Artık hemen hemen her web site WordPress alt yapısını kullanmaktadır. Hal böyle olunca WordPress güvenliği de her şeyden önemli bir hal almaya başladı. Bu yazımızda bir kaç temel bilgi üzerinden hangi güvenlik adımlarının uygulanması gerektiğini paylaşacağız. Lafı daha fazla uzatmadan detaylara geçelim.
Bu Makalede Hangi Konular Var?
1Güncel Olmaktan Asla Vazgeçmeyin
Aslında en önemli güvenlik önlemi olmasına rağmen bir çok kişinin göz ardı ettiği bir adımdır. Çünkü WordPress sistemi sürekli kendini güncellemekte ve kullanıcıların ya da kendilerinin tespit ettiği tüm açıkları en kısa süre içerisinde çözüp güncelleme ile yayınlamaktadır. WordPress güvenliği için sadece bu kadarı da yetmez aynı zamanda güncel tema, eklenti, php sürümleri de gibi alanlarda güvenlik zafiyetinizin kapatılmasına yardımcı olacaktır.
2Tema ve Eklentilerinizde Bilinmeyen Kaynak Kullanmayın
3. kaynaklarda veya WordPress sisteminizin mağazasına binlerce yazılım bulunmakta. Fakat bu bölgelerde bulunan içeriklerin WordPress geliştiricileri pek bir alakası da yoktur. Bu yüzden herhangi bir tema veya eklenti yüklemeden önce detaylı bir incelemekte her zaman fayda vardır.
Mağazada bulunan içeriklerde çok fazla yükleme sayısı olmayan veya puanı ve yorumları kötü olan yazılımlardan uzak durmanızı tavsiye ediyorum. Alternatif olarak daha fazla indirme, olumlu puan ve yorumları bulunan içerikler sizler için daha az risk taşıyacaktır.
3. taraf kaynaklardan da kurulum yaparken dikkatli olmalısınız. Kesinlikle warez içerik kullanmayın. Çünkü warez içerikler 3. taraf kişilerin el atmasıyla oluşur ve içerisine yerleştirmiş olduğu küçük bir kod parçası bile WordPress güvenliğinizi tamamen yok edebilir. Bu sayede içerikleriniz dosyalarınıza erişmek için farkında olmadan bir backdoor oluşturabilirsiniz.
3Dosya İzinlerinizi Kontrol Altında Tutun
Dosyalarınızı ve verilerinizi güven altında tutmak ve kötü niyetli kişilerin bu alanlara erişimini kısıtlamak için aşağıda paylaşmış olduğumuz dosyaları ve klasörlerin izinlerini değiştirin. İzinleri değiştirmek/güncellemek için herhangi bir FTP programıyla bağlantı sağlayabilirsiniz.
| Dosya Adı | Sayısal Değer |
| Ana Dizin | 0755 |
| wp-includes | 0755 |
| wp-admin | 0755 |
| wp-admin/js | 0755 |
| wp-content | 0755 |
| wp-content/themes | 0755 |
| wp-content/plugins | 0755 |
| wp-admin/index.php | 0644 |
| wp-config.php | 0644 |
| .htaccess | 0644 |
4Yönetici Bilgilerinizi Paylaşmayın
Bu durumu artık paylaşmaya gerek var mı emin değiliz. Çünkü sizlerin kurulum ekranında belirlemiş olduğunuz yönetici hesabı tüm yetkilere sahip olduğunu hepimiz biliyoruz. Bu yüzden bu yetkiye sahip olan birinin web sitenizde neler yapabileceğini de hemen hemen hepimiz tahmin ediyoruz.
Yönetici şifrenizi kimseyle paylaşmayın. Ola ki paylaşmanız gereken bir durum oldu ana hesabınızın şifresini değil, yeni bir hesap oluşturduktan sonra yeni hesabınızın bilgilerini iletin. İşlem tamamlandıktan sonra hemen açmış olduğunuz yeni hesabı kaldırmayı (silmeyi) unutmayın.
5Güvenlik Eklentisi Kullanın
Bu adım her ne kadar isteğe bağlı da olsa bir güvenlik eklentisi kullanmakta her zaman fayda vardır. Piyasada bir çok güvenlik eklentisi mevcut. Dilediğinizi kullanabilirsiniz fakat bizlerin önerisi iThemes Security isminde olan eklentidir. Bu eklenti sayesinde WordPress güvenliğinizi daha artırabilirsiniz. Bu eklentinin bir çok özelliği mevcut fakat genel olarak sizlere önerebileceğimiz özellikleri şu şekildedir:
- wp-admin yolunu değiştirebilirsiniz.
- İstediğiniz IP adresini engelleyebilirsiniz.
- Çok fazla hatalı giriş yapma denemesi olduğunda kullanıcı veya botun belirlediğiniz sürece giriş yapmasını engelleyebilirsiniz.
- İki faktörlü kimlik doğrulamasını kullanabilirsiniz.
- Web sitenizin yüklü olduğu dosya dizinlerini takip edebilirsiniz. Takip esnasında dosyanızda hangi tarih ve saatte değişiklik yapıldığında tespit edebilirsiniz. Bu sayede sürekli kontrol sizlerin elinde olur.
Tabi ki tüm özellikleri bunlar değil biraz daha kurcalayarak diğer özelliklerini kullanabilirsiniz. İlk kurulum esnasında sizleri yönlendirme sağlamakta ve sizlere yardımcı olmaktadır.
6WordPress Versiyonunu Gizleyin
Bazı kullanıcılar WordPress sistemini güncellemeyi unutmakta veya uğraşmamaktadır. Genelde bu durum portfolyo ve firma tanıtım sitelerinde görünmektedir. Bu durumda WordPress güvenliği için versiyonunuzu mutlaka gizleyin. Çünkü verisyonunuzu bilen bir kötü amaçlı kişi versiyonunuzda açıktan yararlanarak içeri sızabilir. Tam tersi sürekli güncelleyen biri iseniz gizlemek ya da gizlememek tamamen sizlerin tercihidir.
WordPress versiyonunuzu gizlemek için, aşağıda paylaşmış olduğumuz kodu temanızın functions.php dosyasının en altına eklemeniz gerekmektedir.
remove_action('wp_head', 'wp_generator');
7En Önemli Dosyanızı Koruyun
Evet, sizlerin de tahmin edeceği üzere bu dosya wp-config.php dosyası. Çünkü bu dosya WordPress sisteminizin temel taşı. İçerisinde veritabanı, veritabanı kullanıcı adı ve şifresi, tablo ön eki gibi bilgileri bulundurmakta. Bu bilgilere ulaşan biri de her şeyinize ulaşmış demektir.
Güvenliğini sağlamak için bu dosyanızı herhangi bir şifreleme aracı ile şifrelemenizi önermekteyiz. Ioncube yine sizlere önerebileceğimiz metodların arasında yer almaktadır.
8PHP Hata Raporlamayı Kapatın
Her ne kadar WordPress güvenliği için göz ardı edilse de büyük tehditlere yol açabilirsiniz. PHP hata raporlamanın içerisinde dosya dizinlerinin yolu veya hatanın kaynağı gözüktüğü için kötü amaçlı kişiler için davetiye oluşturabilirsiniz. Tabi eğer geliştirici iseniz direkt bu adımı yok sayabilirsiniz.
PHP hata raporlamayı devre dışı bırakmak için de aşağıda paylaşmış olduğumuz kodu wp-config.php dosyasının içerisine ekleyin.
error_reporting(0);
@ini_set(‘display_errors’, 0);9Dosyalarınızı Zararlı Yazılım İçin Tarayın
WordPress sistemine hakimseniz ara ara dosyalarınızı incelemenizi tavsiye ediyoruz. Sizlerin de farkında olmadan saldırı olmuş olabilir veya dosyalarınızın arasına zararlı kodlar eklenmiş olabilir. Eğer böyle bir durum varsa WordPress güvenliğiniz tehlike altındadır.
Eğer ki bu konuda çok hakimiyetiniz yok ise sizlere Wordfence eklentisini tavsiye ederiz. Bu eklenti sizler için belirli periyotlarla veya sizlerin isteği doğrultusunda tarama yaparak sizlere koruma altında tutmaktadır.
10Yedek Alın
Geldik en önemli WordPress güvenliği adımına. Web sitenizin haftalık olarak yedeğini almaya özen gösterin. Özellikle bir işlem yapmadan önce mutlaka yedek alın. Olası aksi bir durumda geriye dönmenizi rahat bir şekilde yapabilirsiniz. Yedekleme işlemi için sizlere tavsiyem eklenti üzerinden değil direkt hosting üzerinden yedek almanız yönünde olacaktır. Bu sayede hosting firmanızın geri dönüşü de sizlerin geri dönüşü de daha rahat olacaktır.
Bu yazımızda WordPress güvenliğinizi nasıl sağlayacağız hakkında genel olarak bilgiler aktarmaya çalıştık. Bu işlemleri yaptığınız da %100 olarak güvenilirsiniz diyemeyiz ama en üst seviyede web sitenizi kullanmaya başlayabilirsiniz.