Bilgimix.com

29 Ocak 2009 – 05:36 | kanguru |

(2)  Loading ...

bu içeriği işaretle:

wordpress kullanarak yayın yapan sitelerin büyük çoğunluğu güvenlikle ilgilenmezler. oysa site yayıncılığının en önemli noktası sitenin kendi güvenliğini sağlamaktır.

bu yazıda wordpress yönetici (admin) alanının güvenliğini sağlamanın yollarıı anlatmaya çalışıyoruz. bu adımları uygulamadan önce hem wordpress sitenizin hem de veritabanının yedeğini almayı unutmayın.

1. wordpress klasörünün adını değiştirmek

wordpress 2.6 ile birlikte gelen bir yenilik var. artık wordpress dosyalarınızı doğrudan sitenizin root’una atmak yerine farklı bir klasör yaratıp dosyaları burada barındırabilirsiniz. wordpress kurumlum sırasında size sitenizin dosyalarının nerede olduğunu soracaktır. üstelik sitenize yine www.adsoyad.com şeklinde erişebileceksiniz. elbette wp-config.php dosyasında gerekli düzenlemeleri yapmanız gerekiyor ki bu düzenlemeler zaten size sorulacaktır kurulum sırasında.

burada dikkat edilmesi gereken nokta oluşturacağınız wordpress klasörünün isminin karmaşık ve şifrelenmiş gibi olmasıdır. bu klaösr ismini bir daha hatırlamanız gerekmeyeceğinden karmaşık bir isim çıkarmaya özen gösterin.

bu işlem size ne sağlar?
- herşeyden önce wordpress kurulum dosyaları alan adınızın root’unda olmayacak ve bir klasör içerisinde olacağı için, daha derli toplu bir ftp yönetimine kavuşacaksınız.
- aynı yöntemle birden fazla klasör oluşturup sitenizde yapacağınız değişiklikleri önceden test etme imkanına kavuşacaksınız. (birçok kişşi bu yöntemi kullanıyor)
- son olarak dosyalarınızı doğrudan root klasöründe değilde bir başka klasör içerisinde barındırıyor olmanız sitenizin güvenliğini artıracak. zira robotların ilk taradıkları yer site root’udur.

UYARI: bu adımı yeni wordpress kurulumu sırasında deneyin. hali hazırda çalışan sitenizde denemek isterseniz, dosya ve veritabanının yedeğini mutlaka alın!!!

2. wp-config.php dosyasının güvenliğini artırın
wp-config.php dosyası, wordpress kurulumunuzun ve veritabanı erişim bilgilerini barındıran en önemli dosyalardan birisidir. bu nedenle bu dosyanın güvenliği daha önemlidir. bu dosyanın güvenliğini artırmak için:

- security keys denen ve wordpress 2.7 ile birlikte 4 adete çıkan satırları bu dosyaya ekleyin. bu satırları buradan otomatik olarak oluşturabilirsiniz. rakam ve harf kombinasyonunu hatırlamanıza gerek olmadığından bu satırları rahatlıkla kullanabilirsiniz. böylece wp-config.php dosyasının hack’lenmesi daha da zorlaşacak.
- wordpress kurulum sırasında veritabanı önek’ini (prefix) wp_ olarak belirler. kurulum sırasında bu önek’i farklılaştırmanızda fayda var. örneğin $table_prefix = ‘wp_’; yerine $table_prefix = ‘wp7Fs59g_’; daha doğru olacaktır. bu kombinasyonu istediğiniz gibi değiştirebilirsiniz. bu bilgiler wp-config.php dosyasında da olacağından hazır botlarla yapılan saldırılarda bir adım önde olmuş olacaksınız.
- eğer sunucunuz destekliyorsa yönetici alanını şifrelemenizde fayda var. bu işlem için wp-config.php dosyasına

define('FORCE_SSL_ADMIN', true);

satırını eklemeniz yeterli olacaktır.

3. wp-config.php dosyasını taşımak
wp-config.php dosyasının öneminden ve güvenliği artırmak için neler yapılabileceğinden bahsettik. dosyanın önemini bilen wordpress geliştiricileri, 2.6 sürümünden itibaren bu dosyanın taşınmasına izin veriyorlar. dosyayı alan adınızın kurulu olduğu alanın bir üst seviyesine taşıyabilirsiniz. wordpress bunu otomatik olarak algılayacaktır. ancak birden fazla wordpress sitenizi aynı sunucuda barındırıyordanız sadece bir tanesini taşıabileceksiniz, bilginize…

4. wp-config.php dosyasını korumaya devam
wp-config.php dosyasını korumak için bir yolunuz daha bulunuyor. bu işlem için .htaccess dosyanıza (yoksa hemen bir tane oluşturun) şu satırları eklemeniz yeterli olacak.

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

ancak bu işlemi yaparken .htaccess dosyası ile wp-config.php dosyasının aynı dizinde olduğundan emin olun.

5. admin kullanıcı hesabını hemen silin

wordpress’i kurarken kullanıcı adınız admin olarak belirlenir. her ne kadar şifre çok karmaşık belirlense ve siz daha sonra bu şifreyi değiştirebiliyor da olsanız, kullanıcı adı değiştirilemediğinden, admin adı da değiştirilemez. o nedenle bu hesabı hemen silin gitsin. elbette önce yeni bir admin (yönetici) hesabı oluşturmuş olmalısınız.

6. güçlü bir parola belirleyin

wordpress yönetici hesabınızı oluştururken güçlü bir parola belirlemeye gayret edin. unutmayacağınız bir kombinasyon işşinzi görebilir. harf, rakam ve işaretleri karşık olarak kullanmaya özen gösterin. örneğin; 1970 istanbul doğumlu, galatasaraylı, evli iseniz parolanızı 19e.ist-70? şeklinde oluşturabilir ve hatırlamakta güçlük çekmezsiniz.

7. yönetici giriş alanında ufak bir değişiklik yapalım

wordpress’in bana göre bir açığından bahsedeceğim şimdi. wordpress yönetici alanına girdiğinizde, sistem sizden kullanıcı adınızı ve şifrenizi girmeniz isteniyor. ancak siz bunlardan sadece birini doğru girdiyseniz size hangisinin yanlış olduğunu wordpress söylüyor. örneğin kullanıcı adınız doğru yazıp, şifrenizi yanlış yazdıysanız wordpress size şifreniz yanlış diyor. tam tersi durumda da kullnıcı adınız yanlış uyarısı veriyor. bu şekilde wordpress hesabınız sizi tanıyan birisi tarafından tahmin yöntemiyle ele geçirilebilir.

şimdi bunu nasıl engelleyeceğimizi öğrenelim. hemen tema klasörünüz içerisindeki functions.php dosyasını bulun (tema klasöründeki diye tekrar edelim) daha sonra bu dosyaya şu satırı ekleyin.

add_filter('login_errors',create_function('$a', "return null;"));

wordpress’in artık benzer uyarıyı vermediğini göreceksiniz.

8. yanlış giriş denemelerini sınırlandırın

wordpress yönetici paneline girmek istediğinizde istediğiniz kadar deneme yapabiliyorsunuz ki bu hiç mantıklı değil. bunun yerine login lockdown veya limit login attempts eklentilerinden birisini kullanarak giriş sayısını sınırlayabilirsiniz. örneğin 3 kere hatalı şifre girildiğinde kullanıcının girişini istediğiniz süre ile engelleyebilirsiniz. böylece deneme yanılma yoluyla şifre ele geçirmek isteyenleri de engellemiş olursunuz.

9. kullandığınız eklentileri ve wordpress sürmünü güncel tutun

güvenlik konusunda en önemli adım günvelliktir. wordpress sürümünüzün ve kullandığınız eklentilerin güncel olduğundan emin olun. artık wordpress’in bu işleri otomatik olarak yapabildiğini de varsayarsak bu işlemlerin ne kadar kolay olduğunu görebilirsiniz.

10. wp-content/plugins/ klasörünü gizleyin
her ne kadar sitenizde kullanıdığınız eklentileri güncel tutuyor da olsanız, hangi eklentiyi kullanıdığınızın bilinmesini istemezsiniz. bu sitenizin güvenliği için hiç de iyi olmaz. sitenize saldıracak kişiler hangi eklentiyi kullandığınızı bilirse, o eklentideki olsaı açıklar üzerinden de sitenizi ele geçirebilirler. o nedenle bu klasörün içeriğini gizlemenizde fayda var. bunun için plugins klasörünüzün içerisine boş bir index.html veya index.php dosyası atın. kullandığınız eklentilerin nasıl öğrenilebileceğini görmek için buraya bir göz atın.

hack’lenen wordpress sitelerinin büyük çoğunluğunun kullanılan üçüncü parti eklentilerden ve güncellememekten kaynaklandığını unutmayın. sitenizi de mümkün olduğunca az eklenti ile çalıştırmaya gayret edin.

11. wordpress sürümünüzü gizleyin
kullandığınız sürümün gizli olması işinize gelir. böylece hangi sürümü kullandığınız bilinemez. bu işlem için tema klasörünüzdeki header.php dosyasındaki

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

satırını silin gitsin.

12. wp-admin alanına erişimi sınırlandırın
eğer sitenizin yönetim alanına sürekli aynı ip’lerden bağlanıyorsanız, girişleri buna göre sınırlandırabilirsiniz. yapmanız gereken şu kod satırlarınız wp-admin/.htaccess dosyasına eklemek. o kadar

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 62.213.168.91
# whitelist work IP address
allow from 61.147.114.210
allow from 198.139.126.101
# IP while in Kentucky; delete when back
allow from 128.163.2.127