Bildiğiniz üzere Wordpress kullananlar oldukça arttı ve artmasıyla birlikte hackerlar WordPress’de hack yollarını ve güvenlik açıklarını bulmaya başladılar. Ben de bunu önlemek ya da daha da zorlaştırmak için birkaç uyarı ve eklenti topladım. Buyrun, umarım işinize yarar;
- İlk olarak wp-config.php cmod ayarını ftpden 644 yapın (cmod: 644)
- Ftpnizde bulunana hiçbir dosyayı cmod 777 veya 666′de unutmayın
- wp-content/themes/temanız içine girin özellikle index.php olmak üzere cmod 644 yapın.
- Cmod ayarları bittikten sonra ikinci güvenlik olarak wp-admin dosyasının içine girin aşağıda içinde bulunan .htaccess dosyasını wp-admin klasörünün içine atın.
- # BEGIN WordPress
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 21.454.879.984
# whitelist work IP address
allow from 21.454.879.984
allow from 21.454.879.984
# IP while in Kentucky; delete when back
allow from 99.123.123.546
- # END WordPress
- Bu kodun içindeki ip adresinizi kendi ip adresiniz yazabilirsiniz. Güvenlik amacı ile ip adresi herhangibir sayılardan oluşmaktadır. Bu kodu wp-admin klasörünün içine koyduğunuz http://www.siteadı.com/wp-admin sayfasına girilemeycektir. Eğer sizde giremiyorsanız yazı ekleyeceğiniz vakit ftpden .htaccess kodunu (.htac1cess) farklı bir yazıya çevirseniz wp-admin paneline girebilirsiniz.
- Gelelim en önemli hususa congif.php’ye cpanel şifrenizi girmeyin.
- Phpmysql den başka bir kullanıcı adı ve şifre yaratarak wp-congif adresine bu kullanıcı adını ve şifreyi yazın.
Bazı dizinlerin boş olması sisteminize özel bilgilerin, kendi günlüğünüze özgü düzenlediğiniz WordPress yazılımınızın ve diğer size özel bilgilerin ele geçirilmesine yol açabilir, bu durum sisteminize özel güvenlik açıklarının keşfedilmesine ve sisteminize zarar verilmesine yol açabilir, bu yüzden /wp-content/plugins dizininin içine index.html isimli bir dosya oluşturup içerisine herhangi birşeyler yazın veya boş bırakın, buna dizin içeriği listeleme koruması diyoruz..
Ana dizindeki header.php dosyasında bulunan;
<meta name=”generator” +++++++++”WordPress ” />
bölümündeki kısmını silerseniz potansiyel saldırganların, kullandığınız WordPress sisteminin sürümünü öğrenmeleri güçleşir, böylece sürüm numarasını baz alarak bulunan güvenlik açıklarını bulup sisteminizde kullanmalarını güçleştirmiş olursunuz.
- WordPress’in en güvenli sürümü, en güncel sürümdür. Eğer eski sürümleri kullanıyorsanız güvenlik açıklarını kapatmak için sürümü güncelleyin.
- Sitenizde wordpress kullanıyorsanız kaynak kodları içinde kullandığınız wordpress’in sürümünü görebilirsiniz. Siz görüyorsanız sitenizle ilgilenen insanlarda görecektir. Bu sürümü kaldırmak kötü niyetli kişilerin siteniz üzerindeki kötü emellerini yok edebilir. Bunun için yapmanız gereken, sitenizin header şablonunda bulunan ve wordpress ‘in versiyonunun görünmesini sağlayan kodu kaldırmaktır. Bunun için yapmanız gereken “<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” /> <!– leave this for stats –>” bu kodu bularak sitenizden silmenizdir. Yalnızca bu kodu silmeniz versiyon bilgilerini görünmez yapmanızı sağlamaz. Bunun için ise ftp de sitenizin bulunduğu dosyalar içinde wp-includes klasöründe bulunan version.php isimli dosyada ufak bir düzenleme yapmanız gerekiyor. Version.php isimli dosyayı açarak içeriğindeki$wp_version = ‘2.x.x′; yazısını kaldırın. Bu işlemden sonra kullandığınız sürüm bilgilerini tamamen gizlemiş olacaksınız.
- WordPress kullanıcıları bilirler. Sistem otomatik olarak yönetici hesabınızın nickini “admin”olarak belirler. Bunu kötü niyetli kişilerde bilir. Bunu ufak bir işlem ile istediğiniz gibi değiştirebilirsiniz. Bunun için; phpMyAdmin ‘e girerek wordpress için oluşturduğumuz veritabanını seçelim. wp_users bölümünde “gözat” kutucuğunu seçerek giriş yapalım “düzenle” (kalem) işaretini tıklayarak ilgili tablomuzu açalım. Bu tablo içinde user_login = admin kısmını istediğimiz bir kullanıcı adı ile değiştirelim.
- Bildiğiniz gibi wordpress oluşturduğu tablolara otomatik olarak wp- ön ekini ekler. Bunu değiştirmekte güvenlik açısından faydalı olacaktır. Bunu wordpress’i ilk kurulum aşamasında “config.php” dosyası ile değiştirebileceğiniz gibi, bazı yardımcı eklentiler (aşağıda verilen eklentiyi kullanabilirsiniz.) ile sonradan da değiştirmeniz mümkündür. Bu işlemi yapmadan önce veritabanınızın yedeğini almayı unutmayınız.
- Ftp dizininde bulunan wp-admin klasörünün herkes tarafından görünmenisi engelleyin. Bunun için wp-admin klasörü içine .htaccess dosyası oluşturabilirsiniz.
- Son olarak ise wordpress’e giriş için kullandığınız şifrenizi mutlaka karışık kombinasyonlar içeren bir şifre seçerek oluşturunuz. Kısa ve tekrar eden karakterlerden oluşan şifreler çabuk bulunabilir.
EKLENTİLER;
Wp-Security Scan;Bu eklenti ile sitenizin güvenlik durumunu görebilir açık olan noktaları kapatabilirsiniz
Bu eklentinin yapabildiklerini şöyle sıralayabilirim;
– Şifrelerin kontrolü
– Veritabanı güvenliğinin kontrolü
– Admin güvenliği
– Dosya izinlerinin kontrolü
– WP versiyonunu gizlemesi gibi işe yarar özellikler var
Ayrıca yapımcı sitede gelecek sürümde olması beklenen özelliklerde belirtilmiş
Mesela;
– Tek tık ile dosya izinlerini değiştirebilme
– XSS açığı önleme
– İzinsiz girişleri engelleme
– Admin panel koruması
– Kullanıcya özel koruma gibi özellikleri eklemeyi düşünüyorlarmış
Eklentiyi Burdan İndirebilirsiniz : http://wordpress.org/extend/plugins/wp-security-scan/
Login Lockdown;Siz kendi evinizden admin paneline giriyorsunuz, bir başkası da sizin şifrenizi tahmin etmeye
çalışıyor ve admin panelindeki kullanıcı adı ? şifre alanında denemeler yapıyor. Sizin isteğinize göre
ayarlayabileceğiniz deneme sayısını 3 olarak farzedersek, denemeyi yapan kişi 3 defada tutturamazsa
ip adresi kayıt altına alınıyor ve o kişinin o dizine ulaşması sistem tarafından engelleniyor.
Eklentiyi Burdan İndirebilirsiniz :http://wordpress.org/extend/plugins/login-lockdown/
Force SSL;Eklentiyi kısaca özetlersek, güvenilir olmayan bağlantıları tespit edip, oradan gelebilecek olası saldırıları
engelliyor. Bu da sitenizin hem trafiğini, hem de güvenliğini düzene sokmuş oluyor.
Eklentiyi Burdan İndirebilirsiniz :http://www.almosteffortless.com/files/force-ssl.zip
AskApache Password Protect; Bu eklenti sayesinde WordPress?inizin admin dizininde ayrı bir parola
sorgulayıcı oluşturabilirsiniz. Bunun için ayrı bir yönetici adı ve şifre belirterek blogunuzun admin
bölümüne girilmesi için 2. bir şifre alanı gelecektir. Bu da güvenliğini arttırmanıza yarayacaktır. Eklenti
kullanımı çok basittir. Normal eklenti kurulumu gibi dosyalarınızı /wp-content/plugins klaösürünün içine atacaksınız.
Belirtmiş olduğunuz şifrenin artı güvenli olmadığını düşünürseniz değiştirme şansınız var. İşleyişi .htaccess kontrolü
yaparak sürdürür. .htaccess?iniz yazılır olduğu zaman eklentiyi kurarsanız sorun yaşamazsınız.
Eklentiyi Burdan İndirebilirsiniz :http://wordpress.org/extend/plugins/askapache-password-protect/