Wordpress Güvenlik

Wordpress Güvenlik Önlemleri

Wordpress güvenlik önlemleri için biraz ‘Wordpress nedir?’ hatırlayalım mı…

Wordpress dünyadaki en popüler içerik yönetim sistemlerinden (CMS) birisidir. Ayrıca tüm internet sitelerinin %18.9’unu çalıştırır ve 76.5 milyonun üzerinde yüklenmiştir. Popüler olmanın ne yazık ki bazı eksileri de mevcuttur. Web site güvenliği konusunda uzman bir şirket olan Securi tarafından yayınlanan bir hack raporuna göre, Wordpress dünyada en fazla hacklenen CMS’dir. Bundan dolayı, rehberdeki bazı genel kuralları takip eder ve çeşitli püf noktaları uygularsanız, Wordpress güvenlik önlemleri konusunda büyük yol kat edebilirsiniz.

1 – Wordpress’i Güncel Tutma

Temiz ve zararlı yazılım içermeyen bir internet sitesi istiyorsanız, Wordpress’i güncel tutmalısınız. Basit bir tavsiye gibi görünsede, tüm Wordpress kurulumlarının sadece %22’si en son sürümü kullanmaktadır, eğer ki Wordpress güncellemesi nasıl yapılır bilmiyorsanız, bizimle iletişime geçebilirsiniz. Wordpress güvenlik önlemleri yapı taşlarından en önemlilerden biridir.

Adım 2 – Daha Az Yaygın Olan Giriş Bilgileri Kullanma

Wordpress Giriş Bilgilerini Doğru Kullanma
Wordpress Giriş Bilgilerini Doğru Kullanma

Wordpress kullanıcı adı olarak hala admin mi kullanıyorsunuz? Eğer ki cevabınız evet ise herhangi bir kişi yönetici panelinize rahatlıkla girebilir. Yönetici kullanıcı adını başka bir adla değiştirmeniz (nasıl yapacağınızı bilmiyorsanız bu rehbere göz atın) veya farklı bir yönetici hesabı oluşturarak eskisini silmeniz şiddetle tavsiye edilmektedir. Eğer ikinci seçeneği tercih ediyorsanız aşağıdaki adımları uygulayın:

  1. Wordpress Admin paneline girin
  2. Menü’den Kullanıcılar‘a tıklayın ve ardından Yeni Ekle sekmesini açın.
Yeni Wordpress Adı Oluşturma
Yeni Wordpress Adı Oluşturma

3. Yeni bir kullanıcı oluşturun ve yönetici rolü ekleyin.

Wordpress Yeni Kullanıcı Ekleme ve Rolü
Wordpress Yeni Kullanıcı Ekleme ve Rolü

4. Wordpress’e yeni kullanıcı adıyla giriş yapın.

5. Kullanıcı bölümüne geri dönün ve eski Admin kullanıcısını silin.

Wordpress'de Eski Kullanıcı Silme
Wordpress’de Eski Kullanıcı Silme

Şifre Wordpress güvenlik önlemleri konusunda çok önemli bir rol oynamaktadır. Rakamlar, büyük ve küçük harfler, özel karakterler içeren bir şifreyi ele geçirmek çok daha zordur. Wordpress kontrol panelinize güvensiz bir ağa (ör: kahve dükkanları, halka açık kütüphaneler vb.) bağlıyken giriş yapmak zorunda kalırsanız, giriş bilgilerinizi koruyacak güvenli bir VPN kullanmayı unutmayın.

Adım 3 – 2 Adım Doğrulama Etkinleştirme

İki-adım doğrulama, en az bir yerde bir kere kullanmış olabilirsiniz ve bu özelliğin ne kadar önemli olduğunu anlamışsınızdır. Peki niçin Wordpress’de kullanmayasınız?

Kulağa biraz karmaşık gelse de, Wordpress iki adım doğrulamayı etkinleştirmek oldukça kolaydır. Tüm yapmanız gereken 2 adım doğrulama uygulamasını yüklemek ve Wordpress’inizi ayarlamak.

Adım 4 – PHP Hata Raporlamayı Devre Dışı Bırakma

Web sitesi geliştiriyor ve herşeyin düzgün çalıştığına emin olmak istiyorsanız, PHP hata raporlama yardımcı olabilir ancak hataları tüm herkese göstermek ciddi bir güvenlik ihlalidir. Wordpress’de PHP hata raporlamayı kapatabilmek için kod bilgisine ihtiyacınız yoktur. Çoğu hosting sağlayıcı hata raporlama özelliğini kontrol paneli içerisinden kapatma seçeneği sunmaktadır eğer yoksa; wp-config.php dosyası içerisine aşağıdaki satırları ekleyin. wp-config.php dosyasını düzenlemek için FTP istemcisi veya dosya yöneticisi kullanabilirsiniz:

error_reporting(0);
@ini_set(‘display_errors’, 0);

Hata raporlama artık kapalı.

Adım 5 – Nulled WordPress Temaları Kullanmama

İnternette dolaşan binlerce nulled eklenti ve tema bulunuyor. Kullanıcılar bunları çeşitli sitelerden ücretsiz şekilde indirebiliyor. Çoğu zararlı yazılımlar ve siyah şapka SEO bağlantılarıyla doludur.

“Bedava peynir sadece fare kapanındadır” sözünü aklınızdan çıkarmayın. 

Nulled eklenti ve temalar kullanmayın. Bu etik olmadığı gibi aynı zamanda WordPress güvenliği açısından muazzam derecede zararlıdır.

Adım 6 – WordPress Zararlı Yazılım Taraması

Hackerlar, Wordpress’e zararlı yazılım bulaştırmak için eklenti veya temalardaki açıkları sıklıkla kullanırlar. Bu sebeple blog sitenizi sıklıkla taramak hayati önem arz ediyor. 

Wordfence zararlı yazılım taraması için en önemli ekletilerden biridir. Diğer popüler WordPress güvenlik eklentileri şöyledir:

  • BulletProof Security – WordFence’in aksine, BulletProof dosyalarınızı taramaz ancak bir güvenlik duvarı, veritabanı ve daha fazlasını sunar. Bu eklentinin en güzel yanlarından birisi de birkaç tıklamayla kurularak ayarlanabilir olmasıdır.
  • Sucuri Security – bu eklenti sizi DOS saldırılarına karşı korur, kara liste oluşturur ve internet sitenizde zararlı yazılımlara karşı tarama yaparak güvenlik duvarınızı yönetir. Eğer ki birşey tespit ederse, eposta ile bilgilendirme sağlar. Google, Norton, McAfee – tüm bu karaliste motorları bu eklentide bulunmaktadır.

Adım 7 – WordPress Sitenizi Daha Güvenli Bir Hosting’e Taşıma

WordPress sitenizi daha güvenli bir hosting hizmetine taşıtmalıdır. Bundan dolayı yeni bir hosting ararken aklınızda bulunması gereken birkaç kural şunlardır:

  • Eğer paylaşımlı hosting ise, hesabınızın diğer kullanıcılardan izole olduğuna emin olun ve bir sitenin sunucudaki diğerlerine zarar verme olasılığını sıfıra indirin.
  • Otomatik yedekleme özelliğinin olmasına dikkat edin.
  • Sunucu bazlı güvenlik duvarı ve virüs tarama aracı olduğuna emin olun.

Adım 8 – Olabildiğince Fazla Yedek Oluşturma

Yedek oluşturmanın çeşitli yolları vardır. Örneğin; Wordpress dosyalarını manuel olarak indirebilir, veritabanını yükleyebilir veya hosting firmanızın yedekleme aracını kullanabilirsiniz. Bir başka yöntemi ise WordPress eklentilerini kullanmaktadır. En popüler WordPress yedekleme eklentileri şöyledir:

  • VaultPress
  • BackUpWordPress
  • BackupGuard

Hatta WordPress yedekleme işlemini otomatik olarak yapabilir ve sitenizi Dropbox içinde yedekleyebilirsiniz.

Adım 9 – Dosya Düzenlemeyi Kapatma

Wordpress’in dahili dosya düzenleme aracı sayesinde PHP dosyalarını değiştirebiliyorsunuz. Bundan dolayı özellik kullanışlı olsa da bazı zararları olabilmektedir. Wordpress admin paneliniz ele geçirilirse bakınılan ilk şey dosya editörünüzdür. Bu yüzden bazı WordPress kullanıcıları bu özelliği tamamen devre dışı bırakmayı tercih ediyor. wp-config.php dosyasını düzenleyerek aşağıdaki satırı eklediğinizde bu özelliği kapatabilirsiniz:

define( 'DISALLOW_FILE_EDIT', true );

Dosya düzenlemeyi kapatmak bu kadar basit.

Adım 10 – Kullanılmayan Tema ve Eklentileri Kaldırma

Wordpress güvenlik önlemleri için Wordpress sitenizde temizlik yapın, ayrıca kullanılmayan tüm eklenti ve temaları kaldırın. Kullanmayı bıraktığınız eklenti ve temaları silerek Wordpress güvenliğini biraz daha arttırmış olursunuz. Sitenize saldırı düzenlemek isteyen biri eski temalarınızı tarayabilmekte ve admin panelinize erişim sağlayabilmektedir.

Adım 11 – Daha İyi WordPress Güvenliği İçin .htaccess Kullanma

Çoğu kullanıcı .htaccess dosyasının WordPress güvenliğini arttırmak için kullanılabileceğini bilmemektedir. Örneğin; .htaccess dosyasıyla belirli klasörler üstünde PHP çalıştırmayı devre dışı bırakabilir ve erişimi engelleyebilirsiniz. Aşağıdaki örnekler .htaccess dosyasını kullanarak WordPress güvenliğini nasıl arttırabileceğinizi gösteriyor.

Herhangi bir değişiklik yapmadan önce eski .htaccess dosyasının yedeğini almanız şiddetle tavsiye edilmektedir. Bunun için FTP istemcisi veya Dosya Yöneticisi kullanabilirsiniz.

1- Aşağıdaki kodu kullanarak WordPress yönetici bölümüne sadece belirli IP’lerden giriş izni verebilirsiniz.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

xx.xx.xx.xxx kısmını kendi IP adresinizle değiştirmeniz gerektiğini unutmayın. Eğer ki birden fazla IP kullanıyorsanız lütfen onları da ekleyin.

2- Saldırganlar WordPress upload klasörüne arka kapı scriptleri yüklemeyi severler. Varsayılan olarak bu klasör sadece medya dosyaları yüklemek içindir. Dolayısıyla herhangi bir PHP dosyası içermemesi gerekir. Aşağıdaki kurallarla /wp-content/uploads/ içinde yeni bir .htaccess dosyası oluşturarak PHP çalıştırma işlemini devre dışı bırakabilirsiniz:

<Files *.php>
deny from all
</Files>

3- wp-config.php dosyası WordPress ayarlarını ve MySQL veritabanı bilgilerini içerir. Bu sebeple en önemli WordPress dosyasıdır. Bu yüzden her WordPress hacker’ının başlıca hedefidir. Ancak bu dosyası aşağıdaki .htaccess kurallarını kullanarak kolayca koruyabilirsiniz:

<files wp-config.php>
order allow,deny
deny from all
</files>

Adım 12 – Varsayılan Wordpress veritabanı ekini değiştirerek SQL saldırılarını önleme

Wordpress veritabanı internet sitenizin çalışabilmesi için gerekli tüm bilgileri tutar ve depolar. Bu yüzden Wordpress kurulumu esnasında çoğu kişi varsayılan wp_ ekini değiştirmeye tenezzül etmez. WordFence‘e göre her 5 WordPress sitesinden 1 tanesi SQL saldırıları sebebiyle hackleniyor. Şimdi Wordpress sitenizi nasıl daha güvenli hale getirebiliriz, onun üzerinde duracağız.

Varolan bir WordPress sitesinin tablo ekini değiştirme

* WordPress MySQL veritabanınızın yedeğini almayı unutmayın.

1- – wp-config.php içindeki eki değiştirme

wp-config.php dosyasını bulmak için FTP istemcisi veya Dosya Yöneticisi kullanın ve $table_prefix  değerini arayın.

Rakamlar, harfler veya alttan çizgiler ekleyebilirsiniz. Ardından değişiklikleri kaydedin ve sıradaki adıma geçin. Biz bu rehberde yeni tablo eki olarak wp_1secure1_ kullanacağız.

wp-config.php dosyasındayken veritabanı adını da bulabilirsiniz ve böylece hangi veritabanını düzenlemeniz gerektiğini öğrenebilirsiniz. define(‘DB_NAME’ bölümünü arayın.

2- Tüm veritabanı tablolarını güncelleme

WordPress veritabanınızdaki tüm girdileri güncellemeniz gerekiyor. Dolayısıyla phpMyAdmin kullanarak gerçekleştirebilirsiniz.

Wordpress Veritabanları
Wordpress Veritabanları

 1’de yerini bulduğunuz veritabanını seçin ve açın.

Veritabanları
Veritabanları

Normal bir WordPress kurulumunda 12 tablo vardır ve her birinin güncellenmesi gerekir, ancak phpMyAdmin’deki SQL bölümü kullanılarak bu işlem hızlı bir şekilde yapılmaktadır.

Her bir tabloyu manuel olarak değiştirmek oldukça fazla zaman almaktadır. Bu yüzden SQL kullanarak işleri biraz hızlandıracağız. Aşağıdaki syntax’ı kullanarak veritabanınızdaki tüm tabloları güncelleyin.

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`;
RENAME table `wp_comments` TO `wp_1secure1_comments`;
RENAME table `wp_links` TO `wp_1secure1_links`;
RENAME table `wp_options` TO `wp_1secure1_options`;
RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`;
RENAME table `wp_posts` TO `wp_1secure1_posts`;
RENAME table `wp_terms` TO `wp_1secure1_terms`;
RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`;
RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`;
RENAME table `wp_users` TO `wp_1secure1_users`;

options tablosu için aşağıdakini kullanın:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE '%wp_%'

usermeta tablosu için aşağıdakini kullanın:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE '%wp_%'

SQL sorgu sonuçlarını aldığınızda tüm wp_ değerlerini yeni ayarlanmış olan ek ile güncelleyin ve işinizi tamamlayın. Ayrıca usermeta tablosu içinde meta_key alanını düzenlemeniz gerekiyor, options tablosunda ise option_name değeri değiştirilmelidir.

WordPress kurulum güvenliğini artırma

Yeni WordPress siteleri kurmayı planlıyorsanız, bu işlemi tekrar yapmanız gerekmez. Sadece Wordpress tablo ekini kurulum esnasında değiştirin.

WordPress güvenliğini arttırmak için uygulayabileceğiniz önemli ipuclarını bir araya getirdik. Umarım işinize yarar. Kolay gelsin !

Wordpress Danışmanı

Wordpress Danışmanı Markası TeknoWeb Yazılım ve Medya Şirketinin Bir Kuruluşudur. Teknoweb Yazılım & Medya ekibinin ilke aldığı kalite anlayışı diğer firmalar dan bir adım önde olmanızı sağlayacaktır. Bunun nedeni sürekli güncel kalarak son çıkan teknolojileri markanız ile buluşturmak ve bu teknolojileri anlamanızı sağlamak için verilen eğitimlerimizdir.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu