Önemli olan bu açıkların nasıl kapatılacağı konusunda bilgi sahibi olup, sitenizin güvenliği için önlemler almaktır.
İşte, bu yazımda çeşitli makalelerden derlediğim önemli uyarıları tek tek ele alıyorum.
1- Host, Tema ve Eklentiler
Sitenize index atılması yani hacklenmesi host veya domain kaynaklı olabilir. Bu nedenle ucuz olsun diye sıradan bir yerden host almamak lazım.Sunucu açığı varsa siteniz ne kadar güvenli olursa olsun bir şey ifade etmez.
En güvenli host firmasından host hesabı alıp oraya sitenizi kursanız bile kullandığınız tema ve eklentilerde açık varsa hostunuzun güvenli olması bir şey ifade etmez. Bu nedenle, güvenliğinden emin olmadığınız hiçbir tema ve eklentiyi kesinlikle kullanmayınız.
Kullandığınız temanın XHTML ve CSS uyumlu olmasına özen gösteriniz.
2- WordPress Güncellemeleri
WordPress, eklenti ve tema güncellemesi yaparak wordpressinizi her zaman güncel tumalısınız. Zira, güncel olmayan wordpress sürümlerinde açık bulunması her zaman mümkündür. Başlangıç panelinizden girip güncellemeleri göster dedikten sonra wordpressin en son güncellemesini yapmalısınız.
3-Güvenlik Anahtarları Kontrolü
Güvenlik anahtarınızı wordpress tarafından geliştirilmiş olan şu siteden alarak wp-config.php dosyanıza direkt olarak kopyalayınız. Çünkü; #45-52 satır kodları arasında bulunan 8 satırlık güvenlik anahtarları, (keyleri) sitenizi kurduğunuzda boş olarak gelmektedir.
4- Admin (Yönetici, Kullanıcı Adı)
4- Admin (Yönetici, Kullanıcı Adı)
En başta bir kullanıcı adı belirleyip, bu kullanıcıya da admin hakları verip admin adını silmelisiniz. Çünkü; sitenizin wordpress olduğunu farkeden bir kimse, doğrudan admin adı üzerine yoğunlaşıp kaba kuvvet şifre kırma yöntemlerini bu kullanıcı adı üzerinde deneyecektir.
5-Database Şifresinin Güvenliği
Kesinlikle database şifrenizi kolayca tahmin edilebilen basit yazı ve rakamlardan oluşturmayınız. http://strongpasswordgenerator.com/ sitesinden sizin için güçlü bir şifre üretmesini sağlayabilirsiniz. Database şifrenizi değiştirmek için sitenizin cpaneline gelip, mysql bölümünden şifre değişikliğinizi yapabilirsiniz. Bu değişikliği yaptıktan sonra wp-config.php dosyanızdan da database şifrenizi değiştirmeniz gerekmektedir.
6-Wp-Config Dosyası İzinleri
WordPress altyapı bir sitede wp-config.php dosyası çok önemlidir. Wp-config.php isimli dosyanızın izinlerini (chmod) sağ tık ile değiştirin. Tavsiye edilen 400 izni vermenizdir. Çünkü sadece okunabilir olması ve bu okuyan kişinin de site olması gerekiyor. Wp-uploads klasörüne kesinlikle 777 izni vermeyiniz.
7- Display_errors Fonksiyonu Gizleme
Bu fonksiyon log tuttuğu ve logları kimsenin görmemesi gerektiği için gizlemek gerekmektedir. Display_error fonksiyonu sitenizdeki PHP hatalarını göstermeye yarayan bir fonksiyon olduğu için önemlidir.
Bu fonksiyonu gizlemek için, wp-config.php dosyanızı açın, en alt satırdaki require_once isimli fonksiyondan hemen 1 satır yukarıya aşağıdaki kodu yazınız.
ini_set(‘display_errors’, 0);
8-Site PHP Versiyon Kontrolü
Bu versiyon kontrolü olayını kötü niyetli kişilerden sakınmak için host firmanızdan gerekli tedbirleri almasını isteyebilir, aynı zamanda
<IfModule mod_headers.c> Header unset X-Powered-By Header unset Server </IfModule>
kodunu .htaccess dosyanıza yapıştırabilirsiniz.
9-Readme.html Dosyasına Erişim
Readme.html dosyanızın ismini değiştirerek (readme-77777.html gibi)versiyon açıklarının öğrenilmesine mani olabilirsiniz. Sitenizi indexlemek isteyen kötü niyetli kişiler siteadı.com/readme.html yazarak sitenizin versiyon kontrolü ve o versiyonun açıklarını her zaman tespit edebilirler.
10-WordPress Versiyon Bilgisini Kaldırma
Kullandığınız temanın versiyon bilgisini kaldırmak için functions.php dosyasına gelip, ?php> işaretinden hemen önce
function remove_version() { return ”; } add_filter(‘the_generator’, ‘remove_version’);
şu kodu eklemeniz,
0 Comments
Yorum Gönder