WordPress güvenliği ile ilgili çok fazla soru gelmekte , Tek tek cevap vermek zorlaşınca bir derleme haline getirmeye karar verdim , umarım faydalı olur.
1 – “admin” Yönetici Adını Kullanmayın.
WordPress 3.0 sürümünden sonra bu ismi değiştirme opsiyonunu artık sunmakta , öncelikle bunu değiştirmenizi öneriyorum , tahmin edersiniz ki bir sitenin wordpress olduğunu öğrendikten sonra ilk yaptığımız şey “admin” kullanıcısı için şifre denemektir. Bunu değiştirmemiz, bu denemelerin başarıya ulaşmasını kesmek için etkili bir başlangıç olacaktır.
Eğer WordPress 3.0 dan önceki versiyonu kullanıyor iseniz ki ben asla tavsiye etmiyorum , bu durumda muhtemelen hosting kontrol paneliniz üzerinden PhpMyadmin e erişebiliyorsunuz , phpmyadmin üzerinden veritabanınızda aşağıdaki sql sorgusunu çalıştırmanız “admin” k.adınızı değiştirecektir , phpmyadmin üzerinde bilgili olanlar ise direkt olarak wp_users tablosundan admin ismini bulup editleyebilirler.
UPDATE wp_users SET user_login = 'yeni_belirleyeceğiniz_isim' WHERE user_login = 'admin';2- Güçlü Şifreler Kullanın
Çoğu kullanıcı çok basit şifreler kullanmakta ve basit bir brute-force tekniği ile yönetici panellerine ulaşılabilmekte , bu sebeple güçlü ve komplex şifreler kullanmanızı öneriyorum.
Güçlü şifreleri kolayca oluşturmak için aşağıdaki bağlantıyı kullanabilirsiniz.
3- Secret Key Kullanın
WordPress 2.6 dan sonra gelen bir özellik , wp-config dosyanıza tanımladığınız anahtarlar ile cookilerinizi şifrelemektedir. Burada çok uzun bir anahtar girebilirsiniz , akılda tutmanıza da gerek yoktur. Dilerseniz her refresh te rastgelen atanan keylerin olduğu http://api.wordpress.org/secret-key/1.1/ adresindeki anahtarları, olduğu hali ile wp-config dosyanızda kullanabilirsiniz.
4- WordPress Güncellemelerini Kaçırmayın
Her zaman wordpress in son sürümü ile çalışın , hem wordpress i , hem kullandığınız eklentileri sürekli paneliniz üzerinden güncelleyin. WordPress bu konuda çok başarılıdır.
5- .htaccess ile wp-config Dosyanızı Koruyun
wp-config dosyası, wordpress için en önemli bilgileri saklayan dosyamızdır. Bu dosyanın dışarıdan erişilebilir olmasını istemeyiz , aksi durumda veritabanı bilgilerimizi kötü niyetli birilerinin eline teslim etmiş olabiliriz.
Bu dosyayı korumak için .htaccess dosyalarından yararlanabiliriz , Kök dizininiz için bir .htaccess dosyası oluşturun ve içine aşağıdaki kodu girin , hepsi bu kadar.
<files wp-config.php>
order allow,deny
deny from all
</files>6- WordPress Versiyonunuzu Gizleyin
Bilindiği üzere wordpress sitelerde , browser da kaynağı görüntüleme işlemi yaptımızda wordpress versiyonumuzu görebiliriz , eğer son sürüm wordpress kullanıyor iseniz bunun şimdilik bir riski bulunmamaktadır fakat daha eski bir versiyon kullanıyor iseniz bu hackerlar için çok büyük bir öneme sahiptir , hemen bu versiyon ile ilgili açıkları üzerinizde denerler. Kapatmak için en pratik yol kullandığınız temanın functions.php isimli dosyasında uygun bir alana aşağıdaki kodu girip browserda testini yapınız.
remove_action('wp_head', 'wp_generator');Devamı geliyor..
Güvenli wordpress hosting için bu linkteki linux hosting paketlerini tercih edebilirsiniz.
Ayhan Arda
Bir yanıt yazın