WordPress kolay kullanımı olan ve dünya genelinde milyonlarca kişinin seçtiği açık kaynak kodlu içerik paylaşım scripti için yapılmış güvenlik eklentilerine değineceğiz bu yazımızda.
WordPress‘in kendisi, sağlam ve güvenli bir yazılım ile oluşturulmuştur; ancak bu, bilgisayar korsanlarına karşı önlem sayılamaz. Zayıf şifreler, açık bulunan eklenti ve temalar veya virüslü sunucular, hack (ele geçirme) işlemi için büyük bir sorun yaratır.
Uyarı: Web sitenizde sorun oluşmaması için, herhangi bir güvenlik eklentisi kurmadan önce web sitenizi yedeklemeyi unutmayın.
1. Wordfence
Wordfence, web sitenizi, bilgisayar korsanlığı, kötü amaçlı yazılım, DDOS ve otomatik şifre deneme saldırıları gibi güvenlik tehditlerine karşı korumanıza yardımcı olan bir WordPress güvenlik eklentisidir.
Web sitenize gelen tüm trafiği filtreleyen ve şüpheli istekleri engelleyen güvenlik duvarı sayesinde sitenizi koruma işlemini yapan eklenti aktif olarak 2 milyon kullanıcı tarafından kullanılmaktadır.
Tüm WordPress çekirdek dosyalarınızı, temalarınızı, eklentilerinizi tarar ve değişiklikleri ve şüpheli kodları klasörleri yükleyen bir zararlı yazılım var ise silme yada düzelme işlemi yapar. Bu eklenti sayesinde saldırıya uğramış bir WordPress sitesini temizlemenize yardımcı olur.
Temel Wordfence eklentisi ücretsiz, ancak ülke engelleme, gerçek zamanlı olarak güncellenen güvenlik duvarı kuralları, zamanlanmış tarama gibi daha gelişmiş özelliklere erişmenizi sağlayan ücretli sürümü de beraberinde getiriyor. İhtiyaçlarınız doğrultusunda ücretli sürüme geçme kararını kendiniz vermelisiniz.
2. Sucuri
Sucuri, WordPress sitenize zarar verebilecek belirli saldırı ve girişimler için bir izleme aracıdır. Fakat Sucuri, genellikle profesyonel kullanıcılar için önerilir. Bu yüzden ancak WordPress‘i daha iyi bilen birisi bu eklentiyi kullanabilir.
Sucuri’nin sunduğu gelişmiş özellikler arasında uzaktan kötü amaçlı yazılım taraması, canlı güvenlik izleme monitoru ve post-hack‘e (büyük WordPress saldırısının kaynağı) karşı güvenlik yöntemleri bulundurur.
3. All In One WP Security & Firewall
Kullanıcı dostu bir arayüze ve kullanım şekline sahiptir. Bazı özelliklerini listeleyecek olursak, kullanıcı giriş güvenliği, sistem dosya taraması güvenliği, firewall ve veritabanı güvenliği bu listeye girecektir.
Ayrıca güvenlik duvarı özelliği, bir IP üzerinden gelen saldırıları kolayca engelleme görevi görürken, aynı zamanda sitenizi virüslü botlardan da koruyor.
Diğer Güvenlik Önlemleri :
- MySQL veritaban ismi
- Varsayılan MySQL veritabanı ismini değiştirmek faydalı olacaktır. MySQL veritabanı ismini Web sitenizle veya kullanıcı adınızla ilgili olmayacak şekilde değiştirebilirsiniz. Yine büyük – küçük harf, özel karakter ve sayı içeren bir veritabanı ismi belirleyebilirsiniz.
- MySQL kullanıcı adı ve şifresi
- MySQL kullanıcı adı ve şifrenizi çift tırnak ve tek tırnak işareti dışındaki özel karakterlerden oluşacak şekilde belirlemeniz faydalı olacaktır.
- PhpMy Admin tablo ismi
- Wp-config.php dosyasının 67. satırında yer alan “$table_prefix = ‘wp_’;” kodundaki “wp_” yerine karmaşık bir tablo ismi verebilirsiniz.
- Eşsiz doğrulama anahtarı
- Eşsiz doğrulama anahtarı oluşturmak için WordPress Secret Key adresine gidip burada bulunan eşsiz kodu kopyalayıp Wp-Config dosyasındaki “secret key” bölümüne yapıştırabilirsiniz. Bu sayfaya her girişinizde farklı bir kodla karşılaşırsınız. Bu kodun amacı önemli cookie’lerin siteye giren kullanıcıların bilgisayarlarında saklanmasını önlemek.
- Wp-Admin yolunu değiştirmek
- Grewpin isimli programı kullanarak Wp-admin yolunu özelleştirebilirsiniz. Ayrıca aşağıdaki yollarda da düzenleme yapabilirsiniz:
/wp-admin/css/wp-admin.css
/wp-admin/css/wp-admin.dev.css
/wp-admin/css/wp-admin-rtl.css
/wp-admin/css/wp-admin-rtl.dev.css
/wp-includes/class-wp-admin-bar.php
/wp-login.php
/wp-register.php - Not: Bu düzenlemeyi her WordPress güncellemesi sonrası aynı şekilde yapmanız gerekmektedir.
- Grewpin isimli programı kullanarak Wp-admin yolunu özelleştirebilirsiniz. Ayrıca aşağıdaki yollarda da düzenleme yapabilirsiniz:
- Hata mesajlarını gizlemek
- Giriş sayfasında yanlış kullancı adı veya şifre girildiğinde karşımıza çıkan “hatalı kullanıcı adı” veya “hatalı parola” uyarılarını değiştirebilirsiniz. “<?php” bölümündeki kodu aşağıdaki gibi değiştirebilirsiniz:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
- Giriş sayfasında yanlış kullancı adı veya şifre girildiğinde karşımıza çıkan “hatalı kullanıcı adı” veya “hatalı parola” uyarılarını değiştirebilirsiniz. “<?php” bölümündeki kodu aşağıdaki gibi değiştirebilirsiniz:
- Sürüm gizlemek
- Her WordPress sürümünün belli güvenlik açıkları olabilir. Sitenizde yer alan WordPress sürümünü gizlemek için tema içerisindeki “functions.php” bölümüne aşağıdaki kodu ekleyebilirsiniz:
remove_action(‘wp_head’, ‘wp_generator’);
- Her WordPress sürümünün belli güvenlik açıkları olabilir. Sitenizde yer alan WordPress sürümünü gizlemek için tema içerisindeki “functions.php” bölümüne aşağıdaki kodu ekleyebilirsiniz:
- Admin nickini değiştirmek
- Kullanıcı adınızı “Admin” olarak bırakmak tehlike arz etmektedir. Kullanıcı adınızı değiştirmenizi tavsiye ederiz. Bunun için temanızın header.php bölümünde <?php satırından sonra yeni bir SQL sorgusu oluşturarak aşağıdaki kodu ekleyebilirsiniz:
UPDATE wp_users SET user_login = ‘Yeni‘ WHERE user_login = ‘Admin’;
“Yeni” yazan yere belirlediğiniz kullanıcı adını yazabilirsiniz.
- Kullanıcı adınızı “Admin” olarak bırakmak tehlike arz etmektedir. Kullanıcı adınızı değiştirmenizi tavsiye ederiz. Bunun için temanızın header.php bölümünde <?php satırından sonra yeni bir SQL sorgusu oluşturarak aşağıdaki kodu ekleyebilirsiniz:
- Varsa .htaccess dosyasını güvenli hale getirmek
- .htaccess dosyası kullanıyorsanız aşağıdaki kodu kullanarak .htaccess bölümünü daha güvenli hale getirebilirsiniz:
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
- .htaccess dosyası kullanıyorsanız aşağıdaki kodu kullanarak .htaccess bölümünü daha güvenli hale getirebilirsiniz:
- Dosya izinlerini Varsayılan değere çekmek
- Klasörlerinizin yeniden yazma izinlerini aşağıdaki verilere göre karşılaştırın:
Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644
- Klasörlerinizin yeniden yazma izinlerini aşağıdaki verilere göre karşılaştırın:
- Eklentileri gizlemek
- Eklentilerin kendine has güvenlik açıkları olabilir. Bunun önüne geçmek için wp-content/plugins bölümüne girerek index.html şeklinde boş bir dosya oluşturun. Sonrasında bu dosyayı eklentiler ana dizinine taşıyın.
- Wp-Config.php dosyasının yerini değiştirmek
- Wp-includes klasörü içerisine yeni bir klasör açarak Wp-config.php dosyasını bu klasöre taşıyın. Klasör yolu Wp-includes/yeniklasör/wp-config.php olacak. “Yeniklasör” kısmını bildiğiniz bir şekilde isimlendirebilirsiniz. Sonrasında Wp-load.php dosyasını Grewpin ile açıp wp-config.php dosya yolunu yeni dosya yolumuzla değiştiriyoruz. Yaptığınız değişikliği FTP’nize gönderdikten sonra veri tabanı dosyamız değişmiş oluyor.
Bu güvenlik önlemleri sayesinde web sitenizi daha güvenli hale getirebilirsiniz ayrıca sunucu güvenliği daha önemlidir güvenli sunucularda web sitenizi barındırarak güvenlik katmanınızı artırabilirsiniz.
Bu önerilerimizin dışında websitenizde nulled eklentilerden kaçının eklentilerin içerisinde kötü amaçlı kodlar eklenerek web sitenizin güvenlik açıkları oluşturabilirsiniz.