Bilişimcilerin Otağı

WordPress Güvenlik

Bildiğiniz üzere Wordpress kullananlar oldukça arttı ve artmasıyla birlikte hackerlar WordPress’de hack yollarını ve güvenlik açıklarını bulmaya başladılar. Ben de bunu önlemek ya da daha da zorlaştırmak için birkaç uyarı ve eklenti topladım. Buyrun, umarım işinize yarar;

  1. # BEGIN WordPress
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    order deny,allow
    deny from all
    # whitelist home IP address
    allow from 21.454.879.984
    # whitelist work IP address
    allow from 21.454.879.984
    allow from 21.454.879.984
    # IP while in Kentucky; delete when back
    allow from 99.123.123.546

Bazı dizinlerin boş olması sisteminize özel bilgilerin, kendi günlüğünüze özgü düzenlediğiniz WordPress yazılımınızın ve diğer size özel bilgilerin ele geçirilmesine yol açabilir, bu durum sisteminize özel güvenlik açıklarının keşfedilmesine ve sisteminize zarar verilmesine yol açabilir, bu yüzden /wp-content/plugins dizininin içine index.html isimli bir dosya oluşturup içerisine herhangi birşeyler yazın veya boş bırakın, buna dizin içeriği listeleme koruması diyoruz..
Ana dizindeki header.php dosyasında bulunan;

<meta name=”generator” +++++++++”WordPress ” />

bölümündeki kısmını silerseniz potansiyel saldırganların, kullandığınız WordPress sisteminin sürümünü öğrenmeleri güçleşir, böylece sürüm numarasını baz alarak bulunan güvenlik açıklarını bulup sisteminizde kullanmalarını güçleştirmiş olursunuz.

EKLENTİLER;

Wp-Security Scan;Bu eklenti ile sitenizin güvenlik durumunu görebilir açık olan noktaları kapatabilirsiniz
Bu eklentinin yapabildiklerini şöyle sıralayabilirim;
– Şifrelerin kontrolü
– Veritabanı güvenliğinin kontrolü
– Admin güvenliği
– Dosya izinlerinin kontrolü
– WP versiyonunu gizlemesi gibi işe yarar özellikler var

Ayrıca yapımcı sitede gelecek sürümde olması beklenen özelliklerde belirtilmiş
Mesela;
– Tek tık ile dosya izinlerini değiştirebilme
– XSS açığı önleme
– İzinsiz girişleri engelleme
– Admin panel koruması
– Kullanıcya özel koruma gibi özellikleri eklemeyi düşünüyorlarmış

Eklentiyi Burdan İndirebilirsiniz : http://wordpress.org/extend/plugins/wp-security-scan/

Login Lockdown;Siz kendi evinizden admin paneline giriyorsunuz, bir başkası da sizin şifrenizi tahmin etmeye

çalışıyor ve admin panelindeki kullanıcı adı ? şifre alanında denemeler yapıyor. Sizin isteğinize göre

ayarlayabileceğiniz deneme sayısını 3 olarak farzedersek, denemeyi yapan kişi 3 defada tutturamazsa

ip adresi kayıt altına alınıyor ve o kişinin o dizine ulaşması sistem tarafından engelleniyor.

Eklentiyi Burdan İndirebilirsiniz :http://wordpress.org/extend/plugins/login-lockdown/


Force SSL;Eklentiyi kısaca özetlersek, güvenilir olmayan bağlantıları tespit edip, oradan gelebilecek olası saldırıları

engelliyor. Bu da sitenizin hem trafiğini, hem de güvenliğini düzene sokmuş oluyor.

Eklentiyi Burdan İndirebilirsiniz :http://www.almosteffortless.com/files/force-ssl.zip

AskApache Password Protect; Bu eklenti sayesinde WordPress?inizin admin dizininde ayrı bir parola

sorgulayıcı oluşturabilirsiniz. Bunun için ayrı bir yönetici adı ve şifre belirterek blogunuzun admin

bölümüne girilmesi için 2. bir şifre alanı gelecektir. Bu da güvenliğini arttırmanıza yarayacaktır. Eklenti

kullanımı çok basittir. Normal eklenti kurulumu gibi dosyalarınızı /wp-content/plugins klaösürünün içine atacaksınız.

Belirtmiş olduğunuz şifrenin artı güvenli olmadığını düşünürseniz değiştirme şansınız var. İşleyişi .htaccess kontrolü

yaparak sürdürür. .htaccess?iniz yazılır olduğu zaman eklentiyi kurarsanız sorun yaşamazsınız.

Eklentiyi Burdan İndirebilirsiniz :http://wordpress.org/extend/plugins/askapache-password-protect/




Yazar: Yahya KANDİL

Yahya KANDİL sitemizde 12 yazı eklemiş...