WordPress Güvenlik Önlemleri

WordPress Güvenlik Önlemleri

Gün geçtikçe gelişen ve öğrenen insanlar kendilerine rakip olarak gördükleri kişilerin web sitelerine saldırılar yaparak bazı açıklar elde etmeye çalışmaktadır. Bu durumda sitesini kurup hiçbir güvenlik önlemi almayan kişiler, hosting firmalarının da yeterince güvenli olmadığını düşünürsek büyük bir tehlike altındalar diyebiliriz.

Tehlike olarak tabir ettiğimiz şeyler nedir bununla devam edelim. Örneğin sitenizde hosting açığı, eklenti açığı veya temanıza sonradan eklenen bir kod açığı ile sitenize sızan kişiler tüm içeriğinizi silebilir veya sizin haberiniz olmadan kendi sitenize bağlantılar vererek sizin emeğinizle kendi sitesini arama motorlarında üst sıralara bile taşıyabilir. Hatta daha kötüsü sitenize ekleyeceği kodlarla sizi tamamen arama motorlarından silebilir.

İşte bu yüzden herkes sitesini açıp yazısını yazıp şöyle bir kenara geçip rahat etmemelidir. İlk olarak hostinginizle görüşüp siteniz eğer paylaşımlı bir sunucuda barındırılıyorsa bunu paylaşımsız bir sunucuya taşıtmak olsun. Daha sonra dosya güvenliği gelmekte.

WordPress Dosya Güvenliği

WordPress’te en önemli dosya wp-config.php dosyasıdır. Çünkü bu dosya veritabanınızla bağlantı kurulan ve veritabanı bilgilerinin yer aldığı dosyadır. Bu bilgilerin başka birinin ele geçirmesi tüm veritabanını ortadan kaldırabilmesi anlamına gelir. Böyle bir durumda siteniz veritabanı hatası verir ve tüm içeriğinizi silmiş olabilir. Veya en çok rastlanan sorun olan sitelerin index.php dosyasının içeriğini değiştirmek. Veritabanı bilgilerinizi bilen bir kişi temanızın index.php dosyasını değiştirebilir hatta tüm temanızın içeriğini bile değiştirip farklı bir wordpress tema yükleyebilir.

Peki bu durumda ne yapılacak?
1- İlk yapılması gereken FTP’nizdeki dosya izinlerini tekrar kontrol etmeniz ve aşağıdaki gibi ayarlamanız olması lazım.

Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

2- İkinci öncelikli yapılması gereken ise wp-config.php dosyasının içeriğini şifrelemenizdir. Eğer sürekli saldırı alan veya bu tür sızmalar yaşıyorsanız tüm şifrelerinizi ve hatta veritabanı şifrenizi değiştirdikten sonra wp-config.php dosyasını ionCubeZend Guard ile şifrelemek en güzel çözümdür. En kolay ve hızlı yöntem İoncube ile şifrelemek diyebiliriz çünkü web siteleri üzerinden hesabınıza kredi yükleyip basit bir kaç işlemden sonra dosyalarınızı şifreleyebilirsiniz. Tabi bu şifre kırılamaz mı diyecek olursanız, evet kırılabilir imkansız bir şey değildir. İonCube ile şifrelenmiş bir içerik neredeyse aşağıdaki gibi görünecektir.

Başka ne gibi önlemler alınabilir?

Yukarıda yazdıklarımızın haricinde wp-config.php dosyasının bulunduğu dosyayı değiştirmek de işe yarayabilir. Bunun içinde wp-config.php dosyasının tanımlandığı wp-load.php dosyasını bulup içerisindeki wp-config.php yolunu bularak taşıma yaptığınız klasör adını bu yolun başına eklemek olacaktır. Örneğin wp-config.php dosyasını wp-content klasörü içine aldıysanız wp-load.php dosyasında bulunan wp-config.php uzantısını wp-content/wp-config.php olarak düzenlemeniz lazım.

wp-load.php dosyası içinde değiştirilmiş olan kod aşağıdaki gibi olacaktır.

if ( file_exists( ABSPATH . 'wp-content/wp-config.php') ) {
   /** The config file resides in ABSPATH */
   require_once( ABSPATH . 'wp-content/wp-config.php' );
} elseif ( file_exists( dirname(ABSPATH) . '/wp-content/wp-config.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {
   /** The config file resides one level above ABSPATH but is not part of another install*/
   require_once( dirname(ABSPATH) . '/wp-content/wp-config.php' );

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Themetf