WordPress Temel Güvenlik Ayarları

8
Wordpress Temel Güvenlik Ayarları
Wordpress Temel Güvenlik Ayarları

Bu yazımda, wordpress temel güvenlik ayarlarını yapacağız. WordPress sitenizin güvenliğinden şüphe duyuyorsanız veya wordpress ile yeni tanıştıysanız bu yazımda yer verdiğim temel güvenlik ayarları sayesinde sitenizi bir nebze güvende tutabilirsiniz. Unutmayın; WordPress oldukça güvenli bir yazılımdır, açık kaynak olması ve sürekli güncellendiği için zafiyetler sürekli giderilmektedir. Basit ve etkili yöntemler sayesinde wordpress sitenize temel güvenlik ayarlarını beraber yapacağız. Aklınızda soru işareti kalmaması adına yer bölümü detaylı bir şekilde anlattım. Sizde wordpress temel güvenlik ayarları yapmak istiyorsanız yazımın devamını mutlaka inceleyin.

Wordpress temel güvenlik ayarları
WordPress temel güvenlik ayarları

Eğer wordpress siteniz güvenli bir sunucuda veya hostingte barınmıyorsa ilk olarak sunucu tarafını halletmeniz gerekecektir. Bu yazımda ki wordpress temel güvenlik ayarlarını manuel olarak uygulayacağız. Güvenlik eklentilerini ve ayarlarına başka bir yazımda yer vereceğim.

WordPress Temel Güvenlik Ayarları

Temel güvenlik ayarlarına başlamadan önce; wordpress sürümünü, eklenti ve tema güncelleştirmelerini mutlaka takip edin, eğer bir güncelleme varsa kesinlikle güncellemeyi zamanında yapmanızı öneririm. Eski veya uzun süredir kullanılmamış eklenti ve temaları asla sitenize kurmayın. Olası bir zafiyet durumunda siteniz zarar görebilir veya etkilenebilir.

Wordpress temel güvenlik ayarları
WordPress temel güvenlik ayarları

WordPress PHP Raporlarını Devre dışı Bırakmak

WordPress üzerinde tema veya eklenti geliştiriyorsanız PHP raporlamasını mutlaka devre dışı bırakın. Geliştirdiğiniz yazılımda hatanın bulunmasını kolaylaştırabilir fakat raporlar kötü amaçlı kişilerin eline geçmemesi gerekiyor. Daha doğrusu PHP raporlamalarını herkese açık şekilde sunmak güvenlik ihlalidir. WordPress PHP raporlamasını kapatmak için sunucuya FTP ile bağlanın ve wp-config.php dosyanıza aşağıda ki kodları yerleştirin.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Null WordPress Tema ve Eklentilerini Kullanmayın

WordPress nulled tema veya eklentileri asla kullanmayın, kimse kimseye hayrına ücretli satılan bir temayı ücretsiz bir şekilde sunmaz! Evet, sitenize kuracağınız nulled (kırılmış, crack) tema veya eklenti çalışabilir fakat sitenizin geleceği için büyük risk taşımaktadır. Nulled; yani kırılmış yazılımların içerisinde sisteminizi bozacak zararlı kod parçacıkları veya shell olarak adlandırılan kötü amaçlı yazılım barındırır. Yapımcının emeğine saygı ve hakkı için kullanacağınız yazılımların mutlaka lisansını satın alın. Eğer, maddi durumunuz iyi değilse alternatif olan YAPIMCI TARAFINDAN ücretsiz dağıtılan temalara veya eklentilere yönelmenizde fayda var. Nulled (kırılmış) yazılımları kullanmak, wordpress sitenizin geleceğini ve güvenliğini tehlikeye sokacaktır. İnternet üzerinde bulunan ücretli yazılımın, null versiyonunu asla kullanmayın.

WordPress Güvenli Hosting Kullanımı

WordPress sitenizi kurarken mutlaka ilk adım olarak güvenli hosting seçmelisiniz. Çoğu wordpress sitelerinin hacklenmesi güvensiz bir sunucuda barındırılmasıdır. Hosting seçimi yaparken mutlaka ilgili firmayı ve hizmetlerini araştırmalısınız.

WordPress Yedek Alma / Oluşturma

WordPress yedek almak bir güvenlik ayarı değil fakat güvenlik önlemidir. WordPress sitenizde oluşabilecek herhangi bir sorun sitenizin geleceğini etkileyebilir. WordPress sitenizin yedeğini her gün veya her 2 günde bir almanızı şiddetle tavsiye ediyorum. Bir çok sitenin aniden kapanma sebebi yedek almamak veya alınan yedeği kaybetmektir. Sitenizin geleceğini ve güvenliğini önemsiyorsanız mutlaka belirli periyotlarla sitenizin TAM yedeğini alın ve bilgisayarınızın bir köşesinde tutun. Eski yedeklerinizi hemen silmemek sizin için faydalı olacaktır.

WordPress Dosya Düzenlemeyi Kapatmak

WordPress sitenizin yönetici bilgileri, kötü amaçlı kişiler tarafından ele geçirilirse veya kaba kuvvet saldırıları sonucunda elde edilirse, wordpress yönetici paneli üzerinden temanız da veya eklentileriniz de değişiklik yapmalarını engelleyebilirsiniz. Neden dosya düzenlemesini kapatacağız ? SADECE wordpress yönetici bilgileriniz ele geçirilmişse, FTP erişimi olmayacağından dolayı; panel üzerinden zararlı yazılım eklenmeye çalışılacaktır. Eğer wordpress dosya düzenlemesini kapatırsanız saldırganlar tarafından büyük ihtimalle zararlı yazılım, sitenize eklenmeyecektir. Peki wordpress dosya düzenlemesi nasıl kapatılır ?

Sunucuya FTP ile bağlandıktan sonra wp-config.php dosyanızın içerisine
define( ‘DISALLOW_FILE_EDIT’, true );
bu kodu ekleyip kaydetmeniz yeterli olacaktır.

Eski Tema veya Eklentileri Kaldırmak

Eğer sitenizde artık kullanmadığınız tema veya eklenti bulunuyorsa güvenlik önlemi için mutlaka kaldırmanızı öneriyorum. Özellikle sık sık güncellenmeyen eklentilere sahipseniz ve kullanmıyorsanız wordpress sitenizden bu eklentileri kaldırın. Oluşabilecek her hangi bir zafiyet durumunda etkilenmemiş olursunuz. Sunucuya FTP ile bağlandıktan sonra wp-content/themes – /plugins dizinlerinden direkt olarak kullanılmayan tema ve eklentileri silebilirsiniz.

WordPress Admin Panelini Erişime Kapatmak

WordPress admin panelini erişime kapatmak özellikle brute force (kaba kuvvet) saldırılarının önüne geçecektir. WordPress siteleri çoğunlukla kaba kuvvet saldırıları almaktadır. Bunun önüne geçmek wordpress güvenliğinizi arttıracaktır. Saldırganlar tarafından şifrenizin tahmin edilme veya sisteminizin yavaş çalışmasına son verin.
Wordpress admin paneli erişime nasıl kapatılır ? Bu bölümde .htaccess dosyasını kullanarak wordpress admin paneline sadece izin verdiğimiz IP adresine sahip kullanıcılar giriş yapabilecektir.

Htaccess veya başka bir dosya üzerinde değişiklik yapmadan önce mutlaka, değişiklik yapılacak olan dosyanın bir yedeğini bilgisayarınızda saklayın.

Htaccess dosyanıza, wordpress panelini erişime kapatmak için aşağıda ki kodu ekleyiniz.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Yonetici Paneli Erisim Kontrolu”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from IPADRESINIZ
allow from IPADRESI2
</LIMIT>

IP Adresinizi “allow from” alanlarına eklemeyi unutmayın.

WordPress Dizinlerde PHP Çalıştırılmasını Kapatmak

WordPress sitenizde olası bir zafiyet durumunda zararlı yazılımlar, saldırganlar tarafından genellikle chmod izinleri en yüksek olan dizinlere yüklenir. Bu klasörler nedir ? “başlıca; wp-content, uploads ve diğer klasörler” Olası bir zafiyet durumunda zararlı yazılım, sunucuya eklendiği zaman zararlı yazılım asla çalışmayacaktır. Yapacağımız bu güvenlik ayarı sayesinde wordpress dizinlerinde PHP çalıştırılmasını kapatacağız.

Örnek olarak; İlk önce, wordpress sitemizin bulunduğu sunucuya FTP ile bağlanıyoruz ve wp-content/uploads/ dizinine geçiş yapıyoruz.

Wordpress dizin php çalıştırmasını kapatmak
WordPress dizin php çalıştırmasını kapatmak

Ardından; uploads klasörü içerisine .htaccess dosyası oluşturuyoruz. (uploads klasörünüzde bulunuyorsa tekrar oluşturmaya gerek yok)

Wordpress dizin php çalıştırmasını kapatmak
WordPress dizin php çalıştırmasını kapatmak

Oluşturduğumuz .htaccess dosyasını düzenliyoruz.

Wordpress dizin php çalıştırmasını kapatmak
WordPress dizin php çalıştırmasını kapatmak

ve .htaccess dosyamıza aşağıda ki kodları ekliyoruz, kaydedip sunucumuza aktarıyoruz.

<Files *.php>
deny from all
</Files>

Wordpress dizin php çalıştırmasını kapatmak
WordPress dizin php çalıştırmasını kapatmak

Denemek için uploads klasörüme bir adet PHP dosyası oluşturdum ve yükledim. Uploads klasöründe oluşturduğumuz .htaccess dosyası sayesinde PHP çalıştırılmak istenildiğinde direkt olarak 403 forbidden hatasını karşımıza çıkarttı. Bu sayede diğer dizinlerde de PHP çalıştırılmasını önleyebilirsiniz. (WordPress PHP tabanlı bir yazılım olduğu için ve PHP altında çalıştığı için zararlı yazılımların dili PHP’dir)

Dikkat edilmesi gerekenler;
• Kesinlikle tema dosyasının içerisinde bu kodu eklemeyin. (Tema çalışmaz)
• Eklenti dizini içerisine eklemeyin. (Aynı şekilde eklenti çalışmaz)
• Ana dizinde bulunan .htaccess dosyanıza bu kodu eklemeyin. (site çalışmaz)
• WordPress dosyalarının bulunduğu dizinlere eklemeyin.

wordpress php çalıştırılmasını engellemek
wordpress php çalıştırılmasını engellemek

WordPress Açık Dizinleri Kapatmak

Açık dizinleri kapatmak ciddi bir güvenlik ihlali olmasa da dosyalarınızı herkese açık bir şekilde göstermemek daha iyi olacaktır. WordPress açık dizinler genellikle şunlardır:
• wp-includes
• wp-content/uploads ve /uploads içerisinde ki klasörler
wp-includes dizinini açık bırakmak, google botlarına da açık olacaktır(robots.txt ile engellenmediyse). Google botları bu dizini tararsa büyük ihtimal search console üzerinden erişim hataları yansıyacaktır. Açık dizinleri kapatmak için dizinlere boş index.html dosyası yükleyin.

wordpress dizin kapatma
wordpress dizin kapatma

WordPress WP-Admin Yolunu Değiştirmek

WordPress admin yolunu değiştirmek, sitenizde brute force (kaba kuvvet) saldırılarını kesin olarak engelleyecektir. WordPress admin yolunu Lockdown WP-Admin eklentisiyle değiştirin ve brute force saldırılarından kurtulun. Brute force saldırı hem sitenizi yavaşlatacaktır hemde tahmin edilmesi kolay bir şifre kullanıyorsanız risk oluşturacaktır. Brute force saldırılarından kurtulmak istiyorsanız, wordpress admin giriş yolunuzu herkese açık şekilde paylaşmayın. Ayrıca robots.txt dosyanızda bu yolu belirtmeyin.

WordPress Veritabanı Ön eki Değiştirmek

Veritabanı ve güvenliği, WordPress’in olmazsa olmazıdır. Basit güvenlik önlemleri sayesinde saldırganlardan kurtulabilirsiniz. Bu bölümde, wordpress veritabanı ön eki değiştirmeyi anlatacağım. Oldukça basit ve etkili bir önlemdir. WF açıklamalarına göre her 5 siteden 1’i SQL saldırılarına kurban gidiyor.

İlk olarak sitemizin wp-config.php dosyasını açalım. $table_prefix= karşılığında bulunan ön ek, veritabanımızda yer almaktadır. İlk olarak wp-config.php dosyasından ön eki, bulunması zor ve karışık bir şekilde düzenliyoruz, kaydedip tekrar FTP ile dosyayı yüklüyoruz.

Wordpress veritabanı ön eki değiştirme
WordPress veritabanı ön eki değiştirme

Phpmyadmin’e giriş yaptıktan sonra tüm tabloları seçiyoruz.

wordpress güvenlik önlemleri
wordpress güvenlik önlemleri

Ardından, Tablo ön ekini değiştir seçeneğini seçiyoruz.

wordpress veritabanı ön eki değiştirme
wordpress veritabanı ön eki değiştirme

Karşınıza böyle bir ekran çıkacaktır. “Buradan” alanına ilk veritabanı ön ekinin ismini yazıyoruz. “Buraya” alanına ise, wp-config.php dosyasına kaydettiğiniz ön eki yazın ve Devam butonuna tıklayın.

wordpress ön ek değiştirme
wordpress ön ek değiştirme

WordPress veritabanı ön ekini bu şekilde değiştirdik. Tahmin edilmesi ve bulunması zor olan ön ek tercih etmeniz her zaman daha iyidir.

Wordpress veritabanı ön ek
WordPress veritabanı ön ek

WordPress Hotlink Koruması

Sitenizde bulunan görsellere direkt olarak erişilmesini istemiyorsanız cPanel veya Plesk panel üzerinden Hotlink koruması işe yarayacaktır. Bu bölümü bonus olarak anlatacağım, görsellere veya diğer dosyalara direkt olarak erişmek güvenlik ihlali değildir. Hotlink korumasını etkinleştirmek, sitenizde bulunan görsellerin arama motorlarında çıkmamasına yol açabilir.

İlk olarak; kullandığınız hosting paneline giriş yapın. Hotlink butonuna tıkladıktan sonra böyle bir sayfa açılacaktır. Uzantılar kısmından, doğrudan erişime kapalı olacak dosya uzantılarını yazın. Örnek olarak: Yazınızın içerisinde ki görseller, yazı içerisinde gösterilecektir fakat URL ile doğrudan erişime kapalı olacaktır. Uzantıları girdikten sonra Gönder butonuna tıklayın ve hotlink korumasını etkinleştirin.

wordpress hotlink
wordpress hotlink

WordPress Güvenlik Ayarları

Bu yazımda, wordpress temel güvenlik ayarlarını öğrettim. Sonuç olarak; temel düzeyde wordpress sitemizin güvenliğini sağladık ve ufak çaplı saldırıların önüne geçtik. Kullandığınız her tema ve eklentiye güvenmeyin. WordPress sitenize kuracağınız her eklenti için 2 defa düşünün. WordPress siteleri büyük çoğunlukla eklentiler ve temalar üzerinden gerçekleşmektedir, uzun süredir güncellenmemiş ve yüklenme sayısı az olan eklentileri kullanmaktan kaçınmanızı öneririm. WordPress yazılımı açık kaynaklı olması ve sürekli geliştirildiği için güvenlik zafiyetleri en aza indirilmiştir. WordPress kaynaklı hacklenmeler çok düşüktür. Başka bir yazımda, wordpress ileri düzey güvenlik ayarları da anlatmış olacağım.

 

PAYLAŞ
Sonraki İçerikWordPress Adsense Eklentileri
Ben, Mehmet DEMİR. Üniversite öğrencisiyim, yaklaşık 4 senedir wordpress üzerine kendimi geliştiriyorum. Farklı projelerde yer aldım ve şuan kişisel web sitemde içerik üretiyorum. Web üzerine deneyimlerimi blogumda paylaşıyorum.

8 YORUMLAR

  1. WordPress siteme sürekli saldırı geliyordu. Hatta bir zamanlar dosyalarım tamamen silinmişti. Yazınızda paylaştığınız güvenlik ayarlarını yaptım ve sitem şuan gayet güvenli durumda. Ayrıca sitede bulunan çoğu dizinde php çalıştırılmasını engellediğim için shell yemeyeceğim. Size çok teşekkür ediyorum.

    • İlk olarak saldırının türü ve methodunu incelemek gerekir. Saldırının türüne ve boyutuna göre aksiyon alınabilir. Ufak tefek ddos saldırıları alıyorsanız cloudflare ile bu saldırıları temel düzeyde engelleyebilirsiniz.

  2. WordPress güvenlik ayarları ve önlemleri sayesinde saldırı alan sitemi korumuş oldum. Ayrıca, siteme log tutucu ekledim bu sayede sitemi sürekli izliyorum. WordPress güvenlik önlemlerini paylaştığınız için teşekkürler.

CEVAP VER

Please enter your comment!
Please enter your name here