WordPress Güvenlik Önlemleri için neler yapılır? Mevcut sitenize yada yeni bir Wordpress alt yapılı site kurduysanız ilk yapılacak işlemlerden biriside güvenlik özelliklerini geliştirmek olacaktır. Konu devamında belirttiğim 6 yöntem sayesinde herhangi bir eklenti kullanmadan, Wordpress alt yapılı sitenizin güvenliğini varsayılana göre arttırmış olacaksınız.
Yazı İçeriği:
WordPress Güvenlik Önlemleri
1. Xmlrpc.php Servisini devre dışı bırakmak
Bu hizmet Wordpress yapısında, bilgisayar tarayıcısı haricinde, tablet, telefon mobil ortamlarında Admin panele giriş yaptığınızda, xmlrpc.php servisi üzerinden gerçekleştirmektedir. Eklentilerde veya temalarda yada Wordpress kendi sistemiyle iletişime geçmeye çalıştığında bu servisi kullanmaktadır. Bu ara bağlantı sonucunda brute force atağı almanıza olanak riski sağlamaktadır. Ayrıca RAM ve CPU kullanımını da tetiklemektedir. Xmlrpc.php servisin devre dışı bırakılmasının web sitesi için olumsuz bir durum ortaya çıkarmamaktadır. Sunucu web site klasörünüzde yer alan .htaccess içine aşağıdaki kod uygun bir yere kopyalamanız yeterlidir.
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
2. wp-config.php Dosyası İçin Güvenlik Ayarı
Database bilgilerinizin de tutulduğu wp-config dosyası en önemli Wordpress dosyalarından birisidir. Yine sunucumuzda yer alan .htaccess kod ekleyerek wp-config.php dosyasına erişimleri kısıtlayabilirsiniz. Bunun için; Ftp’nizden dosyalara ulaşın ve .htaccess dosyasının içine aşağıda verdiğim kodu ekleyin.
<files wp-config.php>
order allow,deny
deny from all
</files>
3. Admin Giriş Bölümü Erişimi Kısıtlayın
Benim de kullandığım güzel bir güvenlik özelliğidir. Bildiğiniz gibi varsayılan olarak Admin paneline siteadi.com/wp-admin üzerinden ulaşılmaktadır ve bu değiştirilmediği sürece bilinen bir giriş şeklidir. Bu ekrana ulaşımı bazı IP adresleri üzerinden görüntülenmesini sağlayabilirsiniz. Ancak bunun olabilmesi için kullandığınız internetin SABİT IP adresi olması gerekmektedir. İnternet yapınız değişken bir IP adresiyle bununla uğraşmak zor olacaktır. https://whatsmyip.com/ sitesine girin ve IP adresinizi öğrenin. Yine FTP ile sunucunuzda ki dosyalara ulaşın ve .htaccess dosyasının uygun yerine aşağıda ki verdiğim güvenlik kodunu ekleyin.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx bölümüne SABİT İP adresinizi eklemelisiniz. Birden çok IP adresi ekleyebilirsiniz. Admin panelinize evden , iş yerinden yada başka bir admin kullanıcısıda varsa onunda bilgilerini girebilirsiniz. allow from xx.xx.xx.xxx alt alta olacak şekilde istediğiniz kadar girebilirsiniz. Unutmadan; IP adresleri SABİT olmalı.
4. Web Sitesi Dosya ve Klasör İzinleri
Wordpress için Tüm dosya izinleriniz 644 ve tüm klasör izinleriniz 755 olmalıdır. FTP ile site dosyalarınızı kontrol bağlanıp dosya izinleri değerini kontrol edin. Burada dikkat etmeniz gereken konu bir dosyanın yada klasörün 777 izinde olmaması. Bu bütün zararlı kodlara karşı FTP içeriğinize yazma, okuma izni vermektedir. Dosya ve klasörlerin üzerine gelip sağ tuşa basarsanız “dosya izinleri” menüsünden görüntüleyebilir düzenleyebilirsiniz.
5. Wordpress Dosya Düzenlemeyi Kapatmak
Bu özellik admin panelinden giriş yapıldığında, Wordpress tema dosyalarında değişiklik yapmak veya eklenti dosyalarında değişiklik yapma konusunda dosya düzenleyicisi özelliği aktif gelmektedir. Bu özelliği kapatarak temada bir değişiklik yapacaksanız FTP den dosyayı bilgisayarınıza çekip düzenleme yaparak, tekrar yüklemeniz daha sağlıklı olacaktır. Panelden dosya düzenleme seçeneğini kapatmak için, wp-config.php dosyanızın içinde yer alan define( ‘WP_DEBUG’, false ); yazısının hemen altına define define( ‘DISALLOW_FILE_EDIT’, true ); kodunu ekleyin. Admin girişi yaptığınızda Görünüm altında ki tema düzenleyicisinin ve Eklenti altında ki düzenleyicinin kalktığını göreceksiniz.
Önerilen yazı; Wordpress Yorum Alanında Web Site URL Kaldırmak
6. Dosya ve Klasörlere Erişimi Kapatın
Web tarayıcınıza örneğin; https://aykutblog.com/wp-content/uploads/ yazdığınızda karşınıza resim dosyaları listeleniyorsa dizin servisiniz açık demektir. Bu servisin açık kalmasının hiçbir anlamı yoktur. Dosyalar ve klasör dizinlerinin gözükmemesi için .htaccess dosyanızın içine Options All -Indexes
eklemeniz yeterli olacaktır. Yine tarayıcınızı açın ve test edin. bu sefer dosyalar gözükmeyecek ve karşınıza Access denied! 403 Forbidden uyarısı gelecektir. bu doğru işlem yapıldığını göstermektedir.