WordPress Güvenlik Önlemleri

WordPress Güvenlik Önlemleri

Günümüzde blog yazan arkadaşların en oldukça tercih etmiş olduğu sistemlerden biri WordPress içerik yönetim sistemidir. Hal bu şekilde olunca da saldırganların ya da kendini o şekilde hisseden bazı arkadaşların wordpress açıklarını takip edip saçma hareketler yapmasını iyi mi daha oldukça azaltabiliriz mevzusuna değineceğim bugün. Güvenlik mevzusunda kim bilir en mühim sorun dosyaların güvenliğidir. Şu sebeple dosyalar bizzat sitelerin olabilecekleri benzer biçimde wp-config.php benzer biçimde tehlikeli sonuç bir dosya sebebiyle veritabanınıza da veda etmek zorunda kalabilirsiniz. Bu yüzden yedeklerinizi kesinlikle zamanında alın (mümkünse her gün, doğal olarak bu birazcık can sıkan, fakat haftada bir almak zor olmasa gerek).

Dosya İzinlerini Düzenleyin
WordPress kurulumunu tamamladıktan sonrasında ilk yapmanız ihtiyaç duyulan işlerden biri wp-admin klasöründeki install.php dosyasını silmektir. Arkasından sıra dosyaların izinlerini düzenlemeye gelir. Yanlış bir dosya izni sebebiyle sunucuya sızılabileceğini ihmal etmeyin. WordPress’in tehlikeli sonuç dosya ve klasörleri ile bunların izinleri için aşağıdaki tablo da ki benzer biçimde yapabilirsiniz. Doğal olarak isterseniz daha sıkı bir izin de yapabilirsiniz.

Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

Not:
Bazı eklentiler kurulmak için wp-content benzer biçimde klasörlerin yazılabilir olmasını ister. Bu şekilde durumlarda eklentiyi kurmadan ilkin dosya iznini 0777 yapın ve kurulum tamamlandıktan sonrasında klasörü yine eski dosya iznine döndürün. Aynı durum .htaccess dosyası için de geçerlidir. Kesinlikle eski dosya iznine dönüş yapmayı ihmal etmeyin.

Yükleme klasörünüzün (uploads, yuklemeler vb.) dosya izni 0777‘de kalabilir fakat arada bir bu dizini denetlemek ve zararı olan bir dosya (mesela .php uzantılı ve sizin yüklemediğiniz bir dosya) var mı, bakmakta daima için yarar vardır.

Plugins Dizininizi Denetim Edin
WordPress sisteminizi tamam siz kapattınız fakat eklenti yükleyince kullandığınız eklentilerde açıklar olabilir. Ziyaretçilerinizin bu dizini doğrusu eklentilerinizi görmelerini engellemek istiyorsanız boş bir dosya oluşturup bu dosyayı index.html olarak kaydedin ve wp-content/plugins dizinine FTP ile yükleyin. Artık eklentileriniz tarayıcı vasıtasıyla görünmezler.

Not: WordPress’in güncel sürümlerinde aslına bakarsanız boş bir dosya bulunuyor(index.php). Bulunmayanlar bu bahsettiğim boş index.html dosyasını kullanabilirler.

.htaccess Dosyası
Güvenli bir WordPress için sağlam bir .htaccess dosyasına haiz olmalısınız. Bu dosya genel anlamda WordPress’in standart yönlendirme içeriğini barındırır fakat geliştirmek ve güvenliğimizi çoğaltmak heralde bizim elimizde olan bir şeydir. Bu yüzden aşağıdaki kodları .htaccess dosyanızın en üzerine yapıştırmanızı tavsiye ederim. Her satırın üstünde ilgili kodun ne işe yaradığını belirttim. Aşağıdaki kodların tümünü kopyalayıp .htaccess dosyasına yapıştırarak kullanabilirsiniz. Eğer hemen hemen bir .htaccess dosyanız yok ise boş bir dosya oluşturun, içine aşağıdaki kodları kopyalayın ve bu dosyayı sunucunuza yükleyin.

# .htaccess dosyasına erişimi engelle

order allow,deny
deny from all


# sunucu imzasını kaldır
ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle

order allow,deny
deny from all


# wp-load.php dosyasına erişimi engelle

order allow,deny
deny from all


# dizin listelemeyi iptal et
Options All -Indexes

wp-config.php Dosyası
Bu dosya WordPress içerik yönetim sisteminin en mühim dosyasıdır bundan dolayı içinde veritabanına bağlantı için lüzumlu bilgiler ile beraber temel ayarlar bulunur. İşte bundan dolayı bu dosyayı kesinlikle korumalıyız.

wp-config.php Dosyası Iyi mi Şifrelenir?
Şifreleme için ionCube, Zend Guard yada en basiti ve parasız olan phpr.org sitesindeki aracı kullanabilirsiniz. Benim tercihim ionCube‘den yana. Doğal olarak şunu da unutmamak gerekir ki kırılmaz diye bir şey yok her gizyazı kırılabilir. Biz elimizden geldiğince eşeği sağlam kazığa bağlayalım da bi olasılık bu karşı da ki tehdit oluşturan kişiyi caydırabilir.

İonCube ile Dosya Iyi mi Şifrelenir?

ionCube ile Dosya Giz yazıya çevirmek  aslen hakkaten oldukça kolay bir işlemdir. Ilkin ionCube sitesine üye oluyorsunuz. Sonrasında kredi yüklemek için ödeme yapmış olup (minimum 5$ = 10 dosya) kredinizin yüklenmesini bekliyorsunuz. Krediniz yüklenince Encode (Şifrele) sayfasına gidiyor ve giz yazıya çevirmek istediğiniz dosyayı yüklüyorsunuz. Dosya şifrelenip size geri veriliyor. Verilen dosyayı sitenize koyup direk kullanmaya başlayabiliyorsunuz. (sunucunuzun ioncube kullanımına açık olması lüzumlu heralde)

Örnek Şifrelenmiş İçerik:

1&&$__id[1]==':'){$__id=str_replace('','/',substr($__id,2));$__here=str_replace('','/',substr($__here,2));}$__rd=str_repeat('/..',substr_count($__id,'/')).$__here.'/';$__i=strlen($__rd);while($__i--){if($__rd[$__i]=='/'){$__lp=substr($__rd,0,$__i).$__ln;if(file_exists($__oid.$__lp)){$__ln=$__lp;break;}}}@dl($__ln);}else{die('The file '.__FILE__." is corrupted.n");}if(function_exists('_il_exec')){return _il_exec();}echo('Site error: the file '.__FILE__.' requires the ionCube PHP Loader '.basename($__ln).' to be installed by the site administrator.');exit(199);

?>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wp-config.php Dosyasına Erişimi Engellemek
Bu dosyayı korumak için ilk olarak .htaccess dosyasına, tarayıcı üstünden wp-config.php ve wp-load.php dosyalarına erişimi engelleme kodunu eklemeliyiz.Sonrasında alttaki kodları eklemelisiniz. Üstte .htaccess dosyasını incelediğimiz başlıkta bu kodu aslına bakarsanız vermiştim fakat isteyenler yalnız bunu da yapabilirler.

# wpconfig.php dosyasına erişimi engelle

order allow,deny
deny from all


# wp-load.php dosyasına erişimi engelle

order allow,deny
deny from all

Şimdilik bu kadar. Yeni bilgiler öğrendikçe sizinle paylaşmaya devam edeceğim. Sağlıcakla. . .


Etiketler : .htacces dosyası, htaccess, security, WordPress, WordPresste Güvenlik


Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir