Dosya İzinleri; belli başlı hack girişimlerinde önemli olan dosyalara girişlerin engellenme yoludur. Bu sayede bilgilere mevcut olmayan kişisel dışardan sızma yaptığında bu izinler sayesinde istedikleri dosyalara giriş yapamazlar. Birnevi parola sistemi gibidir. Peki hangi dosyaların dosya izinleri ile engellenebilir. Hemen aşağıdaki tabloya bakın ve dosya isminin karsısındaki izinleri ayarlayın.
Dosya İznini Nasıl Değiştiririm ?
FTP giriş yapın. Engellemek istediğiniz dosyanın üzerine gelin sağ tıklayın ve “Dosya İzinleri” butonuna tıklayın. Aşağıdaki tabloda verilen değerleri yazın ve kaydedin.
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644
NOT: Bazı eklenti kurulumlarında izinlerin açılmasını ister. Böyle durumlarda wp-content eklentiyi kurmadan önce dosya izinlerini 0777 ayarlayın. Aynı mantık .htaccess içinde geçerlidir.
.Htaccess Dosyası
.htaccess dosyası bizim için standart yönlendirmelerde önemli bir dosyadır. Onu güvenli hale getirmek bizim elimizdedir. Bu dosya WordPress FTP de ana dizin de bulunur. Eğer bu dosya yoksa kendiniz de olusturabilirsiniz. İlk önce dosyanın yedeğini alın ve size aşağıdaki verdiğim kodları .htaccess dosyasının en üstüne kopyalayın ve kaydedin. Sizin göremeyipte Hack girişimlerinde açık olan yolları birkez daha kapatacaktır.
# sunucu imzasını kaldır
ServerSignature Off
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000
# dizin listelemeyi iptal et
Options All -Indexes
# Dosya erişimlerini engelle
order allow,deny
deny from all
order allow,deny
deny from all
wp-config.php Dosyası
En önemli dosyamız budur. Hack girişimlerinde ençok bu dosyayı ele geçirmeye çalışırlar. İçinde veritabanı’na ait kullanıcı ve parola mevcuttur. Bunun ele geçirilmesi demek WordPress‘i hatta sitenizi ele geçirebilir. O yüzden önlemi alınması gerekir.
wp-config.php Dosyasını Şifrelemek
Bu dosya internet tarayıcısından kaynak yolu ile görüntülenmez. O yüzden şifrelenen kodlar HTML çevrilemiyeceği için de ulaşamaz. Ancak PHP şifreleme tekniklerinde kırma yolunu bilenler kolaylıkla açabilir. Fakat bu sayı az olduğundan herkez kıramaz. Benim önerebileceğim en iyi şifreleme tekniği İonCube fakat ücretlidir. Ücretsiz isterseniz yine güvenebileceğiniz ByTerun dan şifreliyebilirsiniz. Şifrlemeden önce yedek almayı unutmayın.
wp-config.php Dosyasını Yolunu Değiştirmek
Sadece şifreleme tekniğine güvenemeyiz. Bunun için benimde kullandığım bu mantığı kolay yol ile hemen halledebiliriz. FTP ana dizinde bulunan wp-load.php dosyası içindeki wp-config.php dosya isimleri ve yolunu değiştirebiliriz. Örneğin; wp-config.php dosyasını FTP de oluşturduğum yeni bir klasöre taşımak istiyorsam, wp-load.php de config.php yazan yerleri “yeniklasör/wp-config.php” şeklinde wp-load.php dosyasında göstermem gerekir.
Diğer Önlemler
Yukarıdaki önlemler dışında sitenizin CPanel den yine şifre korumalı uygulamalar mevcut. Bu uygulamalar ile istediğiniz dosya ve klasörlere şifre koruması getirebilirsiniz.
Son Söz
Yukarıdaki önemleri almadığınız sürece devamlı açık halde tehtit altına alınabilirsiniz demektir. Küçük bir index testinde dahi açık yollarınız anlaşıldığında sonuna kadar Hack girişimleri mutlaka olucaktır. Bu önlemler ile elbette kesin olarak sayfanız ele geçirilemez demiyorum. Ama bu önlemler ilede en azından koruma sağlıyabilirsiniz. Son olarak bu bilgiler den dolayı sayın Yakuter’e teşekkür ederiz.