Etiket arşivi: güvenlik

WordPress’i Güvenli Hale Getirmek İçin 4 Adım

WordPress dünyanın en popüler CMS haline geldi. Çok popüler olduğu için, web siteniz için kullanıyorsanız WordPress güvenliğini artırmanın daha bir nedeni olur. Çoğu kişi, sayfalarının kendisini nasıl daha güvenli hale getireceğini anlar, ancak önemli dosyalara ve klasörlere erişimi sınırlandırarak WordPress sitenizin güvenliğine odaklanmıyorsanız o zaman hala risk altındasınız. Bunu yapmak için WordPress’te kendiniz herhangi bir değişiklik yapmayacaksınız, bunun yerine WordPress’in bir sunucuda nasıl çalıştığı ve kullanıcıların dosyalarına ne kadar eriştikleri değiştiriliyor.

ADIM: WP-INCLUDES KLASÖRÜNE ERIŞIMI SINIRLAMA

WordPress siteleri, her biri kendi benzersiz URL’lerine sahip bir dizi dosya ve klasörden oluşur; bu, birisi, sitenizi çalıştıran hassas dosyalara erişebilecekleri veya değiştirebilecekleri doğru URL’yi yazacak olsaydı. Bu tür bir saldırı için en yaygın hedeflerden biri wp-includes klasörüdür. Bu nedenle, güvenlik güçlendirmek ve bu tür tehditleri önlemek için sunucu yapılandırma dosyasına bazı ek kodlar ekleyeceğiz. Bu işi bitirdiğimizde, bu dosyalara erişmeye çalışan herkes geri yönlendirilir.
Başlamak için sitenizin .htaccess dosyasını açmak isteyeceksiniz. Bunu herhangi bir metin editöründen yapabilirsiniz, önemli değil, çünkü yaptığımız tek şey dosyaya küçük bir kod parçası eklenmesi. Dosyanın zaten WordPress tarafından üretilmiş bir koda sahip olduğunu göreceksiniz. İlk kod satırlarından birinde, yazan bir satır bulacaksınız # BEGIN WordPress. Doğrudan bu kodun üstünde, wp-includes klasörüne erişimi kısıtlayarak sitenin savunmalarını güçlendirecek ek kod satırlarını ekleyeceğiz.

# Blocking web access to the wp-includes folder
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

Ardından, dosyayı sunucuya yeniden yüklemeniz yeterlidir ve işlem tamamlanmış demektir. Değişiklikler burada küçük olsa da, sitenizin savunmalarında büyük bir etkisi olabilir. WordPress’in gelişmiş işlevlerinin birçoğu wp-includes klasörü içerisinde yer aldığından, bilgisayar korsanlarının peşinden gitmesi için büyük bir hedeftir. Bu değişiklikler uygulandığında, kullanıcılar bu klasöre erişmeye çalıştıklarında otomatik olarak sitenizin ön sayfasına yönlendirilirler.

 

2. ADIM: WP-CONFIG.PHP’YI KORUMA

WordPress güvenliğini güçlendirmek için atacağımız bir sonraki adım, wp-config.php dosyasına erişimi sınırlamaktır. WordPress sitenizi ilk kez oluştururken wp-config.php dosyasında bulunan bir veritabanı adı, kullanıcı adı, şifre ve tablo öneki oluşturmanız gerekiyordu. Bu dosyayı korumak istemenizin nedeni, WordPress’in veritabanıyla konuşması gereken bilgileri içermesi ve uzun vadede sitenizi kontrol etmesidir.

Wp-config.php dosyanızı korumak için birkaç basit adımı atmanız yeterlidir. Öncelikle .htaccess dosyasını tekrar açmak istiyoruz. Sonra, aşağıdaki kod snippet’ini kopyalayıp adım 1 ile yaptığımız gibi. Htaccess dosyasına yapıştırmak isteyeceğiz.

# Blocking web access to the wp-config.php file
<files wp-config.php>
order allow,deny
deny from all
</files>

Son olarak, dosyayı kaydedin ve yeniden yükleyin.

ADIM 3: .HTACCESS DOSYASININ KENDISINI SAVUNMAK

1. ve 2. adımlarla görebileceğiniz gibi, .htaccess dosyası, WordPress sitenizi kötü niyetli dış tehditlerden korumak için özeldir. İşte bu adımda .htaccess dosyasını kendimiz koruyacağız, böylece bilgisayar korsanlarının halihazırda koyduğumuz korumaları kaldırmalarını önlemiş oluyoruz.

Bunu yapmak için yine .htaccess dosyasını açacağız. Sonra, aşağıdaki kodu mevcut koda ekleyin.

# Securing .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

Bu basit eklemeyle .htaccess dosyanız dış tehditlerden korunmaktadır.

4. ADIM: DOSYA DÜZENLEYICI ERIŞIMINI KALDIRMA

Son adım için, bilgisayar korsanlarının elini alt edebilecekleri en yıkıcı araçlardan birine erişimini inkar edeceğiz: WordPress gösterge tablosundaki Editör. Yararlı, ancak tehlikeli olabilecek tema dosyalarınızı düzenlemenizi sağlar. Kendiniz dışındaki bir kişi buna erişirse, kodunuzu değiştirebilir ve sitenizi kırabilir.

Bu proje ile Editörü WordPress kontrol panelinden kaldırıyoruz. Dosyaya WordPress ile erişmektansa, Site bütünlüğü için daha iyi olan FileZilla gibi bir ftp istemcisiyle erişmenizi öneririm.

Bu yüzden, öncelikle wp-config.php dosyasını açmak istiyoruz. Bir kere açık kaldıkça, kodun sonuna gideceğiz, burada “Herşey bu, düzenlemeyi bırak!” Metnini bulacaksınız! İyi bloglamalar.” . Bu metinten hemen önce dosyayı tamamen WordPress’den kaldırmak için aşağıdaki kodu ekleyeceğiz.

define(‘DISALLOW_FILE_EDIT’, true);


Kodu ekledikten sonra, dosyayı kaydedin ve sunucuya yeniden yükleyin. 
Artık WordPress siteniz, sitenize erişen ve kodu idare etmeye çalışan herkesin güvenindedir.

SITENIZIN GÜVENDE OLDUĞUNU ÖĞRENIN

Bütün bu adımları izlerseniz, sitenizin daha güvenli olması gerekir. Bilgisayar korsanlarının sitenizi yayınlamak için önemli olan dosyalara erişim miktarını azaltarak, WordPress sitenizin genel güvenliğini arttırmış olursunuz.