1. Ana Sayfa
  2. Wordpress
  3. 10 Adımda WordPress Güvenliği

10 Adımda WordPress Güvenliği

featured

Artık hemen hemen her web site WordPress alt yapısını kullanmaktadır. Hal böyle olunca WordPress güvenliği de her şeyden önemli bir hal almaya başladı. Bu yazımızda bir kaç temel bilgi üzerinden hangi güvenlik adımlarının uygulanması gerektiğini paylaşacağız. Lafı daha fazla uzatmadan detaylara geçelim.

1Güncel Olmaktan Asla Vazgeçmeyin

Aslında en önemli güvenlik önlemi olmasına rağmen bir çok kişinin göz ardı ettiği bir adımdır. Çünkü WordPress sistemi sürekli kendini güncellemekte ve kullanıcıların ya da kendilerinin tespit ettiği tüm açıkları en kısa süre içerisinde çözüp güncelleme ile yayınlamaktadır. WordPress güvenliği için sadece bu kadarı da yetmez aynı zamanda güncel tema, eklenti, php sürümleri de gibi alanlarda güvenlik zafiyetinizin kapatılmasına yardımcı olacaktır.

2Tema ve Eklentilerinizde Bilinmeyen Kaynak Kullanmayın

3. kaynaklarda veya WordPress sisteminizin mağazasına binlerce yazılım bulunmakta. Fakat bu bölgelerde bulunan içeriklerin WordPress geliştiricileri pek bir alakası da yoktur. Bu yüzden herhangi bir tema veya eklenti yüklemeden önce detaylı bir incelemekte her zaman fayda vardır.

Mağazada bulunan içeriklerde çok fazla yükleme sayısı olmayan veya puanı ve yorumları kötü olan yazılımlardan uzak durmanızı tavsiye ediyorum. Alternatif olarak daha fazla indirme, olumlu puan ve yorumları bulunan içerikler sizler için daha az risk taşıyacaktır.

3. taraf kaynaklardan da kurulum yaparken dikkatli olmalısınız. Kesinlikle warez içerik kullanmayın. Çünkü warez içerikler 3. taraf kişilerin el atmasıyla oluşur ve içerisine yerleştirmiş olduğu küçük bir kod parçası bile WordPress güvenliğinizi tamamen yok edebilir. Bu sayede içerikleriniz dosyalarınıza erişmek için farkında olmadan bir backdoor oluşturabilirsiniz.

3Dosya İzinlerinizi Kontrol Altında Tutun

Dosyalarınızı ve verilerinizi güven altında tutmak ve kötü niyetli kişilerin bu alanlara erişimini kısıtlamak için aşağıda paylaşmış olduğumuz dosyaları ve klasörlerin izinlerini değiştirin. İzinleri değiştirmek/güncellemek için herhangi bir FTP programıyla bağlantı sağlayabilirsiniz.

Dosya AdıSayısal Değer
Ana Dizin0755
wp-includes0755
wp-admin0755
wp-admin/js0755
wp-content0755
wp-content/themes0755
wp-content/plugins0755
wp-admin/index.php0644
wp-config.php0644
.htaccess0644
WordPress Güvenliği için Dosya İzinleri

4Yönetici Bilgilerinizi Paylaşmayın

Bu durumu artık paylaşmaya gerek var mı emin değiliz. Çünkü sizlerin kurulum ekranında belirlemiş olduğunuz yönetici hesabı tüm yetkilere sahip olduğunu hepimiz biliyoruz. Bu yüzden bu yetkiye sahip olan birinin web sitenizde neler yapabileceğini de hemen hemen hepimiz tahmin ediyoruz.

Yönetici şifrenizi kimseyle paylaşmayın. Ola ki paylaşmanız gereken bir durum oldu ana hesabınızın şifresini değil, yeni bir hesap oluşturduktan sonra yeni hesabınızın bilgilerini iletin. İşlem tamamlandıktan sonra hemen açmış olduğunuz yeni hesabı kaldırmayı (silmeyi) unutmayın.

5Güvenlik Eklentisi Kullanın

Bu adım her ne kadar isteğe bağlı da olsa bir güvenlik eklentisi kullanmakta her zaman fayda vardır. Piyasada bir çok güvenlik eklentisi mevcut. Dilediğinizi kullanabilirsiniz fakat bizlerin önerisi iThemes Security isminde olan eklentidir. Bu eklenti sayesinde WordPress güvenliğinizi daha artırabilirsiniz. Bu eklentinin bir çok özelliği mevcut fakat genel olarak sizlere önerebileceğimiz özellikleri şu şekildedir:

  • wp-admin yolunu değiştirebilirsiniz.
  • İstediğiniz IP adresini engelleyebilirsiniz.
  • Çok fazla hatalı giriş yapma denemesi olduğunda kullanıcı veya botun belirlediğiniz sürece giriş yapmasını engelleyebilirsiniz.
  • İki faktörlü kimlik doğrulamasını kullanabilirsiniz.
  • Web sitenizin yüklü olduğu dosya dizinlerini takip edebilirsiniz. Takip esnasında dosyanızda hangi tarih ve saatte değişiklik yapıldığında tespit edebilirsiniz. Bu sayede sürekli kontrol sizlerin elinde olur.

Tabi ki tüm özellikleri bunlar değil biraz daha kurcalayarak diğer özelliklerini kullanabilirsiniz. İlk kurulum esnasında sizleri yönlendirme sağlamakta ve sizlere yardımcı olmaktadır.

6WordPress Versiyonunu Gizleyin

Bazı kullanıcılar WordPress sistemini güncellemeyi unutmakta veya uğraşmamaktadır. Genelde bu durum portfolyo ve firma tanıtım sitelerinde görünmektedir. Bu durumda WordPress güvenliği için versiyonunuzu mutlaka gizleyin. Çünkü verisyonunuzu bilen bir kötü amaçlı kişi versiyonunuzda açıktan yararlanarak içeri sızabilir. Tam tersi sürekli güncelleyen biri iseniz gizlemek ya da gizlememek tamamen sizlerin tercihidir.

WordPress versiyonunuzu gizlemek için, aşağıda paylaşmış olduğumuz kodu temanızın functions.php dosyasının en altına eklemeniz gerekmektedir.

remove_action('wp_head', 'wp_generator');

7En Önemli Dosyanızı Koruyun

Evet, sizlerin de tahmin edeceği üzere bu dosya wp-config.php dosyası. Çünkü bu dosya WordPress sisteminizin temel taşı. İçerisinde veritabanı, veritabanı kullanıcı adı ve şifresi, tablo ön eki gibi bilgileri bulundurmakta. Bu bilgilere ulaşan biri de her şeyinize ulaşmış demektir.

Güvenliğini sağlamak için bu dosyanızı herhangi bir şifreleme aracı ile şifrelemenizi önermekteyiz. Ioncube yine sizlere önerebileceğimiz metodların arasında yer almaktadır.

8PHP Hata Raporlamayı Kapatın

Her ne kadar WordPress güvenliği için göz ardı edilse de büyük tehditlere yol açabilirsiniz. PHP hata raporlamanın içerisinde dosya dizinlerinin yolu veya hatanın kaynağı gözüktüğü için kötü amaçlı kişiler için davetiye oluşturabilirsiniz. Tabi eğer geliştirici iseniz direkt bu adımı yok sayabilirsiniz.

PHP hata raporlamayı devre dışı bırakmak için de aşağıda paylaşmış olduğumuz kodu wp-config.php dosyasının içerisine ekleyin.

error_reporting(0);
@ini_set(‘display_errors’, 0);

9Dosyalarınızı Zararlı Yazılım İçin Tarayın

WordPress sistemine hakimseniz ara ara dosyalarınızı incelemenizi tavsiye ediyoruz. Sizlerin de farkında olmadan saldırı olmuş olabilir veya dosyalarınızın arasına zararlı kodlar eklenmiş olabilir. Eğer böyle bir durum varsa WordPress güvenliğiniz tehlike altındadır. 

Eğer ki bu konuda çok hakimiyetiniz yok ise sizlere Wordfence eklentisini tavsiye ederiz. Bu eklenti sizler için belirli periyotlarla veya sizlerin isteği doğrultusunda tarama yaparak sizlere koruma altında tutmaktadır. 

10Yedek Alın

Geldik en önemli WordPress güvenliği adımına. Web sitenizin haftalık olarak yedeğini almaya özen gösterin. Özellikle bir işlem yapmadan önce mutlaka yedek alın. Olası aksi bir durumda geriye dönmenizi rahat bir şekilde yapabilirsiniz. Yedekleme işlemi için sizlere tavsiyem eklenti üzerinden değil direkt hosting üzerinden yedek almanız yönünde olacaktır. Bu sayede hosting firmanızın geri dönüşü de sizlerin geri dönüşü de daha rahat olacaktır.

Önerilen Yazı
WordPress Nedir? WordPress Ne İşe Yarar?

Bu yazımızda WordPress güvenliğinizi nasıl sağlayacağız hakkında genel olarak bilgiler aktarmaya çalıştık. Bu işlemleri yaptığınız da %100 olarak güvenilirsiniz diyemeyiz ama en üst seviyede web sitenizi kullanmaya başlayabilirsiniz.

Yorum Yap

Yorum Yap