Giriş Yap / Kayıt Ol

WM Aracı'na üyelikler tekrar açıldı! Kayıt olmak için TIKLAYIN!



Cevap Yaz Favorilerime Ekle
Seçenekler Stil
Geri Git   Forum > > WordPress

WordPress’te Güvenlik için Öneriler

  #1  
Okunmamış 11 Kasım 2011, 00:11
aorhan Adlı Üyenin Avatarı
Emekli Mod.
 
Üyelik Tarihi: 30 Mart 2011
Cinsiyet: Erkek
Konum: Ankara
Ad, Soyad: Ah... Or...
Mesajlar: 304
Beğeniler: 228 / 27
Ticaret: 19, 100%

WordPress konusunda wmaraci.com adresinde neyi merak ettiklerini sorduğumda wordpress’te güvenlik nasıl sağlanır ve seo hakkında sorular oldu. Bunun üzerine ilk olarak wordpress’te güvenlik amaçlı yapacağınız basit ve gelişmiş bazı yapılacak işlemlerden bahsedeceğim. Öncelikle wordpress açık kaynaklı olması ve bir çok hack girişimden yararlanmak isteyen kişiler için yapısını iyi tanıyabilecek bir içerik yönetim sistemi olması bizim dezavantaj; fakat aynı zamanda bir çok wordpres severin elinden geçmesi bu açıkların kapatılmasına ek olanak sağlıyor.

1- WordPress sitenizi açmadan önce ilk olarak database,database kullanıcı adı ve şifrelerini gelişi güzel seçmeyiniz. Örnek olarak: goo_db değilde goo_db35u gibi farklı bir isim seçiniz. Aynı şekilde kullanıcı adını da bu şekilde oluşturunuz. Eğer plesk kullanıyorsanız db ön ekinide değiştirmenizde fayda var. Db kullanıcı şifresinide yine rakam, harf ve özel karakterden oluşan güçlü bir şifre seçiniz. Çünkü bazı programlarla bu şifreler çözülebilir. Eğer siz güçlü şifre oluştursanız ve eklediğiniz her karakter o olasılığı yükselteceğinden dolayı uzun ve karışık şifre yazınız.

WordPressi kurarkan bize wp_ ön ekini sunar wordpress. Siz bunu silip farklı bir ön eki seçiniz. Bu database’de wp_posts değilde goo_posts şeklinde görünecektir. Yani burada wp_ değilde goo_ ile değiştirdik.

Kurulumun tamamlanmasına az kaldı. Şimdi artık kullanıcı adı ve şifre seçeceksiniz. Burada kesinlikle admin kullanıcı adını değiştiriniz. Çünkü bu varsayılan olduğundan ilk olarak wordpress sitelerde bu denenecektir. Bunu uzun karakterli bir kullanıcı adı yapınız ve şifreyide db şifresindeki mantıkla kendiniz oluşturunuz.

2- Bu işlemler sonras güvenlik önlemleri artırılmış wordpressi kurmuş olacaksınız. Şimdi diğer önlemlerimize geldi. Tüm eklenti, tema ayarlarınızı yaptıktan sonra wordpresss security eklentisi yardımıyla düzenlemeler yapacağız. Bu eklenti bizlere hangi klasörlere, hangi dizine hangi yazma izinleri vermemiz gerektiğini ve yapılan işlemleri göstermektedir. Bu nedenle bu eklentiyi kurarak önce yazma izinlerinizi kontrol ettirin.

Eklentiyi buradan indirebilirsiniz.

3- Blogumuzu yazma izinlerini de kontrolünü yaptıktan sonra .htaccess dosyasında eklemeler yapacağız. Bu eklemeler ile bazı dosya ve dizin erişimini engelleyeceğiz. Aşağıdaki kodları .htaccess dosyasının yedeğini aldıktan sonra ekleyiniz.


Alıntı:
# .htaccess dosyasına erişimi engelle
<files .htaccess>
order allow,deny
deny from all
</files>

# sunucu imzasını kaldır
ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle
<files wp-config.php>
order allow,deny
deny from all
</files>

# wp-load.php dosyasına erişimi engelle
<files wp-load.php>
order allow,deny
deny from all
</files>

# dizin listelemeyi iptal et
Options All -Indexes
4- .htaccess dosyanıza eklediğiniz kodlar sonrasında wp-config‘de düzenleme yapacağız. Bu düzenlemlerden biri, eşsiz doğrulama anahtarları WordPress’in kullanıcı parolalarının ve çerezlerinin (cookie) daha güvenilir olması için gereken kelimelerdir. Bu nedenle wp-config.php dosyasında bulunan eşsiz doğrulama anahtarlarını mutlaka doldurun. Burayı en güvenli şekilde doldurmak için de ilgili siteyi kullanmaktan çekinmeyin.

5- Wp-config’e kodları ekledikten sonra size tavsiyem şifrelemenizdir. Çünkü içinde db bilgileri ve parolalar yer aldığından bunu ioncube gibi şifreleme yöntemleri ile şifrelemeniz size ekstra güvenlik önlemi katacaktır. Wp-config dosyanızı aşağıdaki adresten online olarak şifreleyip kullanabilirsiniz. Şifrelemeden önce yedek almayı unutmayınız.

Şifrelemek için ioncube adresi

6- Sitenizde açmış olduğunuz kalasörler varsa ve wp-content ve alt kalsörlerinde yoksa index.html dosyasını oluşturup atınız. Bu boş index sizin klasörlerinizi listelemek isteyenleri engeleyecektir.

7- Tema ve eklenti kullanmadan önce güvenili kaynaklara dikkat ediniz. WordPress.org dışındaki kaynaklar bazen zararlı kodları eklenti ve temalara ekleyip sizi kendi elinizle ayağınızla sitenizi teslim etmenizi sağlıyor. Bu yüzden zorunlu kalmadıkça wordpress.org dışından tema ve eklenti kullanmayınız. Temalarda şifrelenmiş kısımlar varsa bu temaların güvenilirliğini araştırınız.

8- Sitenizdeki temayı ara ara kontrol ediniz. İçine eklenmiş olan ufak kodla size zararlı yazılım yüükletebilirler. Bu nedenle eğer çok sık değişiklik yapmıyorsanız temanızın tüm dosyalarını lisanslayın kendi adresinize ve şifreleyiniz.

9- Sitenizde sorgu artıracak bölümlerden kaçınız. Örneğin arama kutuları çok dost canlısı görülebilir; fakat botnet gibi saldırılarda sorguyu buradan yaptırıp sizin cpu tüketimizi artırabilirler. Bu nedenle buna benzer bölümleri dikkat ediniz.

10- Sitenizde dosya upload kısımları zorunlu kalmadıkça kullanmayınız. Çünkü shell dosyalarını buradan içeri yükleyerek sitenizdeki kontrolü ellerine geçirebilirler. Dosya upload bölümlerini başka host üzerinden yapınız ya da zorunlu kalmadıkça farklı yollar arayınız.

11- WordPresss versiyonunuzu gizlemeyi unutmayınız. Çünkü wordpress sürümünü her zamaan güncelleyemeyebilirsiniz. Bu nedenle eski versiyonda varsa bir açık, sizin başınızı ağrıtabilir. Bunun için temanızın functions.php dosyasına aşağıdaki kodu ekleyiniz. Tabi yedek alarak.


Alıntı:
remove_action(‘wp_head’, ‘wp_generator’);
12- Sık sık yeni wordpress versiyonlarını güncelleyiniz. Yani her yeni versiyonu yedek alarak güncellemenizde fayda var. Güncel wordpress versiyonları iyileştirmeler haricinde kritik açıkları da gözden geçirdiklerinden dolayı her güncel wordpress versiyonu sitenizi daha fazla koruyacaktır.

13- Blogunuzun barındığı hostta sizinle beraber aynı sunucuda barınan diğer sitelere göz atın. Eğer diğer siteler pek güvenli görünmüyorsa ya taşıyınız ya da varsa yeni bir farklı ip alarak onlarla aynı yerde barındırmayınız. Çünkü sizde açık olmasa dahi başka sitedeki açıktan girerek size ulaşabilirler. Bu yüzden seohosting, özel ip gibi sizden başka kimsenin görünmeyeceği şekilde hostlar kullanın. Sunucu tarama hizmetlerinden sitenizin barındığı sunucudaki diğer siteleri görebilirsiniz. Eğer yoksa şanslısınız icon smile Wordpresste Güvenlik için Öneriler

Bu alınacak önlemler artırabilir; fakat bunlar bile sizi oldukça epey güvenli bir blog keyfi sürmenizi sağlayacaktır. Bu alınan önlemler sayesinde bloglarınız yapılacak saldırıları biraz olsun püskürtebilirsiniz.

İyi bloglamalar icon smile Wordpresste Güvenlik için Öneriler

Kaynak: http://www.aorhan.com/wordpresste-gu...-oneriler.html
admin, Adil, Melek ve 17 kişi daha bunu beğendi.
Konu aorhan tarafından (11 Kasım 2011, 18:03 ) değiştirilmiştir.
  #2  
Okunmamış 11 Kasım 2011, 00:31
Psycho Adlı Üyenin Avatarı
<--! Am I Psycho? -->
 
Üyelik Tarihi: 12 Aralık 2010
Yaş / Cinsiyet: 32 / Erkek
Meslek: Emekçi
Konum: Manisa
Ad, Soyad: Yu... Yu...
Mesajlar: 5.146
Beğeniler: 3592 / 493
Ticaret: 6, 100%
güzel bir makele olmuş arşive alıyorum. teşekkürler.
Gerilim bunu beğendi.
<? Am I Psycho ?>
  #3  
Okunmamış 11 Kasım 2011, 00:44
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 10 Kasım 2011
Yaş / Cinsiyet: 28 / Erkek
Meslek: Öğrenci
Ad, Soyad:
Mesajlar: 167
Beğeniler: 14 / 29
Ticaret: 0, 0%
Özet niteliğinde güzel bi makale olmuş, ellerine sağlık.
  #4  
Okunmamış 11 Kasım 2011, 00:58
Pasa Adlı Üyenin Avatarı
Gelecek bizim
 
Üyelik Tarihi: 30 Mart 2011
Cinsiyet: Erkek
Konum: İzmir
Ad, Soyad: Sü... Pa...
Mesajlar: 2.720
Beğeniler: 2402 / 908
Ticaret: 291, 100%
Eline sağlık Ahmet, yararlı bir makale olmuş.
Gerilim bunu beğendi.
Deneyim demeyin, deneyin!
  #5  
Okunmamış 11 Kasım 2011, 00:59
aorhan Adlı Üyenin Avatarı
Emekli Mod.
 
Üyelik Tarihi: 30 Mart 2011
Cinsiyet: Erkek
Konum: Ankara
Ad, Soyad: Ah... Or...
Mesajlar: 304
Beğeniler: 228 / 27
Ticaret: 19, 100%
Teşekkürler arkadaşlar.. Süleyman sana ayrıca teşekkür ederim
  #6  
Okunmamış 11 Kasım 2011, 14:57
Avatar Seçilmemiş
Üyeliği Durdurulmuş
 
Üyelik Tarihi: 13 Ocak 2011
Cinsiyet: Erkek
Ad, Soyad:
Mesajlar: 933
Beğeniler: 166 / 232
Ticaret: 4, 100%
Güzel bir makale olmuş.

Alıntı:
Bu alınacak önlemler artırabilir;
Araştırmamız için örnek verebilir misiniz?
  #7  
Okunmamış 11 Kasım 2011, 15:00
aorhan Adlı Üyenin Avatarı
Emekli Mod.
 
Üyelik Tarihi: 30 Mart 2011
Cinsiyet: Erkek
Konum: Ankara
Ad, Soyad: Ah... Or...
Mesajlar: 304
Beğeniler: 228 / 27
Ticaret: 19, 100%
Alıntı:
isoNehir Adlı Üyeden Alıntı
Güzel bir makale olmuş.



Araştırmamız için örnek verebilir misiniz?
wordpress security diye arama yaparsanız yabancı bir çok makale var. İçlerinde çok ileri düzeyde güvenlik önlemleri de bulunmaktadır. Benim yazdıklarım yapılması kolay ve genel kullanıcıya hitap edenlerdir.
  #8  
Okunmamış 11 Kasım 2011, 15:07
zego Adlı Üyenin Avatarı
İnternet Reklamcılığı
 
Üyelik Tarihi: 27 Haziran 2011
Cinsiyet: Erkek
Konum: Ankara
Ad, Soyad: Er... Üz...
Mesajlar: 732
Beğeniler: 47 / 58
Ticaret: 27, 100%
wp-config şifrelemek iyi fikirmiş, uygulayacağım.
  #9  
Okunmamış 11 Kasım 2011, 15:15
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 10 Kasım 2011
Yaş / Cinsiyet: 28 / Erkek
Meslek: Öğrenci
Ad, Soyad:
Mesajlar: 167
Beğeniler: 14 / 29
Ticaret: 0, 0%
Alıntı:
isoNehir Adlı Üyeden Alıntı
Güzel bir makale olmuş.



Araştırmamız için örnek verebilir misiniz?
Ali Arslan'ın kitabında bahsettiği "Yönetici Paneline Erişimi Şifrelemek" ve "Robots.txt Dosyasının Yapılandırılması" örnek olabilir sanırım.
  #10  
Okunmamış 11 Kasım 2011, 17:24
Avatar Seçilmemiş
Sms Onayı Gerekli
 
Üyelik Tarihi: 09 Aralık 2010
Yaş / Cinsiyet: 29 /
Meslek: Belirtilmedi
Ad, Soyad:
Mesajlar: 787
Beğeniler: 218 / 225
Ticaret: 1, 100%
Merhaba öncelikle bu öneriler için teşekkür ediyorum. Yalnız bir sorum olacak size, .htacces dosyasına sizin vermiş olduğum kodları ekleyince siteye erişim sağlayamadım aşağıdaki hatayı aldım.

Alıntı:
Forbidden

You don't have permission to access / on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Sebebi nedir acaba bunun?
Cevap Yaz Favorilerime Ekle


Konuyu toplam 1 kişi okuyor. (0 üye ve 1 Ziyaretçi)
 
Seçenekler
Stil
Normal Normal

Geri Git   Forum > WordPress


Yetkileriniz
Konu açma yetkiniz: Yok
Cevap Yazma Yetkiniz Yok
Eklenti yükleme yetkiniz: Yok
Mesajınızı değiştirme yetkiniz: Yok

BB code: Açık
İfadeler: Açık
[IMG] Kodları: Açık
HTML kodu: Kapalı




Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şu anki Zaman: 23:55.