Eklentisiz Wordpress Güvenlik Ayarları nasıl yapılır? Wordpress alt yapılı bir site yayına aldığınızda, ilk yapılması gereken işlem, güvenlik önlemleri oluşturmak olacaktır. WordPress, site yayıncıları tarafından son yıllarda çok tercih edilmeye başlanmıştır. Wordpress geliştiricileri, yeni versiyonlarla, hem güvenlik anlamında hem de daha stabil kullanım için Wordpress sürümleri yayınlamaktadır. Bu makalede, #Wordpress güvenlik Önlemleri eklentisiz .htaccess dosyası üzerindeki güvenlik önlemlerini anlatılmıştır.
WordPress Güvenlik Önlemleri
WordPress site güvenliği nasıl sağlanır? Aşağıda verdiğim kodları, Wordpress’in .htaccess dosyasına ve wp-config dosyasının uygun bir yerine girmeniz yeterli olacaktır. Bu dosyaların içeriğine, ister CPANEL üzerinden isterseniz de, FileZilla dosya yöneticisi üzerinden ulaşabilirsiniz. Bu işlemlere başlamadan önce, .htaccess ve wp-config dosyasının bir kopyasını her ihtimale karşı yedekleyiniz.
a. wp-config.php Dosyası İçin Güvenlik Ayarı
Bu dosya, Wordpress’in MySQL database bilgilerinin tutulduğu dosyadır. en önemli Wordpress dosyalarından birisidir. Ekleyeceğimiz kod ile, bu dosyanın görüntülenmesini engelleyebiliriz. Yine .htaccess dosyasının içine girerek, aşağıda verdiğim kodu eklemeniz yeterli olacaktır. Bu kod MySQL database bilgilerin tutulduğu wp-config.php dosyasına erişimi engelleyecektir.
<files wp-config.php>
order allow,deny
deny from all
</files>
b. Dizin Erişim Hizmetini kapatmak
İhmal edilmemesi gereken en önemli Wordpress güvenliklerinden birisidir. Örneğin Tarayıcınıza, https://siteadi.com/wp-content/uploads/ yazdığınızda, resim dosyalarının yüklendiği uploads klasörünün içeriği karşınıza gelecektir. Zaten bunu görüyorsanız dizin hizmetinin açık olduğunu anlamalısınız. Dizin servisinin açık olması Web sitesine kattığı olumlu bir durum yoktur. Dosyalar ve klasör dizinlerinin gözükmemesi için .htaccess dosyanızın içine Options All -Indexes kodu eklemeniz yeterli olacaktır. Eklediğimiz kodun çalıştığını anlamak için, tarayıcınıza; https://siteadi.com/wp-content/uploads/ yazdığınızda, Access denied! 403 Forbidden uyarısı gelecektir. Bu uyarısı gördüğünüzde dizin erişim hizmetinin kapandığını anlamalısınız.
c. Xmlrpc.php Servisini devre dışı bırakmak
Wordpress girişlerine, mobil platformlardan yaptığınızda, xmlrpc.php servisi üzerinden gerçekleştirmektedir. Wordpress kendi sistemiyle iletişime geçmeye çalıştığında bu servisi kullanmaktadır. Bu iletişim geçişi sırasında, kötü niyetli kişilerin kullandığı brute force atağı sorgusunun riski oluşmaktadır. Ayrıca sorgu yükü artacağı için sunucunuzun CPU ve RAM kullanımıda artacaktır. Xmlrpc.php servisin devre dışı bırakılmasının web sitesi için olumsuz bir durum ortaya çıkarmamaktadır. Yapmanız gereken, .htaccess dosyasında # END WordPress dan sonra şu kodu eklemeniz;
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
d. Wp-Admin Giriş Bölümü Erişimi Kısıtlayın
Eklentisiz wp-admin girişini kısıtlayabileceğiniz kullanışlı bir güvenlik özelliği. Bildiğiniz gibi Wordpress’in admin panelini görüntülemek için siteadi.com/wp-admin olarak giriyoruz. Bu Wordpress için bilinen varsayılan giriştir. Admin ekranın görüntülenmesine belirlediğiniz IP adresi üzerinden görüntüleyebilirsiniz. Bu özelliğin stabil olması için, kullandığınız statik IP adresin sabit olması gerekmektedir. Yani eklediğiniz IP adresi değiştiğinde sizde görüntüleyemezsiniz. Yada admin paneli farklı giriş yapacağınız yerlerden, https://whatsmyip.com/ adresine girerek, statik IP adresinizi öğrenecek ve ftp bağlanıp bu adres kodunu güncellemeniz gerekecek, iş yeri veya ev sabit IP kullanıyorsanız aşağıda ki kodu .htaccess dosyasına ekleyin.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx bölümüne SABİT İP adresinizi yazacağınız yer. Alt alta gelecek şekilde, birden çok IP adresi ekleyebilirsiniz. Unutmadan; IP adresleri SABİT olmalı. Yada girdiğiniz yerin IP adresini öğrenip bu ekrana eklemelisiniz.
e. Web Sitesi Dosya ve Klasör İzinleri
Wordpress dosyalarını yüklediğinizde, varsayılan olarak dosya izinleri, 644 ve tüm klasör izinleriniz 755 olarak gelmektedir. FTP FileZilla programı üzerinden veya CPANEL üzerinden dosyaların olduğu klasöre bağlanıp bu izinleri kontrol etmelisiniz. Wordpress için hangi dosya veya klasör olursa olsun, dosya izinin 777 olmamasına dikkat edin. Bütün zararlı kodlara karşı, FTP içeriğinize yazma, okuma izni vermektedir. İzinleri değiştirmek için; Dosya ve klasörlerin üzerine gelip sağ tuşa basarsanız “dosya izinleri” menüsünden görüntüleyebilir düzenleyebilirsiniz.
f. Dosya Düzenleme Özelliğini Kapatmak
Wp sitesi kurduğunuzda, yüklediğiniz tema dosyaları veya eklentilerin, admin panelinden girdiğinizde, eklentiler veya görünüm altında dosya düzenleyici seçeneği gözükmektedir. Buradan temaya veya eklentilere kodlar ekleyebilirsiniz. Bu özelliği kapatarak, temada bir değişiklik yapacaksanız FTP den dosyayı bilgisayarınıza çekip düzenleme yaparak, tekrar yüklemeniz daha sağlıklı olacaktır. Admin paneline ulaşan zararlı kodlar dosyalarınız üzerinde yazma , düzenleme işlemi yapamayacaktır. Bu özelliği aktif etmek için; wp-config.php dosyanızın içinde yer alan define( ‘WP_DEBUG’, false ); yazısının hemen altına define define( 'DISALLOW_FILE_EDIT', true ); kodunu eklemeniz yeterlidir. Admin girişi yaptığınızda Görünüm altında ki tema düzenleyicisinin ve Eklenti altında ki düzenleyicinin kalktığını göreceksiniz.
Eklentisiz olarak bu kodları kullanarak, Wordpress güvenlik yapısına katkıda bulunmuş olacaksınız. Yukarıda ki güvenlik kodların haricinde sizlerin de eklentisiz olarak önerdiği, güvenlik ayarları varsa, yorum kısmında, Wordpress site sahipleri için paylaşabilirsiniz.
