Günümüzde kullanılan blog sistemlerinin en büyüğü olan WordPress şimdiye kadar yapılmışen güvenli sistemlerden birisi olmasına rağmen alınmış olan bu güvenlikönlemlerinin yanında blog’umuzun veya web sitemizin daha güvenli olması için bizim de yapmamız gereken birkaç önemli değişiklik var.
Güncelleme, Güncelleme, Güncelleme !!!
Şimdiye kadar yapılmış olan yazılım sistemlerinin hiçbirinde “bugların” veya “güvenlik açıklarının” blunmaması mümkün olmamıştır. Bu nedenle tüm yazılım sistemi üreticiler sürekli güncellemeler yayınlamakta ve bu açıkları kapatmaya çalışmaktadır. Güncellemenin en büyük faydalarından birisi sistemlere yeni yetenekler kazandırmaktır, fakat güncellemelerde bizim genellikle farketmediğimiz asıl önemli nokta varolan ve bilinen bug’ların giderilmesi ve güvenlik açıklarının kapatılmasıdır.Web tabanlı yazılım sistemlerinde (wordpress, drupal, joomla.. vs) güncellemeler herzamankinden çok daha önemlidir. WordPress’in önceki versiyonlarında güncelleme yapmak biraz sıkıntılıydı 2009’un son yarısında WordPress geliştiricileri sistemlerine kazandırdıkları “Otomatik Yazılım Güncelleme” özelliğiyle bunu aştılar.Artık wordpress tabanlı blog veya sitenizi güncel tutmak sitenin güvenliği için yapacağınız en basit önlemlerden birisi.Sitenizde kullandığınız WordPress versiyonu en son versiyon değilse bir an öce güncellemekte fayda var. çünkü güncelleme yapmamak tatile çıktığınızda kapınızı kilitlemeden evden ayrılmaktan farksız.
Güçlü ve tahmin edilmesi zor şifreler kullanın
WordPress tabanlı web sitenizin “kullanıcı ayarları” kısmında şifrenizi verilen uyarıya göre güçlü veya zayıf olarak kullanmak sizin elinizde. ama ne kadar güçlü olursa web sitenize istemediğiniz kişilerin erişmesi o kadar zorlaşır.Şifre oluştururken dikkat edilmesi gerekenlerden birkaçı şifrenin küçük-büyük harfler içermesi, numaralar kullanılması ve hatta noktalama işaretleri kullanılmasıdır.güçlü şifreler oluşturabilmek için angelsdemos‘ın yazısında bahsetmiş olduğu goodpassword.com‘dan faydalanabilirsiniz.Şifrenizi 3 veya 6 aylık periyodlarla değiştirmeniz sitenize ekstra güvenlik sağlayacaktır.
WP-Config dosyanızda gizli anahtarlar kullanın
WordPress’te kullanılan wp-config.php dosyası WordPress’inizin sitenizin database’i ile iletişimini sağlamaktadır. Dosyanın içinde sitenizdeki yazıların, yorumların ve içeriğinizin tamamını bulunduran MySQL database‘inizin ismi, adresi ve şifresi bulunur.
Aynı zamanda dosyanın database’inizde iletişimi sağlamaktan başka bir yeteneği daha vardır. Database’in kimlik denetlemesi.Wordpress geliştiricileri kimlik denetleme kodlarının olabildeğince karışık, tahmin edilmesi mümkün olmayan ve anlamsız olmasını sağlamak için küçük bir uygulama daha geliştirmişler.Bu uygulamayı kullanarak verilen kod bloğunu wp-config.php dosyanızdakiyle değiştirebilir ve sitenizi daha güvenli hale getirebilirsiniz.
Htaccess dosyası kullanın
.htaccess dosyası kullanarak sitenizin FTP sunucusundaki dosyaların ve klasörlerin izinlerini dışarıdan gelen bağlantılara kapatabilirsiz. Örnek olarak klasör ve dosyalara sadece kendi kullandığınız IP üzerinden erişilmesini sağlayabilirsiniz.
.htaccess kullanımı diğer worpdress dosyalarının kullnımından biraz daha karışıktır, ama ASkApache / Ultimate Tutorial‘daki yönergeleri uygulayarak .htaccess kullanımını öğrenebliirsiniz.Sitenize sadece kendi IP’niz üzerinden ulaşım sağlamak, hack’lenmenizi neredeyse imkansız olmasını sağlar.
Bunu yapmak için öncellikle Statik IP ye sahip olmanız gerekmektedir. Statik IP kullanmak için internet servis sağlayıcnıza (TTnet) küçük bir ücret karşılığı aktif edebilirsiniz.
FTP nizin kök dizininde”.htaccess” isminde bir dosya oluşturun.
Dosyanın içine;
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName “Access Control”AuthType Basicorder deny,allowdeny from all#IP address to Whitelistallow from xxx.xxx.xxx.xxx
kodlarını kopyalayıp yapıştırın ve xxx.xxx.xxx.xxx yazan yere What Is My IP ‘den aldığınız kendi IP nizi yerleştirin. “allow from” satırının altına yine “allow from” ile başlayarak siteye ulaşabilmenizi sağlayacak diğer IP adreslerinide ekleyebilirsiniz.
Admin kullanıcısını kaldırın
WordPress ilk sistem kurulumunda varsayılan olarak bir “admin” kullanıcısı oluşturur ve en yüksek görev olan sistem yöneticisi olarak atar. Neredeyse tüm kullanıcılar, tüm hacker’lar ve internet kullanmaya yeni başlamış olan kullanıcılar “admin” kelimseinin ne işe yaradığını az çok bilir. Blog’unuzu kurduğunuzda yeni bir kullanıcı oluşturun, kullanıcı ismini olabildiğince kullanmadığınız bir isim verin. hatta yine yukarıda bahsettiğim gibi, kullanıcı adınızı bir şifre gibi kullanırsanız sizin faydanıza olacaktır. Tabii bunu unutmamak şartıyla.
Tablo önekini değiştirin
WordPress yine varsayılan olarak database’inizdedaki tablolara ön ek olarak “wp_” getirir. WordPress yüklemenizi yapmadan önce wp-config.php dosyanızda bu ön eki değiştirerek güvenliğinizi artırabilirsiniz. örnek olarak pw_, ae_, gr_, ali_, ahmet_ şeklinde istediğiniz ön eki getirebilirsiniz. Ancak bunu hali hazırda olan bir wordpress’e yapmak biraz sıkıntılıdır.* Herşeyden önce wordpress database’inizin bir yedeğini alın. ! çok önemli
* Daha sonra database’inizin başka bir yedeğini alarak sql dosyanızı notepad++ gibi bir “replace” özelliği olan text editöründe açın.* Notepad++ de dosyanızı açtıktan sonra Ctrl + F kısayolunu kullanarak (kullandığınız text editöre göre kısayol tuşu değişkenlik gösterebilir) Find & Replace diyalog kutusunu çalıştırın.* Diyalog kutusunun üstünde bulunan Replace tabına gelerek “find what” kısmına wp_ yazın* “Replace with” kendi oluşturacağınız tablo ön ekini girerek sağ taraftaki “Replace All” butonuna tıklayın.* Dosyayı kaydedin ve phpMyAdmin arayüzünden database’inizi tekrar yükleyin.
Kurulu olan wordpress’deki tablo ön ekini değiştirmek biraz riskli bir konu bu yüzden kurulumun en başında yaparsanız hiç bir sıkıntı yaşamazsınız
WordPress versiyonunuzu gizleyin
WordPress’inizde kullandığınız tema eğer ücretli/ücretsiz hazır temalardan birisiyseheader.php dosyanıza girerek
<meta content=”WordPress <?php bloginfo(‘version’); ?/>” name=”generator” />
satırını kaldırın veya
<meta content=”none” name=”generator” />
şeklinde değiştirin.Bu yöntem hacker’ların önüne büyük bir engel koyacaktır. Çünkü versiyonu bilmedikleri için hangi açığı kullanacaklarını bulamayacaklardır.
