WordPress dünyada en çok kullanılan güncel, içerik yönetim sistemi yani CMS olduğunu biliyorsunuzdur. Popüler olmanın internet ortamında bir hedef olduğu geçmişten günümüze kadar aşikardır. Bugün popülerliğini hızla arttıran cms yazılımımıza wordpress güvenlik önlemlerinden bahsedeceğim.

Ne Kadar Az Eklenti O Kadar Optimizasyon ! 

İlkesini benimsemiş birisi olarak zorunlu kalmadıkça eklenti önermiyorum. Her neyse hemen wordpress güvenlik önlemlerinin en büyük adımı kişisel güvenliğiniz ile başlayalım.

1 – KİŞİSEL GÜVENLİĞİNİZİ ALIN: 

Evet siz hacklenirseniz size ait olan her şey hacklenir.. Kısaca bilgisayarınız ya da telefonunuz trojan, keylogger gibi zararlı yazılımlardan korunmalıdır. 2 Adımlı doğrulamayı her yerde kullanmaya özen gösterin. Bilgisayarınız da ve telefonunuz da kesinlikle antivirüs programı yüklenmelidir. Bu maddeyi fazla detaylandırmayacağım girersek çıkamayız 🙂 Kısacası en iyi antivirüs sizin kendiniz olduğunu unutmayın yeter.

2 – WORDPRESS YAZILIMINI SÜREKLİ GÜNCEL TUTUN:

WordPress üzerinde her gün yeni exploitler ( sistemsel açıklar ) piyasaya çıkıyor. WordPress bunu engellemek ve kendini geliştirmek için sürekli güncelleme gönderiyor.

Admin panelinize giriş yaptıktan sonra Başlangıç > Güncellemeler diyerek güncel olmayan ögeleri görebilir ve güncelleyebilirsiniz.

3 – 2 ADIMLI DOĞRULAMA KOYUN:

Benim kullandığım eklenti olan Google Authenticator ile kullanıcı adınızı ve şifrenizi bilseler dahil admin panelinize kimse sızamaz. Eklentiyi kullanmak için telefonunuza Authenticator uygulamasını indiriyorsunuz ve Google Authenticator eklentisini entegre ederek kullanıyorsunuz. Yani telefonunuz olmadan kimse panelinize giremez. Tabi hem telefonu hem şifrelerinizi çaldırmazsanız 🙂

4 – WORDPRESS ADMİN PANELİNİN YOLUNU DEĞİŞTİRME:

Admin panelinize girmek için kullandığını siteadresiniz.com/wp-admin ya da wp-login.php yi değiştirmenizi öneririm kesinlikle.

.htaccess ile eklenti olmadan da önceden çok rahatlıkla admin panelini değiştirebiliyorduk. Fakat htaccess ile panel değiştirdiğimizde çok kolay bulunabiliyor. Bunun için en güvenli ve en çok tercih edilen wordpress admin panelinin yolunu değiştirme eklentisi olan WPS Hide Login kullanmanızı tavsiye ediyorum.

5 – WORDPRESS wp-config.php ( DATABASE ) DOSYASINI SAKLAMA:

Ana dizinde (public_html) bulunan wp-load.php dosyası var. Ftp ya da cpanel ile bağlanıp wp-load.php dosyasını editleyebiliriz.



 if ( file_exists( ABSPATH . ‘belirlediginizdosyayolu/wp-config.php’) ) {

/** The config file resides in ABSPATH */
require_once( ABSPATH . ‘ ‘belirlediginizdosyayolu/wp-config.php ‘ );

} elseif ( file_exists( dirname(ABSPATH) . ‘ ‘belirlediginizdosyayolu/wp-config.php ‘ ) && ! file_exists( dirname(ABSPATH) . ‘/wp-settings.php’ ) ) {

/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . ‘ ‘belirlediginizdosyayolu/wp-config.php /wp-config.php’ );

 


belirlediginizdosyayolu” kısmını siz wp-config.php nereye attıysanız öyle değiştirmelisiniz.

İşlem bu kadar wp-config.php yolunu değiştirmiş oluyorsunuz. Böylelikle hackerların sizin database bilgilerinize ulaşmasını engelliyorsunuz.

Bu işlem %100 güvenlik tabi ki sağlamaz fakat karşı tarafın işini oldukça zorlaştıracaktır.

6- WORDPRESS SÜRÜMÜNÜ GİZLEME:

WordPress sürümünüzü sürekli güncel tutmanız gerektiğini söylemiştik. Ama sürüm güncellediği an itibari ile saniyesinde sürümünüzü güncelleyemeyeceğinizden dolayı WordPress Sürümünü Gizleme işlemini kesinlikle yapmanızı tavsiye ederiz. Şöyle ki bir çok exploit-açık çıktığında wordpress belli sürümlerinde çıkar. Bunu saldırgan göremezse sitenize saldırı yapacağı yollardan bir tanesini kesinlikle kapatmış olacaksınız.

Functions.php Bulmak İçin Cpanel Ya Da Ftp’den : public_html/wp-content/themes/kullandıgınıztemaismi/functions.php

Kullandığınız temanın içerisinde functions.php dosyası vardır onu açarak şu kodları eklemeniz wordpress sürümünüzü gizleyecektir.


function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

 

7- DOSYA DÜZENLEMEYİ KAPATMA:

WordPress sitelerin admin yetkilerinde dosya düzenleme default olarak açık gelir. Yani admin panelinize sızan birisi istediği dosyaya zararlı yazılım ( shell, backdoor vs ) bırakabilir. Böylelikle sisteminizi gerçekten hacklemiş olacaktır. Bunun önüne geçmek için wordpress dosya düzenlemeyi kapatmanızı şiddetle öneriyorum.

Database bilgilerinizin bulunduğu wp-config.php dosyasına aşağıda verdiğim kodları eklediğinizde admin panelinize sızılsa dahil Görünüm > Tema Düzenleyici ya da Eklenti Düzenleyici kısımlarında dosya editlemesi – yani dosya düzenlenmesi tamamen kapanacaktır.


define( 'DISALLOW_FILE_EDIT', true );

8- XML-RPC’Yİ DEVRE DIŞI BIRAKMA:

XML-RPC, HTTP’nin bir tür taşıma-iletme mekanizmasını ve XML’nin kodlama mekanizması şeklinde çalışarak veri transferine imkan tanıyan bir wordpress yazılımının özelliğidir. Kısacası BRUTE FORCE ( kaba kuvvet ) saldırısına olanak sağlayan bir köprüdür. Bunu engellemek için devre dışı bırakılması şarttır.

Disable XML-RPC eklentisi ile xml-rpc’yi eklenti ile devre dışı bırakabilirsiniz.

2. Yol ise .htaccess dosyasına verdiğim kodlarınızı ftp ya da cpanel aracılığıyla eklerseniz de kapanır.


# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Genel hatlarıyla bunları yapmanızı öneriyorum. Peki bu kadarla sınırlı mıdır WordPress Güvenlik Önlemleri diyecek olursanız tabi ki hayır.. Kısaca bunların dışında wordpress güvenliği için şunları da yapmanızı tavsiye ediyorum.

  • Nulled yani kaçak-crackli wordpress temaları ve eklentileri asla kullanmayın.
  • Güvenilir hosting kullanmanızı öneriyorum.
  • PHP sürümünüzü sürekli güncel tutunuz.
  • Olabildiğince fazla yedek almaya çalışın.
  • Kullanılmayan tema ve eklentilerinizi kaldırın.
  • HTTPS protokolüne geçiş yapın. ( Cloudflare ile ücretsiz ssl konuma bakabilirsiniz )
  • WordPress Güvenlik Eklentilerini kullanabilirsiniz.

Umarım en çok hacklenen ama en güvenlikli diyebileceğim CMS sistemi olan WordPress siteleriniz hiçbir zaman hacklenmez 🙂

WordPress güvenlik konusunda daha detaylı bilgi için benimle iletişime geçebilirsiniz.