WordPress Güvenlik Tedbirlerinizi Aldınız Mı?

WordPress, pek çok Web sitesinin ihtiyaç duyduğu basit arayüzü sağlayan popüler içerik yönetim platformlardan biri. Wordpress için güvenlik çözümleri üreten Sucuri, WordPress kullanıcılarını yakın zamanda gerçekleşebilecek olası ciddi ve zarar verici saldırılara karşı uyardı. Biz de bu bağlamda WordPress blogunuzun ya da sitenizin güvenliğini nasıl arttırabileceğinizi paylaşalım istedik.

Dünyada çok sayıda kullanıcısı olan WordPress, kullanım alanının geniş olması ve açık kaynak olması sebebiyle güvenlik konusunda çok sayıda soru işaretiyle karşılaşmanıza sebep olabilir. Kullanabileceğiniz birçok güvenlik eklentisi mevcut ancak hangisi daha sağlam, hangisi daha güvenilir? Bu da cevabı çok net olmayan bir başka soru işareti. Sucuri, bahsettiğimiz güvenlik eklentilerinden sadece bir tanesi ve bildiğimiz kadarıyla en güvenilir olan eklenti. Sucuri takımı, blog sayfalarında yayınladıkları uyarı yazısıyla, içinde bulunduğumuz dönemde gerçekleşmesi muhtemel sert saldırılara (brute force attack) karşı hazır olmamızı tavsiye ediyor.

Aşağıda yer alan grafik, Sucuri’nin olası WordPress saldırılarını izlediği güvenlik sayfasında yer almakta:

WordPress Siteniz İçin Güvenlik Tedbirleri

Saldırılara karşı güvende olmak için öncelikle tahmin edilmesi zor ve olabildiğince karmaşık bir parola belirlemenizi tavsiye ederiz. Parolanızın içinde en az bir tane büyük harf, sembol ve rakam olması faydalı olacaktır. Örneğin: “benimsifrem14” çok güvenli bir parola olmayacaktır; yerine “Benim!Sifrem*14” gibi bir parola belirlemeniz, şifrenizin kırılma ihtimalini azaltabilir. Ayrıca tahmin edilebilir tarihler, kişisel zevkler, tahmin edilebilir bilgiler parola olarak seçilmemelidir.

Ayrıca sadece WordPress parolanızda değil, sunucu tarafında dikkat edilmesi gereken noktalar da var. Sadece bilinen eklentileri kullanmak dışında sunucu tarafında düzenlenebilecek bazı alanlar mevcut:

• MySQL veritabanı ismi
  • Varsayılan MySQL veritabanı ismini değiştirmek faydalı olacaktır. MySQL veritabanı ismini Web sitenizle veya kullanıcı adınızla ilgili olmayacak şekilde değiştirebilirsiniz. Yine büyük – küçük harf, özel karakter ve sayı içeren bir veritabanı ismi belirleyebilirsiniz.
• MySQL kullanıcı adı ve şifresi
  • MySQL kullanıcı adı ve şifrenizi çift tırnak ve tek tırnak işareti dışındaki özel karakterlerden oluşacak şekilde belirlemeniz faydalı olacaktır.
• PhpMyAdmin tablo ismi
  • Wp-config.php dosyasının 67. satırında yer alan “$table_prefix = ‘wp_’;” kodundaki “wp_” yerine karmaşık bir tablo ismi verebilirsiniz.
• Eşsiz doğrulama anahtarı
  • Eşsiz doğrulama anahtarı oluşturmak için WordPress Secret Key adresine gidip burada bulunan eşsiz kodu kopyalayıp Wp-Config dosyasındaki “secret key” bölümüne yapıştırabilirsiniz. Bu sayfaya her girişinizde farklı bir kodla karşılaşırsınız. Bu kodun amacı önemli cookie’lerin siteye giren kullanıcıların bilgisayarlarında saklanmasını önlemek.
• Wp-Admin yolunu değiştirmek
  • GrepWin isimli programı kullanarak Wp-admin yolunu özelleştirebilirsiniz. Ayrıca aşağıdaki yollarda da düzenleme yapabilirsiniz:
    /wp-admin/css/wp-admin.css, /wp-admin/css/wp-admin.dev.css, /wp-includes/class-wp-admin-bar.php, /wp-login.php vb.
    Not: Bu düzenlemeyi her WordPress güncellemesi sonrası aynı şekilde yapmanız gerekmektedir.
• Hata mesajlarını gizlemek
  • Giriş sayfasında yanlış kullanıcı adı veya şifre girildiğinde karşımıza çıkan uyarıları değiştirebilirsiniz. “<?php” bölümündeki kodu aşağıdaki gibi değiştirebilirsiniz:
    add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
• Sürüm gizlemek
  • Tema içerisindeki “functions.php” bölümüne aşağıdaki kodu ekleyebilirsiniz:
    remove_action(‘wp_head’, ‘wp_generator’);
• Admin kullanıcı adını değiştirmek
  • Kullanıcı adınızı “Admin” olarak bırakmak tehlike arz eder. Örnek SQL sorgusu:
    UPDATE wp_users SET user_login = ‘YeniKullaniciAdi’ WHERE user_login = ‘Admin’;
• .htaccess dosyasını güvenli hale getirmek
  • Aşağıdaki kodları .htaccess dosyanıza ekleyebilirsiniz:

    ServerSignature Off
    LimitRequestBody 10240000
    Options All -Indexes
    <files .htaccess>
    order allow,deny
    deny from all
    </files>
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    <files wp-load.php>
    order allow,deny
    deny from all
    </files>

• Dosya izinlerini varsayılan değere çekmek
  • Önerilen izinler:
    Ana dizin: 0755, wp-includes/: 0755, wp-admin/: 0755, wp-content/: 0755, wp-config.php: 0644, .htaccess: 0644
• Eklentileri gizlemek
  • wp-content/plugins dizinine boş bir index.html dosyası oluşturarak eklenti listelenmesini engelleyin.
• Wp-Config.php dosyasının yerini değiştirmek
  • wp-includes içinde yeni bir klasöre wp-config.php taşıyın ve wp-load.php içindeki yolu güncelleyin (GrepWin yardımıyla).

Siz de WordPress kullanıyorsanız, yukarıdaki değişiklikleri yapabilir ve ek olarak Sucuri güvenlik eklentisini kullanarak sitenizin güvenliğini artırabilirsiniz. Kullanabileceğiniz birçok eklenti var, ancak Sucuri bu eklentiler arasında sağlamlığıyla dikkat çekiyor. Web sitenizin yönetimi dışında sayfalarınızın zararlı amaçlar için kullanılmasını önleyebilecek olan bu yöntemler bütünü sayesinde sitenizin herhangi bir ceza almasının önüne geçebilirsiniz.

Bir başka alternatif ise WordPress blogunuzu ya da sitenizi WP Engine gibi eklenti güncellemelerini ve güvenlik tedbirlerini sizin yerinize yapan bir platformu tercih etmek olabilir. Biz Stradiji.com için son 6 aydır WP Engine alt yapısını kullanıyoruz ve performansından ve güvenlik tedbirlerinden son derece memnunuz. Siteyi incelediğinizde belki aylık ücreti yüksek görünebilir, ancak WordPress blogunuzun hacklenmesi sonucu yüz yüze kalacağınız zararla kıyaslandığında devede kulak kalır. Seçim tamamen size kalmış.