Wordpress, dünyanın en çok kullanılan CMS sistemidir. Üzerine yapılmış binlerce tema, eklenti ve birçok yardım kaynağı bulabilirsiniz.Fakat her sistemde üzerine düşüldüğünde açık bulunması muhtemeldir. WordPress’in popüler olması ve ücretsiz olması, site hackleme işleri ile uğraşan kişilerce cazip hale gelmesinin en önemli nedenlerinden biridir. Sitenizi güvende tutmanız için aklıma geldikçe geliştireceğim bir başlık oluşturmak istedim. Eğer bunları gerçekleştirirseniz sitenizin güvenliğini sağlamış olursunuz.
WordPress kurulumuyla birlikte gelen temaları görünüm kısmından silin. Ayrıca mümkün olduğunca tema klasörünüzde sadece kullandığınız tema olsun. WordPress’in orjinal temaları bazı açıklar barındırabiliyor. Bu nedenle kötü niyetli kişilerin site dizininize ordanda sunucunuza sızması bile mümkün olabiliyor.
Eknot: WordPress büyük sürümlerde gelen yeni temaları da silmeyi unutmayın.
Geçenlerde Warezden indirdiği temayı kullanan bir müşterimin başına wordpress mobil hack gelmişti. Detaylı incelediğimde base64 ile şifrelenmiş kodların temanın javascript dosyasına eklendiği gördüm. Ayrıca SQL injection ile veritabanında birçok alana sızmış ve müşterinin mobil platformunda bulunan cookie’leri ele geçirmişti. Temanın fiyatı ise 39 dolar. Bu fiyatta kaçtığı için 2 günlük bir uğraş sonucu sitedeki zararlı kısımlar temizlendi ve site eski haline geldi.
Bu nedenle siz siz olun, parasını verin alın. Yada WordPress’in ücretsiz sunduğu temaları kullanın (WordPress tema dizininde bulunan ve yeni güncellenmiş temaları tercih edin).
Sitenize ekleyeceğiniz eklentiler, WordPress eklenti dizininde bulunmalı, yeni güncellenmiş olmalı ve binlerce kişi tarafından kullanılmış olmasına dikkat edin. Aslında burda yeni eklenmiş eklentilere biraz ayıp etmiş olacağım fakat önemli olan güvenliğiniz değil mi ?
Tavsiyem, eğer admin kullanıcı adı ile kurulum yaptıysanız kullanıcı adınızı değiştirin, yazılarınızı oluşturacağınız 2. bir kullanıcıdan girin, yönetimi kısıtlayıcı eklentiler kurun ve sadece sitede değişiklikler gerçekleştireceğinizde asıl yönetici hesabından erişerek sitenizde gerekli değişiklieri gerçekleştirin yazılarınızı oluşturduğunuz 2 hesaptan yazmaya özen gösterin.
Mobil telefonunuza indireceğiniz Google tarafından geliştirilen Google Authenticator uygulamasını kurun, ardından WordPress dizininde bulunan Google Authenticator eklentisini indirip kurun, profil kısmından 2 adımda doğrulamayı aktif edin. Ayrıca ihtiyacınız olabilir diye resimli olarak aktardığımız “WordPress 2 Adımda Doğrulama Nasıl Yapılır ?” başlıklı içeriğimize göz atabilirsiniz.
Kurulumda öneki değişikliği yapmadıysanız ve wp_ şeklindeyse mutlaka tablo önekini değiştirin. Eğer mevcut sitenizde bu değişikliği gerçekleştirecekseniz WP-Optimize eklentisini tavsiye ederim, saniyeler içerisinde tablo önekiniz değişecektir.
.htaccess sitenizin kalbidir aslında. Bu dosyaya erişebilen bazı eklentileri sitenize kurduğunuzda eğer zararlı bir kod içeriyorsa açıkcası sitenizi artık başkası yönetiyor demektir. Bu nedenle bu dosyanın yedeğini alıp içerisine aşağıdaki kodu ekleyin.
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>Böylece wordpress için önemli olan config dosyası ve load dosyanızı da güvenli hale getirmiş olacaksınız.
Eklentilerin bulunduğu klasörleri güvenli hale getirin. boş index.php veya index.html dosyası oluşturun ve wp-content > plugins > eklenti adı şeklinde FTP hesabınıza bağlanarak eklenti dizinlerine atın. Her klasöre atmaya özen gösterin