WordPress Güvenlik Ayarları
WordPress Güvenlik Ayarları hakkında araştırma yapmanız internet üzerinde 60 milyondan fazla wordpress sitenin olmasından mı acaba ? Evet wordpress günümüzde 60 milyondan fazla web sitesi tarafından kullanılıyor. Bunun nedenini bir çok faktorle anlatmak mümkün. Suan okudugunu yzaılarda wordpress bir web sayfasına aittir. Bloglar, kurumsal siteler hatat e-ticaret platformları dahi wordpress tercih ediyor. WordPress’in bu kadar popüler hale gelmesine katkıda bulunan en önemli faktor faktör kurulum kolaylığıdır. Kolay kurulum dısında pek çok tema, uzantı ve diğer eklentiler mevcuttur, dokümantasyon ve yardım kaynakları çok fazladır. Anca bu gibi durumların yanınd agüvenlik açıkları hack olaylarının dane çok görüldügü sistemlerden birsidir. Web sayfanızı hacklemeye çalışan korsanlar genelde bilgi çalma amaçlı değildir. Web siteniz üzerinden spam mail gönderimi yapmak yada farklı sitelere saldırı yapmak için sisteme sızmaktadır. wordpress sirketinin güvenlik önlemleri için kendi sundugu bir linki sizinle paylaşıyorum. WordPress güvenlik ayarları için http://codex.wordpress.org/Hardening_WordPress adresini inceleyebilirsiniz.
5 kolay adımda WordPress’i güvenli hale getirin
1- WordPress güvenligi için ilk olarak admin hesaplarını korumanızdır. admin kullanıcısı yada admin yetkilerine sahip kullanıcı hesaplarının şifrelerini güçlü belirleyin. Belirlediginiz şifrede Büyük küçük harf, rakam ve özel karakter olmasına dikkat etmelisiniz. En az 8 karakterli şifre vermeniz tavsiye edilir.
2- En önemli konulardan birisi güncellemedir. Sistemi süreki güncel tutmalısınız. WordPress versiyonu dısında yüklediginiz plugin tema vb. tüm eklentleri sürekli güncel tutmanızda fayda vardır. WordPress otomatik güncelleme için wp-config dosyanıza aşagıdaki satırı ekleyin.
define( ‘WP_AUTO_UPDATE_CORE’, true );
3- Saldırganlar, WordPress sitelerini tarar, yüzlerce giriş isteği gönderir, ortak kullanıcı adı / şifre kombinasyonlarını araştırır. Tüm WordPress hesaplarınızdaki iyi şifreler muhtemelen saldırıları engelleyebilir, ancak bu saldırılar sitenizi aşırı yükleyebilir ve kullanıcılarınız için performansı düşürebilir. Bu gibi saldırıları engellemek için .htracces ile alınan bie güvenlik önlemi var. Bu önlem ile sistem daha güvenli hale gelecek ve saldırılarda CPU kullanımı minimize edilmiş olacaktır. Yapmanız gereken işlemler;
- /home/kullanıcı/public_html/ dizininde .htpasswd şeklinde bir dosya oluşturmalısınız.
- .htpasswd dosyasının içerisine kullanıcı adı ve şifre şeklinde md5 ile oluşturulmuş şifreyi yazmalısınız. htpasswd dosyasını oluşturmak için http://www.htaccesstools.com/htpasswd-generator/ adresini kullanabilirsiniz.
admin:$apr1$0YVedS.$L/hkQlbmx/5DfvI7uQzcs/
- Sonrasında wordpress .htacces ile saldırı engellemek için .htaccess dosyasına aşagıdaki kodu eklemelisiniz. AuthUserFile kısmındaki dizini kendinize göre ayarlamalısınız.
<FilesMatch “wp-login.php”>
AuthName “Authorized Only”
AuthType Basic
AuthUserFile /home/kullanıcı/public_html/.htpasswd
require valid-user
</FilesMatch>
4- Xmlrpc.php dosyasını saldırıdan koruyun. WordPress sitelerde wp-login.php için geçerli olabilecek kısıtlamalardan kaçınmanın yanı sıra xmlrpc.php, saldırganların brute force saldırısı dedigimi kullanıcı adı ve şifre denemeleri aynı sekilde bu dosya içinde geçerlidir. Saldırganlar Xmlrpc.php dosyasını diger sitelere atack yapmak için kullanırlar. Bu salırı tipi Pingback saldırısı olarak bilinir. Xmlrpc.php devre dısı bırakmak için bir çok eklenti vardır. Bu eklentileri görmek için https://wordpress.org/plugins/search/disable+xml-rpc/ adresini ziyaret edebilirsiniz.
5- Web Uygulama Güvenlik Duvarı’nı yükleyin. WAF kurulumu oldukça basit fakat basınızı bir cok beladan kurtarabilecek potansiyeli olan yazılımsal firewall sahibi olursunuz. WAF, web sitenize gelen trafiği inceler ve kötü amaçlı istekleri belirlemeye ve engellemeye çalışır. Çoğu güvenlik önlemi gibi, bu firewall yazılımıda her derde deva değildir. Çünkü her zaman her illegal hareketi algılayamayabiliyor. Ancak bir çok konuda sizleri savunacaktır. Xmlrpc’yi devre dışı bırakıp çalıştırmadığınıza bakılmaksızın bir WAF kullanmak iyi bir fikir olarak görünüyor.
WordPress Güvenlik Eklentileri
WordPress Güvenlik Ayarları için Ekstradan kurabileceginiz güvenlik eklentileri (Plugin) ve aktif etmeniz gereken servisler aşagıdaki gibidir;
1- Wordfence
2- Jetpack
3- ModSecurity
4- Cloudflare Pro
WordPress, web sitelerinizi yayınlamak için harika bir platformdur. Web sayfanız için güvenlik önerilerini izleyerek, güvenlik açısından en çok wordpress kullanıcılarından önde olabilirsiniz ve sitenizin tehlikeye girme şansını önemli ölçüde düşürebilirsiniz. Faydalı olması dilegiyle.