Merhaba değerli okurlarım!
Bu yazımda sizlere bir wordpress sitesinde olmazsa olmazlarından olan güvenlik önlemlerinden detaylı bir biçimde bahsedeceğim.
Wordpress günümüzde çok sık kullanılan bir cms sistemdir, bu yüzdende güvenlik oldukça önemli bir konu haline gelmektedir.
Böylesine bir meyve vereen ağacıda taşlayan olacaktır, bu yüzdende Web sitenizi oldukça güvenli tutmalısınız. gelin bu adımları birilkte inceleyelim ve uygulayalım.
her gün gelişmekte olan internet dünyasında güvenlik önemli bir rol oynamaktadır.
bir blog açmak ve bu bloğu yönetmek kadar o bloğu güvenli tutmak oldukça önemlidir.
wordpress günümüzde web dünyasının %40'ını oluşturmaktadır. bu yüzdende güvenliğide bu denli önemlidir.
ücretsiz ve açık kaynak olması güzel olduğu kadar çeşitli güvenlik açıklarını meydana getirmektedir.
elbette wordpress'i bir takım önlemler alarak güvenli hale getirebiliriz.
bir wordpress bloğunda güvenlik için yapılması gerekenleri sizlere bu yazımda detaylı anlatmaya çalışacağım.
sizlere tavsiye ettiğim güvenlik önlemlerini alırsanız bloğunuzun ömrü daha uzun olacaktır.
hangi güvenlik önlemlerini alabilir ve bloğumuzun güvenliği için neler yapabiliriz bunları sizlere detaylandırarak anlatmak istiyorum.
size güvenlik için ilk söyleyeceğim şey wordpress kurulumunda kesinlikle admin kullanıcı adını kullanmayın. genelde admin olarak kullanılır ama bu bloğunuza zarar vermek isteyenler için bulunmaz bir niğmet olacaktır.
daima güçlü şifreler kullanın, güçlü ve karmaşık şifreler kötü niyetli kimselerin işini zorlaştıracaktır. bellirli periyotlar halinde şifrenizi değiştirin.
Şifrenizi nasıl değiştirecenizi bilmiyorsanız
üç farklı yöntemle şifre değiştirme
başlıklı yazımı okuyarak bilgi edinebilirsiniz.
wordpress bloğunuzu mutlaka güncelleyin. eski sürümde çeşitli güvenlik açıkları meydana gelmiş olabilir ve ya zararlı yazılımcılar eski sürümle ilgili çeşitli yazılımlar geliştirmiş olabilir. bu sebepten güncelleme yapmayı unutmayın.
eklentilerinizin ve ya temalarınızın güncel sürümleri varsa onlarıda güncelleyin.
wordpress'i otomatik güncellemek için:
Güncelleme sekmesinden otamatik güncellemeleri açabilir ve ya
kod: define( 'WP_AUTO_UPDATE_CORE', true );
bu kodu wp-config.php içerisine uygun bir yere ekleyin.
eklenti ve temalarınızı otomatik güncellemek isteyebilirsiniz. bunun için.
Eklentiler sekmesinden yüklü eklentiler bağlantısına tıklayın. hangi eklentinin otomatik güncellenmesini istiyorsanız seçerek otomatik güncellemeyi aktif edin.
Görünüm sekmesinde yer alan temalar kısmından ise hangi temanın otomatik olarak güncellenmesini istiyorsanız seçerek otomatik güncellemeyi aktif edebilirsiniz.
Aynı işlemi functions.php dosyasına bir satırlık komut ekleyerekte yapabilirsiniz.
add_filter( 'auto_update_plugin', '__return_true' );
Yukarıdaki kodu functions.php dosyanızda uygun bir yere ekleyin.
Temanızı otomatik güncellemek için ise:
add_filter( 'auto_update_theme', '__return_true' );
functions.php dosyanızda uygun bir yere ekleyebilirsiniz.
Web sitenizde ve ya bloğunuzda yer edinen kullanmadığınız eklenti ve ya temalar güvenlik açığı oluşturacaktır. eğer kullanmıyorsanız mutlaka ama mutlaka silmelisiniz. silinmeyen eklenti ve ya temalar ilerde başınıza çoraplar örecektir.
dosya izinlerinizin 777 olması demek okunabilir ve üzerine yazılabilir anlamına gelmektedir.
bu yüzden dosya izinlerinizde 777 varsa bunu değiştirin.
klasör izinlerinizi 755 olarak güncelleyin.
php dosyalarınızın izinleri ise 644 olmalıdır. wp-config.php dosyanızın iznini 600 olarak ayarlayın.
Dosya izinlerini düzenleyebilmek için ftp aracınızla hostinginize bağlantı gerçekleştirin ve izinlerini düzenleyeceğiniz dosya ve ya klasörün üzerine gelerek dosya izinlerini düzenle kısmına tıklayın. dosya ve klasör izinlerini düzenleme işlemi oldukça önemlidir. eğer izinleriniz ( klasörler için 777) dosyalar için (644) olmazsa Web siteniz hackerlerin hedefi haline gelebilir.
Eklentiler sekmesinin altında eklenti düzenleme, görünüm sekmesi altında ise tema düzenleme bağlantısını görmüşsünüzdür daha önce. Tema ve eklenti düzenleme bağlantılarının yönetim panelinden yapılması oldukça riskli bir durumdur. Web sitenizin kullanıcı bilgilerini ele geçiren bir kimse rahatlıkla eklentilerinizde ve temanızda değişiklikler yapabilir ve zararlı, virüslü kod parçaları ekleyebilir.
Böylesine riskli bir durumu ortadan kaldırmak için ise wp-config.php dosyasına şu kodu uygun yere ekleyin.
define( 'DISALLOW_FILE_EDIT', true );
Bu kod ile yönetim panelinizde artık dosya düzenleme ekranı gözükmeyecektir.
veritabanı ayarlarınızın bulunduğu wp-config.php dosyasının güvenliği bir o kadar önemlidir.
wp-config.php dosyanızı güvenli tutmanız gerekir.
Wp-config.php dosyasınızı güvenli hale getirmek için ana dizinde yer alan .htaccess dosyanızın altına şu kodu ekleyin.
order allow,deny
deny from all
bu komut ile wp-config.php dosyanızı kuruma altına almış olursunuz.
Yine aynı zamanda .htaccess dosyanıza şu kodu ekleyerek listelemeyi kapatabilirsiniz.
Options All -Indexes
bloğunuzu korumak kadar kendi bilgisayarınızı korumakta bir o kadar önemlidir.
bilgisayarınıza yerleştirilmiş bir casus yazılım bilgilerinizin ele geçirilmesine sebep olabilir.
bu yüzdende bilgisayarınızı koruma altında tutmanız iyi bir güvenlik önlemi olacaktır.
Eğer çoklu üye sistemine sahip bir web siteniz var ise, üyelerinizin giriş yapmaması gereken alanlarım olsun diyorsanız şu kodu temanızın functions.php dosyasına uygun bir yere ekleyin.
if ( ! current_user_can( 'manage_options' ) && $_SERVER['PHP_SELF'] != '/wp-admin/admin-ajax.php' ) {
wp_redirect( home_url() );
}
}
add_action( 'admin_inid', 'panelengel', 1 );
giriş formlarınızda, üyelik formlarınız varsa iletişim formlarınızda güvenlik kodu kullanarak spamlara karşı önlem alın.
bunun için
google captcha
eklentisini kullanabilirsiniz.
wordpress admin panelinizin yolunu değiştirerek admin panelinizi koruma altına alabilirsiniz.
wordpress'in yönetim paneli adresi şu şekildedir.
www.siteadi.com/wp-admin
farklı bir url adresi tanımlayabilirsiniz.
bunun için
Lockdown WP Admin
Eklentisini kullanarak admin girişi url adresini değiştirebilir, kendinize özgü bir url adresi belirleyebilirsiniz.
Sizler yeni içerikler ürettikçe çok sayıda spam yorumlara maruz kalacaksınız. bu yorumlar web sitenizi zaman geçtikçe yoracak ve yavaşlatacaktır. Web sitenizde spam yorumları engellemenin en iyi yolu bir antispam eklentisi kullanmaktır. antispam eklentilerin başında ise
akismet
eklentisini kullanmanız gerekmektedir.
Web sitenizin şifresini ele geçirmek için yüzlerce binlerce on binlerce denemeler yapılır ve bir süre sonrada şifreniz elegeçirilebilinir. Web sitenizi atak saldırılarından korumak için Web sitenize giriş denemelerini kısıtlayın.
Web sitenize giriş denemelerini kısıtlamak için
wp-login-limit
eklentisini kullanarak giriş denemelerini kısıtlayabilirsiniz.
WordPress bloğunuzu belerli dönemlerde tarayabilmek için ve güvenlik duvarı ekleyebilmek için bir güvenlik eklentisi kullanmanızı öneririm.
Wordpress kullananlar arasında en yaygın olarak kullanılan
wordfence
eklentisini kullanabilirsiniz.
Kesinlikle bir web site açmadan önce kaliteli ve güvenli bir hosting seçmeniz gerekmektedir.
Peki iyi bir hostingi nasıl seçebilirim diyorsanız eğer?
Hosting firmaları arasında karşılaştırma yapmanız gerekmektedir.
Bu özelliklerin olmasına çok dikkat etmelisiniz.
wordpress güvenliği ile ilgili son olarak şunları söylemek istiyorum.
bloğunuzu gelebilecek hertürlü tehditlerden korumak adına mutlaka güvenlik ile ilgili makaleleri okuyun.
güvenliğinizi artırmak için kendinizi ve bilgilerinizi mutlaka güncelleyin.
unutmayın güvenlik web dünyasının mihenk taşıdır. güvenli bir siteden alış veriş yapmak kadar güvenli bir blogta yazı okumak önemlidir.
wordpress güvenliği ile ilgili gerekli yazılar yazıp sizlere paylaşmaya devam edeceğim.
bu yazımı faydalı buyduysanız beğenmeyi unutmayın.
soru ve sorunlarınızı yazımın altına yorum olarak iletebilirsiniz.
iyi bloglamalar herkese.
Bir önceki yazımız olan wordpress ayarları başlıklı makalemizde wordpress ayarları, wordpress genel ayarları ve wordpress gizlilik ayarları hakkında bilgiler verilmektedir.