itelerimden biri salağın biri tarafından heklendikten sonra, bende wordpress sitemi nasıl korurum diye bir arayışa girdim. Oldukça da fazla makaleye rastladım ama bunların çoğu dağınık haldeydi. Bende hem kendi uyguladıklarımı, hemde başka sitelerden derlediklerimi buraya toparlamaya karar verdim.
WordPress sitenizi yada farklı bir sistemde çalışan web sitenizi korumanın ilk kuralı sağlam bir hosting firması ile çalışmaktır. Merdiven altı imalathaneler gibi şimdi birçok kişi bireysel olarak barındırma hizmeti veriyor. İşi bilmeyen profesyonellikten uzak bu firmalar ile kesinlikle çalışmayın. İsim ve ün yapmış firmaları tercih edin.
Çalıştığınız hosting firmalarının sizin yerinize yedek alması da lehinize olur. Seçim yaparken bunu göz ardı etmeyin. Örneğin benim çalıştığım firma her iki günde bir, barındırma hizmeti verdiği tüm hesapların tam yedeğini alarak başka bir sunucuda saklıyor. Her hangi bir olumsuz bir durumda anında geri dönüş sağlanabiliyor. Örneğin geçenlerde yanlışlıkla bu sitenin veritabanını silmiştim. Bir telefon ile geri yüklettim ve kaldığım yerden sorunsuzca devam ettin.
Eğer sisteminiz wordpress ise, kurulum sırasında tablo ön eki olan wp_ kısmını mutlaka değiştirin. İhtiyacınız yok ise üye alımını kapatın. WordPress kurulumundan hemen sonra wp-config-sample.php ve admin klasörü içinde yer alan install.php dosyalarını silin. Bunun amacı, bir hek durumunda tekrar kurulumu önlemektir. Ardından tüm dizinlerde boş bir index dosyası olmasına dikkat edin. Böylece bir dizin ismini adres çubuğuna yazan biri, dizin içerisinde yer alan dosyaları göremez Ayrıca FTP ile çalışırken işiniz bittiğinde ana dizinin chmod değerini 311 yaparak tüm dosyaları gizleyebilirsiniz. Tekrar göstermek istediğinizde 711 yapabilirsiniz.
WordPress için oluşturulan ilk hesap olan admin hesabını mutlaka silin. Yerine başka bir kullanıcı adı ile oturum açın. Ve mutlaka güçlü şifre kullanın. Ayrıca ilk girişte çıkan hata mesajını aşağıdaki kodu kullanarak silin.
HTML:
add_filter(login_errors,create_function($a, return lisanssız;));WordPress sitenizin sistem dosyalarının chmod değerlerine mutlaka özen gösterin. Bazı eklentiler bazı dosyaların okunabilir (chmod: 777 ) olmasını isteyebilir. O an için okunabilir yapsanızda, kurulumdan hemen sonra tekrar düzenleyin. Bir wordpress dosyalarının chmod değerleri aşağıdaki gibi olmalıdır.
HTML:
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644
HTML:
# .htaccess dosyasına erişimi engelle
<files .htaccess>
order allow,deny
deny from all
</files>
# sunucu imzasını kaldır
ServerSignature Off
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000
# wpconfig.php dosyasına erişimi engelle
<files wp-config.php>
order allow,deny
deny from all
</files>
# wp-load.php dosyasına erişimi engelle
<files wp-load.php>
order allow,deny
deny from all
</files>
# dizin listelemeyi iptal et
Options All -IndexesAyrıca wp-config dosyamızı şifreleyebiliriz. Bunun için ionCube, Zend Guard veya en basiti ve ücretsiz olan phpr.org sitesindeki aracı kullanabilirsiniz. Eğer ioncube ile şifrelemek isterseniz ki bu en güvenilir şifreleme yöntemidir, önce ionCube sitesine üye oluyorsunuz. Sonra kredi yüklemek için ödeme yapıp (minimum 5$ = 10 dosya) kredinizin yüklenmesini bekliyorsunuz. Krediniz yüklenince Encode (Şifrele) sayfasına gidiyor ve şifrelemek istediğiniz dosyayı gönderiyorsun. Dosya şifrelenip size geri veriliyor. Verilen dosyayı sitenize koyup direk kullanmaya başlayabiliyorsunuz.
Ayrıca WordPress güvenliği için eklentide kullanabiliriz.
Login Lockdown eklentisi ile wordpress giriş denemelerini sınırlandırın. Böylece heker olmayan biri sizin kişisel bilgilerinizden yola çıkıp tahminler yaparak sitenize giriş yapamaz. Ayrıca Secure WordPress eklentisini kullanarak bir dizi güvenlik önlemi ile artı bir koruma sağlayabilirsiniz. Peki Secure wordpress eklentisi ne yapar.
* Giriş sayfasındaki hata bilgilendirmesini kapatır
* Plugin dizinine index.php dosyasını kayıt eder
* Yönetici alanı haricinde WordPress versiyon numarasının kaldırır
* Really Simple Discoveryyi kaldırır
* Windows Live Writeri kaldırır
* Yöneticiler haricindeki kullancılar için çekirdek güncelleme bilgilerini kaldırır
* Yöneticiler haricindeki kullancılar için eklenti güncelleme bilgilerini kaldırır
* Yöneticiler haricindeki kullancılar için tema güncelleme bilgilerini kaldırır(sadece WP 2.8 ve üstü için)
* Yöneticiler haricindeki kullancılar için Başlangıç sayfasındaki wp versiyonunu gizler
* Kötü soguları engeller
Tüm bu anlattıklarım sitenizi tamamı ile korumaz. Hırsıza kilit dayanmaz misali iyi bir heker ne yapar eder sitenize dalar. Ama şu an piyasada çok görünen ve kendini bir bok sanan (ki hakaten boktur bunlar) zibidiler için önlemizini almış olursunuz.
kaynak