1. Ana Sayfa
  2. Wordpress

Wordpress Sitesi İçin Güvenlik Ayarları (6 Yöntem)


+ - 0

Wordpress Sitesi İçin Güvenlik Ayarları nasıl olmalı? Yeni bir site kurduğumuzda, içerik paylaşmadan, tema ve seo ayarları yapılandırmasına girmeden önce yapacağız ilk işlem güvenlik çözümleri olmalıdır. Wordpress siteleri için farklı güvenlik önlemleri mevcut. Kullandığınız sunucu, tema ve eklentilerin kodlama yapısı, SSL bağlantı, güvenlik eklentileri vs.. Bu içerikte eklenti kullanmadan Wordpress alt yapılı sitemizin güvenliğini nasıl arttırabiliriz? 6 basit yöntemden bahsedeceğim.

Eklentisiz Wordpress Güvenlik Önlemleri

a. Dosya ve Klasörlere Dizin Erişimi Kapatmak

Ftp’ye dosyalarınızı yüklediğinizde, site dosyaları varsayılan olarak açık gelmektedir. Örneğin bunu şöyle test edebilirsiniz. Tarayıcınıza https://konuyaz.com/wp-content/uploads/ şeklinde yazıp Enter bastığınızda, sitenize yüklediğiniz resim dosyaların görüntülendiğini göreceksiniz. Bu dizin servisinin açık olduğu anlamına gelir. Dosyalarınızın gözükmemesi için, .htaccess dosyasında </ifModule> kodun hemen üstüne Options All -Indexes kodunu eklemeniz yeterli olacaktır. Tekrar tarayıcıya linkinizi yapıştırdığınızda, Access denied! 403 Forbidden yazısı gelecektir. Bu ayarlamanın doğru olduğu ve dizin hizmetinin kapatıldığı anlamına gelmektedir.

b. Admin Dosya Düzenlemeyi Kapatmak

Admin paneline giriş yaptığımızda, gerek tema dosyasında gerekse eklentilerde bazen düzenleme yapma gereği duyabiliriz. Bu ekrana Görünüm > Tema Düzenleyicisi veya Eklentiler > Eklenti Dosya düzenleyicisi menülerden ulaşabilirsiniz. Bunu Admin paneli üzerinden değil de, FTP’ye bağlanıp, düzenlemek istediğiniz dosyayı Bilgisayar masaüstüne çıkartıp düzenlemeniz güvenlik açısından daha etkili bir çözüm olacaktır. Ayrıca birden çok Admin kullanıcısı varsa, onlarında dosya değişikliğinin önüne geçmiş olursunuz. Yada bir şekilde Admin paneline ulaşan zararlı kod’un dosya değişikliğine engel olursunuz. Bu özelliği aktif etmek için; Wordpress wp-config.php dosyanızın içinde yer alan define( ‘WP_DEBUG’, false ); yazısının hemen altına define( 'DISALLOW_FILE_EDIT', true ); kodunu ekleyin. Tekrar Admin paneline girdiğinizde, dosya düzenleme seçeneklerin görünmediğini fark edeceksiniz. Bu doğru işlem yaptığınız anlamına gelmektedir.

c. Dosya Klasör İzinlerini Ayarlamak

Wordpress alt yapılı siteler için dosya izinleri 644, klasör izinleri ise 755 olarak ayarlanmalıdır. Bu değerleri kontrol etmek için, FTP ile web sitenizin yüklendiği dosyalar klasörüne ulaşın, bu değerleri kontrol edin. Ayarlamak için dosya veya klasörlerin üzerine Mouse ile gelip sağ tuşa bastığınızda, dosya izinleri tıklayıp değerleri girebilirsiniz. Kesinlikle 777 olmamalıdır. Bu anonim kullanıcının da dosyaları görüntüleyebileceği ve düzenleme yapabileceği anlamına gelmektedir. Özellikle zararlı kod, dosyalarda değişiklik yapabilir.

wordpress dosya izinleri

d. wp-admin erişimini kapatmak

Benim en çok sevdiğim ve kullandığım güvenlik ayarlarından birisidir. Wordpress admin paneline siteadi.com/wp-admin ulaşılmaktadır. Bunu bilen kişiler bu şekilde yazarak görüntüleyebilir ve Admin şifresi kırması konusunda uğraşabilmektedir. Aşağıda verdiğim kod aralığına statik ip adreslerinizi tanımlarsanız, bu ekrana sadece o ip üzerinden ulaşabilirsiniz. Bu özelliği aktif ederseniz, bilmeniz gereken özel bir durum var. Statik ip’niz değiştiğinde, yani sizin yazdığınızdan farklı ip adreslerinden erişim olamayacağı için bu detayı bilmeniz gerekmektedir. Buraya birden çok statik İP adresi ekleyebilirsiniz. Statik ip adresinizi öğrenmek için https://whatsmyip.com/ adresini kullanabilirsiniz. FTP ile web sitenizin dosyalarına ulaşın ve .htaccess dosyasının uygun yerine aşağıda ki verdiğim güvenlik kodunu ekleyin.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xxx (statik ip adresini ekleyin)
allow from xx.xx.xx.xxx (statik ip adresini ekleyin)

Wordpress Admin panelinize evden, iş yerinden ulaşacaksanız, buraya o Statik İP adreslerini ekleyebilirsiniz. Tekrar hatırlatayım IP adresiniz sabit olmalıdır.

f. wp-config.php dosyasını erişime kapatmak

Wordpress’in en önemli dosyalarından biriside wp-config dosyasıdır. Bu dosya içeriğinde database kullanıcı adı ve şifre bilgileri yer almaktadır. Bu dosyayı erişime kapatarak atak yapanların ulaşmasını, görüntülemesinin önüne geçebilirsiniz. Yapmanız gereken yine FTP ile dosyalarınıza ulaşıp .htaccess içinde </ifModule> kodun hemen üstüne aşağıdaki kodu eklemeniz yeterlidir.

< files wp-config.php>
order allow,deny
deny from all
< /files>

d. Xmlrpc.php Servisini kapatın

Bilgisayardan admin tarayıcı girişi haricinde, tablet, mobil ve Office Word admin bağlayıp xmlrpc.php yazı gönderme için geçiş kullanmaktadır. Pek kullanılan bir özellik değildir. Sonuçta herkes admin paneline girip yazı gönderimlerini yapmaktadır. Wordpress kendi sistemiyle iletişime geçmeye çalıştığında bu servisi kullanmaktadır. Bu ara bağlantıda, brute force atağı almanıza neden olur. Ayrıca kaynak kullanımınıda arttırabilir. Bu özelliği kapatmak için, yine FTP ile dosyalarınıza ulaşın ve .htaccess dosyası hemen üstüne aşağıdaki kodu ekleyin.

< Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
< /Files>

Bu basit ayarlarla Sitenizin güvenlik yapısını biraz daha iyileştirmiş olduk. Başka bir öğretici içerikte görüşmek üzere.

Bu Yazı İçin Bir Yorumun Var mı?