{"id":466,"date":"2012-09-16T20:52:44","date_gmt":"2012-09-16T18:52:44","guid":{"rendered":"http:\/\/www.ayhanarda.com\/blog\/?p=466"},"modified":"2012-09-24T23:10:39","modified_gmt":"2012-09-24T21:10:39","slug":"wordpress-guvenlik-onerileri","status":"publish","type":"post","link":"https:\/\/www.ayhanarda.com\/blog\/2012\/09\/wordpress-guvenlik-onerileri\/","title":{"rendered":"WordPress G\u00fcvenlik \u00d6nerileri"},"content":{"rendered":"

WordPress g\u00fcvenli\u011fi ile ilgili \u00e7ok fazla soru gelmekte , Tek tek cevap vermek zorla\u015f\u0131nca bir derleme haline getirmeye karar verdim , umar\u0131m faydal\u0131 olur.<\/p>\n

1 – “admin” Y\u00f6netici Ad\u0131n\u0131 Kullanmay\u0131n.<\/strong><\/h2>\n

WordPress 3.0 s\u00fcr\u00fcm\u00fcnden sonra bu ismi de\u011fi\u015ftirme opsiyonunu art\u0131k sunmakta , \u00f6ncelikle bunu de\u011fi\u015ftirmenizi \u00f6neriyorum , tahmin edersiniz ki bir sitenin wordpress oldu\u011funu \u00f6\u011frendikten sonra ilk yapt\u0131\u011f\u0131m\u0131z \u015fey “admin” kullan\u0131c\u0131s\u0131 i\u00e7in \u015fifre denemektir. Bunu de\u011fi\u015ftirmemiz, bu denemelerin ba\u015far\u0131ya ula\u015fmas\u0131n\u0131 kesmek i\u00e7in etkili bir ba\u015flang\u0131\u00e7 olacakt\u0131r.<\/p>\n

E\u011fer WordPress 3.0 dan \u00f6nceki versiyonu kullan\u0131yor iseniz ki ben asla tavsiye etmiyorum , bu durumda muhtemelen hosting kontrol paneliniz \u00fczerinden PhpMyadmin e eri\u015febiliyorsunuz , phpmyadmin \u00fczerinden veritaban\u0131n\u0131zda a\u015fa\u011f\u0131daki sql sorgusunu \u00e7al\u0131\u015ft\u0131rman\u0131z “admin” k.ad\u0131n\u0131z\u0131 de\u011fi\u015ftirecektir , phpmyadmin \u00fczerinde bilgili olanlar ise direkt olarak wp_users tablosundan admin ismini bulup editleyebilirler.<\/p>\n

<\/a>Source code<\/a><\/td><\/a> <\/a> <\/a> <\/td><\/tr><\/table><\/div>
UPDATE<\/span> wp_users SET<\/span> user_login =<\/span> 'yeni_belirleyece\u011finiz_isim'<\/span> WHERE<\/span> user_login =<\/span> 'admin'<\/span>;<\/pre><\/div><\/div>\n
2- G\u00fc\u00e7l\u00fc \u015eifreler Kullan\u0131n<\/strong><\/h2>\n
<\/strong>\u00c7o\u011fu kullan\u0131c\u0131 \u00e7ok basit \u015fifreler kullanmakta ve basit bir brute-force tekni\u011fi ile y\u00f6netici panellerine ula\u015f\u0131labilmekte , bu sebeple g\u00fc\u00e7l\u00fc ve komplex \u015fifreler kullanman\u0131z\u0131 \u00f6neriyorum.<\/p>\n
G\u00fc\u00e7l\u00fc \u015fifreleri kolayca olu\u015fturmak i\u00e7in a\u015fa\u011f\u0131daki ba\u011flant\u0131y\u0131 kullanabilirsiniz.<\/p>\n
G\u00fc\u00e7l\u00fc \u015eifre Olu\u015fturucu<\/a><\/p>\n
3- Secret Key Kullan\u0131n<\/strong><\/h2>\n
WordPress 2.6 dan sonra gelen bir \u00f6zellik , wp-config dosyan\u0131za tan\u0131mlad\u0131\u011f\u0131n\u0131z anahtarlar ile cookilerinizi \u015fifrelemektedir. Burada \u00e7ok uzun bir anahtar girebilirsiniz , ak\u0131lda tutman\u0131za da gerek yoktur. Dilerseniz her refresh te rastgelen atanan keylerin oldu\u011fu http:\/\/api.wordpress.org\/secret-key\/1.1\/<\/a> adresindeki anahtarlar\u0131, oldu\u011fu hali ile wp-config dosyan\u0131zda kullanabilirsiniz.<\/p>\n
<\/p>\n
4- WordPress G\u00fcncellemelerini Ka\u00e7\u0131rmay\u0131n<\/strong><\/h2>\n
Her zaman wordpress in son s\u00fcr\u00fcm\u00fc ile \u00e7al\u0131\u015f\u0131n , hem wordpress i , hem kulland\u0131\u011f\u0131n\u0131z eklentileri s\u00fcrekli paneliniz \u00fczerinden g\u00fcncelleyin. WordPress bu konuda \u00e7ok ba\u015far\u0131l\u0131d\u0131r.<\/strong><\/p>\n
5- .htaccess ile wp-config Dosyan\u0131z\u0131 Koruyun<\/strong><\/h2>\n
wp-config dosyas\u0131, wordpress i\u00e7in en \u00f6nemli bilgileri saklayan dosyam\u0131zd\u0131r. Bu dosyan\u0131n d\u0131\u015far\u0131dan eri\u015filebilir olmas\u0131n\u0131 istemeyiz , aksi durumda veritaban\u0131 bilgilerimizi k\u00f6t\u00fc niyetli birilerinin eline teslim etmi\u015f olabiliriz.<\/p>\n
Bu dosyay\u0131 korumak i\u00e7in .htaccess dosyalar\u0131ndan yararlanabiliriz , K\u00f6k dizininiz i\u00e7in bir .htaccess<\/strong> dosyas\u0131 olu\u015fturun ve i\u00e7ine a\u015fa\u011f\u0131daki kodu girin , hepsi bu kadar.<\/p>\n
<\/a>Source code<\/a><\/td><\/a> <\/a> <\/a> <\/td><\/tr><\/table><\/div>
<<\/span>files wp-<\/span>config.php><\/span>\norder allow,<\/span>deny\ndeny from all\n<\/<\/span>files><\/span><\/pre><\/div><\/div>\n
6- WordPress Versiyonunuzu Gizleyin<\/strong><\/h2>\n
Bilindi\u011fi \u00fczere wordpress sitelerde , browser da\u00a0 kayna\u011f\u0131 g\u00f6r\u00fcnt\u00fcleme i\u015flemi yapt\u0131m\u0131zda wordpress versiyonumuzu g\u00f6rebiliriz , e\u011fer son s\u00fcr\u00fcm wordpress kullan\u0131yor iseniz bunun \u015fimdilik bir riski bulunmamaktad\u0131r fakat daha eski bir versiyon kullan\u0131yor iseniz bu hackerlar i\u00e7in \u00e7ok b\u00fcy\u00fck bir \u00f6neme sahiptir , hemen bu versiyon ile ilgili a\u00e7\u0131klar\u0131 \u00fczerinizde denerler. Kapatmak i\u00e7in en pratik yol kulland\u0131\u011f\u0131n\u0131z teman\u0131n functions.php<\/strong> isimli dosyas\u0131nda uygun bir alana a\u015fa\u011f\u0131daki kodu girip browserda testini yap\u0131n\u0131z.<\/p>\n
<\/a>Source code<\/a><\/td><\/a> <\/a> <\/a> <\/td><\/tr><\/table><\/div>
remove_action(<\/span>'wp_head'<\/span>,<\/span> 'wp_generator'<\/span>)<\/span>;<\/span><\/pre><\/div><\/div>\n
Devam\u0131 geliyor..<\/p>\n
G\u00fcvenli wordpress hosting<\/a> i\u00e7in bu linkteki linux hosting<\/a> paketlerini tercih edebilirsiniz.<\/p>\n
Ayhan Arda<\/p>\n
\"Share<\/a>