- Katılım
- 3 Temmuz 2012
- Mesajlar
- 38
- Reaction score
- 0
WordPress.Milyonlarca blog yazarı.Ve milyonlarca güvenlik açıkları.Üşeniyoruz sitemizin güvenlik hususunda.Gerekli olan çabaları göstermiyoruz.Sonra sitemiz heklenince ona buna saldırıyoruz.Sizin için wordpress güvenlik hususunda çok güzel bir makale yazmak istiyorum.Bu makalemde uzun süredir yabancı güvenlik sitelerinden toparladığım ve bir kenara kaydettiğim bilgileri sizlere aktarmak istiyorum.Uzun bir makale olabilir bunun için elinize kahvenizi almayı unutmayın icon smile Wordpress güvenlik önlemleri #1
-GÜNCELLEMELER:
WordPress için en temel güvenlik önlemi güncellemelerdir.WordPress belli periyotlarla sürekli sürüm güncellemeleri yapar.Burada amaç wordpressdeki açıkları ve güvenlik zafiyetlerini kapatmaktır.Bu sebeple sizlerde sürekli wordpress sürümünüzü güncel tutun.Bunun yanında eklenti ve temalarınızda güncel olsun.Kısacası güncelleme gelen tüm şeyleri direk güncelleyin.
-KARAKTER GÜCÜ:
WordPress kullanıcı adı ve şifrenizi rakam, özel karakter, büyük ve küçük harf içerecek şekilde oluşturun.Yani kullanıcınız kırılması zor bir şifreden oluşsun.
-VERSİYON BİLGİSİ:
WordPress versiyonunuzu gizleyiniz.Aksi taktirde daha kolay hedef olursunuz.Bunu kaldırmak için çok basit bir işlem yapabilirsiniz.Kullandığınız temada functions.php yani tema işlevleri kısmına gelip, en alta ya da en üste şu kodu eklemeniz gerekiyor:
-ADMİN KULLANICI ADI:
Admin kullanıcı adını silin arkadaşlar.Eğer direk bu şekilde bırakırsanız hekerın işini kolaylaştırmış olursunuz.
-WORDPRESS VERİ TABANI YERİ:
WordPress veritabanı bağlantı bilgilerinizin tutulduğu wp-config.php dosyanızın konumunu değiştirmenizi ve izin değerini 400 olarak ayarlamanızı öneririz. wp-config.php dosyanıza define(DISALLOW_FILE_EDIT, true); kodunu da ekleyin.
-VERİ TABANI YEDEĞİ:
Veri tabanınızın yedeğini belirli periyotlarla alın.Bunun için WP-DP-BACKUP gibi pluginleri kullanabilirsiniz.
-YANLIŞ GİRİŞ KISITLAMASI:
Yanlış girişleri kısıtlayın.Admin panelinde hekerlar tarafından yapılabilecek girişlere kısıtlama getirin.Bunun için Limit Login Attempts gibi pluginler kullanabilirsiniz.
-DOSYA İZİNLERİ:
Bu dosyaların izinlerini FTP programınızdan gösterilen şekilde uygulayın.
- README.HTML ERİŞİMİ:
Bu da yine versiyon kontrolü ile ilgilidir.Versiyonunuzu gizlenemeniz için bir yöntemdir.README.HTML dosyasında versiyonunuza erişebilirler.Bunun için bu dosyanın ismini değiştirin.Readme.html değil de readus.html gibi.
-PHP VERSİYON:
Bunu kaldırabilmeniz için .htaccess e gidip, şu kodu ekleyin:
- DATABASE ŞİFRENİZ:
WordPressi kurarken database şifrenizi çok güçlü bir şifre olarak ayarlayın.Database şifrenizi değiştirmek için cpanelden mysql ayarlarından yapabilirsiniz.
- display_errors İZİNLERİ:
Bu dosya php hatalarınızın görünmesine yarıyor.Bu dosya log kaydı yapmaktadır.wp-config.php dosyasında require_once fonksiyonunu aratın ve bir üst satırına şu kodu yapıştırın:
- SECRET KEY:
Bu siteye gidin https://api.wordpress.org/secret-key/1.1/salt/ wp-config dosyasında 45-52 satırları arasına siteden aldığınız kodu yerleştirin.
YARARLANDIĞIM BİRKAÇ KAYNAK:
mywebgal.com
keithdevon.com
cyberchimps.com
KAYNAK:
bugrahanisbakan.com
-GÜNCELLEMELER:
WordPress için en temel güvenlik önlemi güncellemelerdir.WordPress belli periyotlarla sürekli sürüm güncellemeleri yapar.Burada amaç wordpressdeki açıkları ve güvenlik zafiyetlerini kapatmaktır.Bu sebeple sizlerde sürekli wordpress sürümünüzü güncel tutun.Bunun yanında eklenti ve temalarınızda güncel olsun.Kısacası güncelleme gelen tüm şeyleri direk güncelleyin.
-KARAKTER GÜCÜ:
WordPress kullanıcı adı ve şifrenizi rakam, özel karakter, büyük ve küçük harf içerecek şekilde oluşturun.Yani kullanıcınız kırılması zor bir şifreden oluşsun.
-VERSİYON BİLGİSİ:
WordPress versiyonunuzu gizleyiniz.Aksi taktirde daha kolay hedef olursunuz.Bunu kaldırmak için çok basit bir işlem yapabilirsiniz.Kullandığınız temada functions.php yani tema işlevleri kısmına gelip, en alta ya da en üste şu kodu eklemeniz gerekiyor:
Kod:
function remove_version() { return ; } add_filter(the_generator, remove_version);-ADMİN KULLANICI ADI:
Admin kullanıcı adını silin arkadaşlar.Eğer direk bu şekilde bırakırsanız hekerın işini kolaylaştırmış olursunuz.
-WORDPRESS VERİ TABANI YERİ:
WordPress veritabanı bağlantı bilgilerinizin tutulduğu wp-config.php dosyanızın konumunu değiştirmenizi ve izin değerini 400 olarak ayarlamanızı öneririz. wp-config.php dosyanıza define(DISALLOW_FILE_EDIT, true); kodunu da ekleyin.
-VERİ TABANI YEDEĞİ:
Veri tabanınızın yedeğini belirli periyotlarla alın.Bunun için WP-DP-BACKUP gibi pluginleri kullanabilirsiniz.
-YANLIŞ GİRİŞ KISITLAMASI:
Yanlış girişleri kısıtlayın.Admin panelinde hekerlar tarafından yapılabilecek girişlere kısıtlama getirin.Bunun için Limit Login Attempts gibi pluginler kullanabilirsiniz.
-DOSYA İZİNLERİ:
Bu dosyaların izinlerini FTP programınızdan gösterilen şekilde uygulayın.
Kod:
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644- README.HTML ERİŞİMİ:
Bu da yine versiyon kontrolü ile ilgilidir.Versiyonunuzu gizlenemeniz için bir yöntemdir.README.HTML dosyasında versiyonunuza erişebilirler.Bunun için bu dosyanın ismini değiştirin.Readme.html değil de readus.html gibi.
-PHP VERSİYON:
Bunu kaldırabilmeniz için .htaccess e gidip, şu kodu ekleyin:
Kod:
Header unset X-Powered-By Header unset ServerWordPressi kurarken database şifrenizi çok güçlü bir şifre olarak ayarlayın.Database şifrenizi değiştirmek için cpanelden mysql ayarlarından yapabilirsiniz.
- display_errors İZİNLERİ:
Bu dosya php hatalarınızın görünmesine yarıyor.Bu dosya log kaydı yapmaktadır.wp-config.php dosyasında require_once fonksiyonunu aratın ve bir üst satırına şu kodu yapıştırın:
Kod:
ini_set(display_errors, 0);Bu siteye gidin https://api.wordpress.org/secret-key/1.1/salt/ wp-config dosyasında 45-52 satırları arasına siteden aldığınız kodu yerleştirin.
YARARLANDIĞIM BİRKAÇ KAYNAK:
mywebgal.com
keithdevon.com
cyberchimps.com
KAYNAK:
bugrahanisbakan.com
