Merhaba değerli okur, WordPress son yılların en gözde ve en çok kullanılan içerik yönetim sistemi olmaya devam ediyor. Özellikle Woocommerce geliştirmesi ile birlikte sadece blog, haber tarzı değil artık alışveriş siteleri oluşturma konusunda da liderler arasında yerini alıyor.
Bu kadar yaygın olarak kullanılan içerik yönetim sistemi olması nedeniyle tabii ki çok sayıda güvenlik zafiyeti oluyor. Aslında Wodpress’te yer alan güvenlik açıklarının %90’ı eklentiler üzerinden gerçekleşmektedir. Hemen hemen tüm temalar çalışmaları için bazı eklentilere ihtiyaç duyuyorlar, özellikle Woocommerce temaları 10dan fazla eklentiyle çalışıyor.
EKLENTİLERİ GÜNCEL TUTUN
WordPress güvenlik açıklarının %90’ı eklenti kaynaklı olması nedeniyle, eklentinin yeni güncellemelerini sık sık yapın. Eklentiyi güncel tutmaya özen gösterin. Yeni gelen güncellemelerin %70’i ek bir özellik geldiği için değil, keşfedilen güvenlik zafiyetini kapatmak içindir. Özellikle Slider eklentilerinde güvenlik açıkları daha yaygın görülmektedir.
EKLENTİ YORUMLARINI SIKI TAKİP EDİN
Eğer ki çok popüler olmayan bir eklenti kullanıyorsanız. WordPress.org’da yer alan eklentinin yorumlarını kesinlikle kontrol edin. Sizin gibi kullanıcılar mevcut açıkları bu yorumlarda dile getirecektir. Sizde yorumlara bakarak var olan açıklar hakkında gerekli önlemleri alabilirsiniz.
WORDPRSS DİZİN GÜVENLİĞİ
Bu güvenlik tedbiri sadece WordPress için değil tüm içerik yönetim sistemleri için aynıdır. Dizinlere erişimleri kısıtlamanız gerekir. Rastgele verilen erişim izinleri veya taşıma sonrasında değişen erişim izinleri nedeniyle büyük güvenlik zafiyetleri ortaya çıkmaktadır. Burada dikkat çekmek istediğim nokta site taşıması sonrası çıkan dizin izinleri sıkıntısı. WordPress siteyi başka bir host, sunucu, vpn ya da her neyse aktardığınızda dizin izinlerinde sorun çıkabiliyor.
Ana dizin (root directory) : 0755 wp-includes/ : 0755 wp-admin/ : 0755 wp-admin/js/ : 0755 wp-content/ : 0755 wp-content/themes/ : 0755 wp-content/plugins/ : 0755 wp-admin/index.php : 0644 .htaccess : 0644 wp-config.php : 0644
.htaccess DÜZENLEMELERİ
.htaccess düzenlemeleri WordPress’in olmazsa olmaz güvenlik önlemlerinden birisidir ve yapmanız şiddetle tavsiye edilir. Aşağıda size verdiğim kodları .htaccess dosyasının en alt satırından itibaren ekleyin. WordPress siteler hacklendiğinde wp-load ve xmlrpc php dosyalarına genelde kodlar şifrelenerek sızdırılır. Bu iki dosyaya eklenen kodlar tüm siteye eklenmiş gibidir. Bu nedenle aşağıdaki verdiğim kodlar sayesinde bu php dosyalarına erişimleri kısıtlayabilirsiniz.
# .htaccess dosyasına erişimi engelle bilgedefteri.net <files .htaccess> order allow,deny deny from all </files> # sunucu imzasını kaldır ServerSignature Off # dosya yükleme boyutunu 10mb ile sınırlandır LimitRequestBody 10240000 # wpconfig.php dosyasına erişimi engelle <files wp-config.php> order allow,deny deny from all </files> # wp-load.php dosyasına erişimi engelle <files wp-load.php> order allow,deny deny from all </files> # xmlrpc.php dosyasına erişimi engelle <Files xmlrpc.php> order deny,allow deny from all </Files> # dizin listelemeyi iptal et Options All -Indexes
PHP EXECUTİONLARI ENGELLEME
Bazı dizinlerdeki php dosyalarının çalışmasını engellememiz gerekir. Siteniz hacklendiğinde gereksiz dizinlere php dosyaları yani shell yüklenir. Bu yüklenen dosyalar sayesinde site genelinde hatta sunucu genelinde adam at koşturabilir. Bunu engellemek için önemli iki dizinde php dosyalarının çalışmasını engelliyoruz.
Hemen bilgisayarınızda masaüstüne .htaccess adında bir dosya oluşturun ve bu dosyaya aşağıdaki kodları ekleyin.
<Files *.php> deny from all </Files>
oluşturduğunuz ve yukarıdaki kodları eklediğiniz .htaccess dosyasını sitenin wp-content/uploads ve wp-includes dizinlerine yükleyin. Bu sayede bu iki dizinde php dosyası çalıştırılmayacaktır. Bu dizinde zaten php dosyalarının çalışmasına ihtiyaç yoktur.
WORDPRESS SÜRÜMÜNÜ GİZLEMEK
WordPress sürümlerine meydana gelen güvenlik zafiyetleri, lamer/hacker grupları arasında sürekli paylaşılır. Bazı güvenlik açıkları sadece belirli WordPress sürümlerinde çalışmaktadır. Bu nedenle sitenize saldırmak için gelen kullanıcının ilk öğrenmek isteyeceği olay sitenizde hangi WordPress sürümünün kullanıldığını öğrenmek olacaktır. Sitenizin WordPress sürümüne göre bildiği güvenlik açıklarını deneyecek ve sitenizi hacklemeye çalışacaktır. Bu nedenle tema klasörü içerisinde yer alan functions.php dosyasına aşağıdaki kodu ekliyoruz.
remove_action('wp_head', 'wp_generator');
GÜVENLİK EKLENTİLERİNİ KULLANMA
WordPress sitelerde en yaygın kullanılan güvenlik eklentileri
- Wordfence
- iThemes Security
- Sucuri Security
- All in One WP Security & Firewall
Yukarıda belirttiğim güvenlik eklentilerinden birini kullanmanızı şiddetle tavsiye ederim. Her ne kadar siteyi yavaşlatıyor gibi görünse de, şifre deneme sayısı limitleme, hatalı şifre girişi limitleme veya kullanıcı adı arama gibi bir çok işlemi devre dışı bırakan bu güvenlik eklentilerini kullanmanızı şiddetle tavsiye ederim.
Sağlıcakla kalın.
Yorumlar