Merhaba değerli üyeler.
Bu konuda sizleri WordPress güvenlik önlemleri hakkında detaylı bir içerik bekliyor.
Aklınıza takılan ve anlamlandıramadığınız soruları konu altından sorabilirsiniz.
Bu konuda sizleri WordPress güvenlik önlemleri hakkında detaylı bir içerik bekliyor.
Aklınıza takılan ve anlamlandıramadığınız soruları konu altından sorabilirsiniz.
GENEL GÜVENLİK ÖNLEMLERİ
WordPress kurulumunuzu başarılı bir şekilde tamamlamanızın ardından ekstra alabileceğiniz önlemlere geçmeden önce geneli kontrol edip buna göre aksiyon almanızı gerektirecek bir takım önlemler bulunmaktadır.
GÜÇLÜ PAROLA:
Kaba kuvvet olarak adlandırılan Brute Force saldırılarının önüne geçilmesi için güçlü bir şifre belirlemek, alabileceğiniz ilk önlemler arasında bulunuyor.
Parola belirlenirken tahmin edilmesi güç en az 8 karaktere sahip ayrıca içerisinde özel karakterlerinde bulunduğu bir şifre yapılması gerekmektedir. Örnek olması amacıyla bir parola paylaştım
aK-yO$G)
Parola belirlenirken tahmin edilmesi güç en az 8 karaktere sahip ayrıca içerisinde özel karakterlerinde bulunduğu bir şifre yapılması gerekmektedir. Örnek olması amacıyla bir parola paylaştım
aK-yO$G)
YETKİ SINIRLANDIRMA:
WordPress sitenizde Yönetici yetkilerinizi minimuma indirmeniz olası bir durumda saldırganın websiteniz üzerinde işlem yapmasını büyük ölçüde engelleyecektir.
WordPress sitenizde birden fazla yönetici hesabının bulunması zafiyet riskini arttırır. Hesapları olabildiğinca sınırlı sayıda tutmak alabileceğiniz önemli önlemler arasındadır.
WordPress sitenizde birden fazla yönetici hesabının bulunması zafiyet riskini arttırır. Hesapları olabildiğinca sınırlı sayıda tutmak alabileceğiniz önemli önlemler arasındadır.
EKLENTİLER:
WordPress sitenizde en az sayıda eklenti kullanmanız zafiyet riskini azaltmaktadır. Kullanılmayan tüm eklentiler devre dışı bırakılmalı güncellemeler sık sık yapılmalıdır.
TEMALAR:
Eklentilerde kullanılmayanlar devre dışı bırakıldığı gibi temalarda da aynı işlemin uygulanmasına özen gösterilmelidir. Yedek tema bırakmanız durumunda WordPress'in sürekli güncelleme alabilen strandart temalarını kullanabilirsiniz.
YEDEKLEME:
Olası bir saldırı durumunda veri kaybına karşı belirli aralıklarla yedekleme alınmalıdır. Yedeklemede herhangi bir sorun olup olmadığına karşın sık sık kontrol edilmesi gerekmektedir.
GÜNCELLEMELER:
WordPress güncellemeleri sık sık kontrol edilmeli son sürüm kullanılmalıdır.
WP-CONFİG.PHP SIKILAŞTIRMA:
WordPress sistemlerinde en önemli dosyalardan biri olan config dosyası parola ve ayarların saklandığı yerdir. Dışarıdan okunabilir hale gelmemesi için yapabileceğiniz bazı ayarlamalar bulunmakadır. .htaccess dosyası içeriğine aşağıdaki kodu girmeniz gerekmektedir.
HATA AYIKLAMA MODU:
Saldırganlar hata mesajlarından yola çıkarak websitenize zarar verebilir bu gibi durumlardan korunabilmek için hata mesajlarını kapatmanız gerekmektedir.
Wp-config.php dosyasına aşağıdaki kodu eklemeniz durumunda hata mesajları kapatılacaktır.
Wp-config.php dosyasına aşağıdaki kodu eklemeniz durumunda hata mesajları kapatılacaktır.
XML-RPC ERİŞİMİ:
XMLRPC Wordpress sisteminin sağladığı API dır. Brute Force saldırılarında sıkça istismar edilen bu dosyaya erişimi kısıtlamak gerekir. function.php dosyasına aşağıdaki kodu eklemeniz durumunda erişim kısıtlanacaktır.
SÜRÜM BİLGİSİ:
Saldırganların sürüm bilginizi bilmesi saldırılarını daha kolay bir şekilde gerçekleştirmesini sağlar. Aşağıdaki kodu functions.php dosyasına eklediğiniz taktirde sürüm bilgisi gizlenecektir.
WP-ADMIN GİZLEME:
Bunun bir çok yolu vardır ancak en önemli ve benimde sürekliği kullandığım çözüm -> iThemes eklentisidir. Bu eklenti sayesinde wp-admin uzantısını token ile gizleyebilmektesiniz. Bu sayede wordpress bilen lamerlar sizin sitenize doğrudan saldıramayacaklardır.
EK GÜVENLİK ÖNLEMLERİ
İKİ ADIMLI DOĞRULAMA
Yönetim panelini iki adımlı giriş ile korumanız websitenizi daha güvenli bir hale getirecektir.
DİZİN LİSTELEME
Aşağıdaki kodu .haccess eklemeniz durumunda sunucuda dizin listeme kapatılacaktır.
# dizin listelemeyi iptal et
Options All -Indexes
# dizin listelemeyi iptal et
Options All -Indexes
DOSYA BOYUTU:
Dosya boyutunu sınırlandırmak için aşağıdaki kodu .htaccess dosyanıza ekleyebilirsiniz.
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000
GÜNCELLEME:
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000
GÜNCELLEME:
Wp-load.php Dosyasına Erişimi Engellemek
Güvenli WordPress’in bir diğer adımı da wp-load.php dosyasına erişimi engellemektir. .htaccess dosyasını kullanarak wp-config.php dosyasına dışarıdan erişimi engellediğimzi gibi wp-load.php dosyasına olası yetkisiz erişimler için kısıtlama getirebiliriz.
WordPress .htaccess Dosyasına Erişimi Engellemek
WordPress için Apache sunucularda .htaccess dosyası çok önemlidir. Bu dosya genelde WordPress’in standart yönlendirme içeriğini barındırır. Diğer bir yandan yukarıda belirttiğimiz gibi yetkisiz erişimleri engellemek için de kullanabilirsiniz. Aşağıdaki kodu da .htaccess dosyamıza eklersek, .htaccess dosyamızın güvenliğini de sağlamış oluruz.
WordPress Otomatik Güncellemeleri Açmak
Diğer yazılımlarda da olduğu gibi WordPress üzerinde de zafiyetler ortaya çıkmakta ve WordPress ekibi tarafından sürekli olarak tespit edilen bu zafiyetler kapatılmaktadır. Zafiyetlerin kapatılabilmesi için Wordpress ekibi bir güncelleme yayınlar. Bu güncellemeleri manuel olarak yapabildiğiniz gibi aşağıdaki kodu wp-config.php dosyanıza ekleyerek otomatik olarak yapabilirsiniz.
Zamanlanmış Görevleri Kapatmak
WordPress’in özelliklerinden biri de zamanlanmış görevlerdir. Ancak zamanlanmış görevler bazı durumlarda sisteminize aşırı yüklenmelere sebep olabilir. Diğer bir yandan saldırganlar sisteminize sızdığı zaman kalıcı olabilmek adına, WordPress’in CRON işlevini kullanabilirler. Aşağıdaki kodu wp-config.php dosyanıza ekleyerek WordPress’in zamanlanmış görevlerini durdurabilirsiniz.
Dosya Düzenleme Editörünü Kapatmak
WordPress üzerindeki temaların dosyalarını yönetim paneli üzerindeki kod editörü ile düzenleyebilirsiniz. Ancak bu özellik beraberinde bir zafiyet doğurabilir. Özellikle de siber saldırganların sisteminizdeki bir zafiyet üzerinden temanızın dosyalarına zararlı kod enjekte ettiklerine şahit olabiliyoruz. Aşağıdaki kodu wp-config.php dosyanıza ekleyerek WordPress’in tema dosyalarını düzenleme özelliğini kapatabilirsiniz. Bu sayede güvenliğinizi bir adım daha ön plana çıkartacaksınız.
WordPress Pingback Saldırılarına Karşı Önlem Almak
WordPress’in Pingback özelliği saldırganlar tarafından kötüye kullanılarak sisteminizde aşırı bir yük oluşturulabilir ve servis dışı kalma saldırılarında (DDOS) kullanılabilir. Bu duruma engel olmak için kullanmıyorsanız WordPress’in Pingback özelliğini kapatmanızı tavsiye ederiz. Aşağıdaki kodu temanızın functions.php dosyasında uygun bir yere ekleyerek Pingback fonksiyonunu kapatabilirsiniz.
Wordpres REST API Özelliğini Kapatmak
WordPress 4.4 ile beraber gelen REST API özelliğini kullanmıyorsanız kapatmanızı tavsiye ederiz. Bu api özelliği siber saldırganlar tarafından kötü niyetli olarak kullanılabilir ve sisteminizin aşırı yüklenmesini sağlayarak servis dışı kalmasına sebep olabilir. WordPress Rest-API özelliğini kapatmak için temanızın functions.php dosyasına aşağıdaki kodu girmeniz yeterli olacaktır.
:
);
WordPress Veritabanı Güvenlik Önlemleri
WordPress veritabanı internet sitenizin çalışabilmesi için gerekli tüm bilgileri tutar ve depolama sağlar. Elbette ki saldırganlarda SQL saldırıları gerçekleştirmek için otomatik kod çalıştıran uygulamalarla zafiyet arayarak veritabanınıza erişmeye veya verileri değiştirmeye çalışacaklardır. WordPress kurulumu sırasında veritabanı eki varsayılan olarak wp_ şeklinde gelir ve çoğu zaman varsayılan wp_ ekini değiştirmeden kurulumu tamamlarız. Bu noktada saldırganlar için maalesef ki bir zafiyet bırakmış olacaksınız. Varsayılan kurulumda veri tabanı ön ekini (_wp_) değiştirmediyseniz, kurulum tamamlandıktan sonra aşağıdaki kodları kullanarak veritabanınızın ön ekini değiştirebilirsiniz.
Not: Bu işlem sırasında sisteminizi kullanılamaz bir hale getirebilirsiniz. İşleme başlamadan önce veritabanınızın bir yedeğini almanızı tavsiye ederiz.
Aşağıdaki sorguları hosting kontrol panelinizde phpmyadmin SQL bölümünü kullanarak tamalayınız. Bu işlemler tamamlandığı zaman wp-config.php dosyası içerisinden de veritabanı ön ekini değiştirmeniz gerekmektedir.
Not: Aşağıdaki sorguda veritabanı ön eki wpsecure123_ olarak yeniden tanımlanmıştır. Bu değeri kendinize göre özelleştirmeniz tavsiye edilir.
:
Wp-Admin Klasörüne Erişimi Sınırlamak
WordPress’in yönetim paneline erişmek için bgasecurity.com/wp-admin şeklinde giriş yapmaktayız. Standart kurulumla wp-admin klasörüne erişim açık durumdadır. Ancak bu saldırganlar tarafından da bilindiği gibi brute force gibi ataklarla parolalarınızın kırılmasına ve yetkisiz erişimler alınmasına sebep olabilir. Bu gibi saldırılara karşı korunmak için Wp-admin klasörüne erişimi üç türlü gerçekleştirebiliriz.
Birinci erişim kısıtlama yöntemimiz .htaccess dosyası kullanarak wp-admin klasörüne erişimlerde sabit bir ip adresi tanımlamaktır. Eğer sabit bir ip adresine sahipseniz erişimi aşağıdaki şekilde sınırlandırabilirsiniz.