WordPress Güvenlik Önlemleri

WordPress birçok web sitenin altyapısını oluşturuyor ve bu sayı her geçen gün daha da artıyor. Kullanıcı sayısı bu kadar yüksek olunca riskte bir o kadar yüksek oluyor. Şimdi sizlere kendi gözlemlerime dayanarak alınması gereken bazı tedbirleri yazacağım.

Orjinal Yazılım Kullanın

Web sitenizi Türkçe sürüm olarak sadece tr.wordpress.org sitesinden yükleyin, bir başka siteden yüklemenizi tavsiye etmiyorum. Neden derseniz, diğer sitelerde dosyalar .rar ya da .zip olarak indiriliyor, bu dosyaların içine çeşitli yazılımlar gizlenmiş olabilir, özellikle bu dosyaları ftp ile sunucuya gönderdiğimizi düşünürsek, bir virüsün sunucumuzda olmasını istemeyiz.

Kullanıcı Adınızı Belirlerken Dikkatli Olun

Size güvenlik önlemi olarak önereceğim ikinci adım kuşkusuz admin paneline girerken kullanacağınız kullanıcı adıolur. Çoğu yeni başlayan arkadaşımız kullanıcı adı olarak admin adını belirler ve bunu kullanır, ancak bu konuda kesinlikle kullanıcı adınızı admin olarak belirlemeyin. Bir hacker için kullanıcı adınızın admin olması oldukça faydalı ve zaman kazandırıcıdır. Tahmin edilmeyen, sitenizin de adını içermeyen karışık bir kullanıcı adı belirlemeniz faydanıza olacaktır.

Şifre Belirlerken Dikkat 

Şifre bu konuda üçüncü en önemli güvenlik tedbiridir. Bir şifre belirlerken mümkün olduğunca karmaşık ve tahmin edilmesi zor rakam ve harflerden oluşan bir şifre belirleyin. Şifre içinde doğum yılınız, adınız ve sitenizle ilgili bilgiler olmamasına dikkat ediniz. Size kırılması zor bir şifre örneği göstereceğim;

!jO,98(_3}08:np

Görüldüğü gibi çok uzun olmamakla beraber oldukça kafa karıştırıcı ve tahmin edilmesi zor bir şifre örneği. Bu ve buna benzer şifre örnekleri için bu konuda yardımcı olan web sitelere bakınız, çeşitli şifre örnekleri sunmaktalar ve bu şifreleri korkmadan siteleriniz için kullanabilirsiniz.

Güncel Versiyon Kullanın

WordPress bazen çok sık güncellemeler yapmaktadır. Güvenliğiniz için üşenmeden her güncellemeyi sitenize uygulayın, en güncel versiyonu kullanmaya çalışın.

Veritabanını Yedekleyin

Siteniz üzerinde çalışırken belirli aralıklarla yedek almayı ihmal etmeyin. Hem ftp üzerinden hem de veritabanı yedeği alarak işinizi sağlama alın. Bilmediğiniz bir aksaklıktan dolayı sitenizin çalışmaması ya da başka bir hatadan dolayı sitenizi kaybedebilirsiniz. İşinizi şansa bırakmayın.

Dosya İzinlerinizi Ayarlayın

Ftp anadizin ve alt dizinlerde bulunan dosyalarınızın her biri izin yöntemiyle çalışmaktadır. Bu izinleri görmek için ftp ile sitenize bağlanın, her bir klasör ve dosyaların yanında ki sayıları kontrol edin.

Kırmızı çerçeve içine aldığım kısımlar bu izinlere örnektir.

Wp.Config Dosyası için Alınması Gereken Önlemler

Wp.config wordpress’in çalışması için gerekli en önemli dosyalar arasında yer alır. wp.config içerisinde sitenizin veritabanı adı, kullanıcı adı, şifresi gibi kritik önem arzeden bilgiler yer almaktadır. Bu sebeple bu dosyanın muhafazası ve güvenliği oldukça önemlidir. Şöyle ki, bu dosyanıza erişen bir hacker, veritabanı şifrenize de erişmiş olur. Münkünse bu dosya anadizinden bir başka alana (örneğin wp-content içine) alınabilir. Bunu yapmak için wp-load.php dosyanızı açarak wp.config.php kısmını bulun ve dosya yolunu güncelleyin, örneğin wp-config.php dosyanızı wp-content.php içine atacaksanız, wp-load.php de bahsettiğim alanı şu şekilde değiştirin.

wp-content/wp-config.php

Aynı zamanda wp-config.php nin birinin eline geçmesi ihtimaline karşı dosya içinde varolan kodların tümü ioncube tarzı bir şifreleme ile şifreleyin. Bu şifreleme tarzı kırılması zor yöntemlerden biridir. Ioncube şifrelemenin nasıl yapılacağını google arama motorunda çeşitli sitelerde bulabilirsiniz.