Neler yeni

Rehber WordPress Sıkılaştırma ve Güvenlik Önlemleri

™ROOT

Moderasyon Ekibi
Moderatör
Katılım
26 Eki 2022
Konular
300
Mesajlar
1,562
Çözümler
1
Puanları
11,883
ModArt Kredi
0
Merhaba değerli üyeler.
Bu konuda sizleri WordPress güvenlik önlemleri hakkında detaylı bir içerik bekliyor.
Aklınıza takılan ve anlamlandıramadığınız soruları konu altından sorabilirsiniz.​

GENEL GÜVENLİK ÖNLEMLERİ​

WordPress kurulumunuzu başarılı bir şekilde tamamlamanızın ardından ekstra alabileceğiniz önlemlere geçmeden önce geneli kontrol edip buna göre aksiyon almanızı gerektirecek bir takım önlemler bulunmaktadır.​

GÜÇLÜ PAROLA:​

Kaba kuvvet olarak adlandırılan Brute Force saldırılarının önüne geçilmesi için güçlü bir şifre belirlemek, alabileceğiniz ilk önlemler arasında bulunuyor.
Parola belirlenirken tahmin edilmesi güç en az 8 karaktere sahip ayrıca içerisinde özel karakterlerinde bulunduğu bir şifre yapılması gerekmektedir. Örnek olması amacıyla bir parola paylaştım

aK-yO$G)​

YETKİ SINIRLANDIRMA:​

WordPress sitenizde Yönetici yetkilerinizi minimuma indirmeniz olası bir durumda saldırganın websiteniz üzerinde işlem yapmasını büyük ölçüde engelleyecektir.
WordPress sitenizde birden fazla yönetici hesabının bulunması zafiyet riskini arttırır. Hesapları olabildiğinca sınırlı sayıda tutmak alabileceğiniz önemli önlemler arasındadır.​

EKLENTİLER:​

WordPress sitenizde en az sayıda eklenti kullanmanız zafiyet riskini azaltmaktadır. Kullanılmayan tüm eklentiler devre dışı bırakılmalı güncellemeler sık sık yapılmalıdır.​

TEMALAR:​

Eklentilerde kullanılmayanlar devre dışı bırakıldığı gibi temalarda da aynı işlemin uygulanmasına özen gösterilmelidir. Yedek tema bırakmanız durumunda WordPress'in sürekli güncelleme alabilen strandart temalarını kullanabilirsiniz.​

YEDEKLEME:​

Olası bir saldırı durumunda veri kaybına karşı belirli aralıklarla yedekleme alınmalıdır. Yedeklemede herhangi bir sorun olup olmadığına karşın sık sık kontrol edilmesi gerekmektedir.​

GÜNCELLEMELER:​

WordPress güncellemeleri sık sık kontrol edilmeli son sürüm kullanılmalıdır.​

WP-CONFİG.PHP SIKILAŞTIRMA:​

WordPress sistemlerinde en önemli dosyalardan biri olan config dosyası parola ve ayarların saklandığı yerdir. Dışarıdan okunabilir hale gelmemesi için yapabileceğiniz bazı ayarlamalar bulunmakadır. .htaccess dosyası içeriğine aşağıdaki kodu girmeniz gerekmektedir.​

Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.



HATA AYIKLAMA MODU:​

Saldırganlar hata mesajlarından yola çıkarak websitenize zarar verebilir bu gibi durumlardan korunabilmek için hata mesajlarını kapatmanız gerekmektedir.
Wp-config.php dosyasına aşağıdaki kodu eklemeniz durumunda hata mesajları kapatılacaktır.

Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

XML-RPC ERİŞİMİ:​

XMLRPC Wordpress sisteminin sağladığı API dır. Brute Force saldırılarında sıkça istismar edilen bu dosyaya erişimi kısıtlamak gerekir. function.php dosyasına aşağıdaki kodu eklemeniz durumunda erişim kısıtlanacaktır.
PHP:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

SÜRÜM BİLGİSİ:​

Saldırganların sürüm bilginizi bilmesi saldırılarını daha kolay bir şekilde gerçekleştirmesini sağlar. Aşağıdaki kodu functions.php dosyasına eklediğiniz taktirde sürüm bilgisi gizlenecektir.​


Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

WP-ADMIN GİZLEME:​

Bunun bir çok yolu vardır ancak en önemli ve benimde sürekliği kullandığım çözüm -> iThemes eklentisidir. Bu eklenti sayesinde wp-admin uzantısını token ile gizleyebilmektesiniz. Bu sayede wordpress bilen lamerlar sizin sitenize doğrudan saldıramayacaklardır.

EK GÜVENLİK ÖNLEMLERİ​

İKİ ADIMLI DOĞRULAMA​


Yönetim panelini iki adımlı giriş ile korumanız websitenizi daha güvenli bir hale getirecektir.

DİZİN LİSTELEME​

Aşağıdaki kodu .haccess eklemeniz durumunda sunucuda dizin listeme kapatılacaktır.

# dizin listelemeyi iptal et
Options All -Indexes​

DOSYA BOYUTU:​

Dosya boyutunu sınırlandırmak için aşağıdaki kodu .htaccess dosyanıza ekleyebilirsiniz.

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

GÜNCELLEME:​

Wp-load.php Dosyasına Erişimi Engellemek​

Güvenli WordPress’in bir diğer adımı da wp-load.php dosyasına erişimi engellemektir. .htaccess dosyasını kullanarak wp-config.php dosyasına dışarıdan erişimi engellediğimzi gibi wp-load.php dosyasına olası yetkisiz erişimler için kısıtlama getirebiliriz.
Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

WordPress .htaccess Dosyasına Erişimi Engellemek​

WordPress için Apache sunucularda .htaccess dosyası çok önemlidir. Bu dosya genelde WordPress’in standart yönlendirme içeriğini barındırır. Diğer bir yandan yukarıda belirttiğimiz gibi yetkisiz erişimleri engellemek için de kullanabilirsiniz. Aşağıdaki kodu da .htaccess dosyamıza eklersek, .htaccess dosyamızın güvenliğini de sağlamış oluruz.
Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

WordPress Otomatik Güncellemeleri Açmak​

Diğer yazılımlarda da olduğu gibi WordPress üzerinde de zafiyetler ortaya çıkmakta ve WordPress ekibi tarafından sürekli olarak tespit edilen bu zafiyetler kapatılmaktadır. Zafiyetlerin kapatılabilmesi için Wordpress ekibi bir güncelleme yayınlar. Bu güncellemeleri manuel olarak yapabildiğiniz gibi aşağıdaki kodu wp-config.php dosyanıza ekleyerek otomatik olarak yapabilirsiniz.

Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

Zamanlanmış Görevleri Kapatmak​

WordPress’in özelliklerinden biri de zamanlanmış görevlerdir. Ancak zamanlanmış görevler bazı durumlarda sisteminize aşırı yüklenmelere sebep olabilir. Diğer bir yandan saldırganlar sisteminize sızdığı zaman kalıcı olabilmek adına, WordPress’in CRON işlevini kullanabilirler. Aşağıdaki kodu wp-config.php dosyanıza ekleyerek WordPress’in zamanlanmış görevlerini durdurabilirsiniz.


Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

Dosya Düzenleme Editörünü Kapatmak​


WordPress üzerindeki temaların dosyalarını yönetim paneli üzerindeki kod editörü ile düzenleyebilirsiniz. Ancak bu özellik beraberinde bir zafiyet doğurabilir. Özellikle de siber saldırganların sisteminizdeki bir zafiyet üzerinden temanızın dosyalarına zararlı kod enjekte ettiklerine şahit olabiliyoruz. Aşağıdaki kodu wp-config.php dosyanıza ekleyerek WordPress’in tema dosyalarını düzenleme özelliğini kapatabilirsiniz. Bu sayede güvenliğinizi bir adım daha ön plana çıkartacaksınız.


Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

WordPress Pingback Saldırılarına Karşı Önlem Almak​

WordPress’in Pingback özelliği saldırganlar tarafından kötüye kullanılarak sisteminizde aşırı bir yük oluşturulabilir ve servis dışı kalma saldırılarında (DDOS) kullanılabilir. Bu duruma engel olmak için kullanmıyorsanız WordPress’in Pingback özelliğini kapatmanızı tavsiye ederiz. Aşağıdaki kodu temanızın functions.php dosyasında uygun bir yere ekleyerek Pingback fonksiyonunu kapatabilirsiniz.

Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

Wordpres REST API Özelliğini Kapatmak​


WordPress 4.4 ile beraber gelen REST API özelliğini kullanmıyorsanız kapatmanızı tavsiye ederiz. Bu api özelliği siber saldırganlar tarafından kötü niyetli olarak kullanılabilir ve sisteminizin aşırı yüklenmesini sağlayarak servis dışı kalmasına sebep olabilir. WordPress Rest-API özelliğini kapatmak için temanızın functions.php dosyasına aşağıdaki kodu girmeniz yeterli olacaktır.

:​
Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.
);

WordPress Veritabanı Güvenlik Önlemleri​


WordPress veritabanı internet sitenizin çalışabilmesi için gerekli tüm bilgileri tutar ve depolama sağlar. Elbette ki saldırganlarda SQL saldırıları gerçekleştirmek için otomatik kod çalıştıran uygulamalarla zafiyet arayarak veritabanınıza erişmeye veya verileri değiştirmeye çalışacaklardır. WordPress kurulumu sırasında veritabanı eki varsayılan olarak wp_ şeklinde gelir ve çoğu zaman varsayılan wp_ ekini değiştirmeden kurulumu tamamlarız. Bu noktada saldırganlar için maalesef ki bir zafiyet bırakmış olacaksınız. Varsayılan kurulumda veri tabanı ön ekini (_wp_) değiştirmediyseniz, kurulum tamamlandıktan sonra aşağıdaki kodları kullanarak veritabanınızın ön ekini değiştirebilirsiniz.

Not: Bu işlem sırasında sisteminizi kullanılamaz bir hale getirebilirsiniz. İşleme başlamadan önce veritabanınızın bir yedeğini almanızı tavsiye ederiz.

Aşağıdaki sorguları hosting kontrol panelinizde phpmyadmin SQL bölümünü kullanarak tamalayınız. Bu işlemler tamamlandığı zaman wp-config.php dosyası içerisinden de veritabanı ön ekini değiştirmeniz gerekmektedir.

Not: Aşağıdaki sorguda veritabanı ön eki wpsecure123_ olarak yeniden tanımlanmıştır. Bu değeri kendinize göre özelleştirmeniz tavsiye edilir.


:​
Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.

Wp-Admin Klasörüne Erişimi Sınırlamak​


WordPress’in yönetim paneline erişmek için bgasecurity.com/wp-admin şeklinde giriş yapmaktayız. Standart kurulumla wp-admin klasörüne erişim açık durumdadır. Ancak bu saldırganlar tarafından da bilindiği gibi brute force gibi ataklarla parolalarınızın kırılmasına ve yetkisiz erişimler alınmasına sebep olabilir. Bu gibi saldırılara karşı korunmak için Wp-admin klasörüne erişimi üç türlü gerçekleştirebiliriz.

Birinci erişim kısıtlama yöntemimiz .htaccess dosyası kullanarak wp-admin klasörüne erişimlerde sabit bir ip adresi tanımlamaktır. Eğer sabit bir ip adresine sahipseniz erişimi aşağıdaki şekilde sınırlandırabilirsiniz.

Kod:
Kodu görüntülemek için Lütfen Giriş yap veya Kayıt ol Teşekkürler.
 

cinaryasar

Pro Üye
Uzman
Katılım
27 Ocak 2023
Konular
30
Mesajlar
455
Puanları
1,623
ModArt Kredi
0
Öncelikle merhaba. Emeğine sağlık çok uğraşmışsın ve güzel bir makale dökmüşsün. Belki işime de yarar çünkü yaz zamanı hobi olarak Wordpress'ten haber sitesi falan açıp öylesine haber yazıyorum, bu sayede sitemi geliştirebilirim belki. Son olarak ise bence 4-5 tane ayrı konu açmak yerine tek konuda birleştirsen daha iyi olabilirmiş Wordpess rehberlerini. İyi akşamlar dilerim, aslında artık sabah oldu saat 7. :)
 

Bu konuyu görüntüleyen kullanıcı ve ziyaretçiler

Tema özelleştirme sistemi

Bu menüden forum temasının bazı alanlarını kendinize özel olarak düzenleye bilirsiniz.

Zevkine göre renk kombinasyonunu belirle

Gece/Gündüz modunu seç

Gece ve gündüz modlarından tarzınıza yada ihtiyaçlarınıza uygun olanı seçerek kullana bilirsiniz.

Tam ekran yada dar ekran

Temanızın gövde büyüklüğünü sevkiniz, ihtiyacınıza göre dar yada geniş olarak kulana bilirsiniz.

Izgara yada normal mod

Temanızda forum listeleme yapısını ızgara yapısında yada normal yapıda listemek için kullanabilirsiniz.

Forum arkaplan resimleri

Forum arkaplanlarına eklenmiş olan resimlerinin kontrolü senin elinde, resimleri aç/kapat

Sidebar blogunu kapat/aç

Forumun kalabalığında kurtulmak için sidebar (kenar çubuğunu) açıp/kapatarak gereksiz kalabalıklardan kurtula bilirsiniz.

Yapışkan sidebar kapat/aç

Yapışkan sidebar ile sidebar alanını daha hızlı ve verimli kullanabilirsiniz.

Radius aç/kapat

Blok köşelerinde bulunan kıvrımları kapat/aç bu şekilde tarzını yansıt.

Foruma hoş geldin 👋, Ziyaretçi

Forum içeriğine ve tüm hizmetlerimize erişim sağlamak için foruma kayıt olmalı ya da giriş yapmalısınız. Foruma üye olmak tamamen ücretsizdir.