Wordpress Güvenlik Önlemleri Dosya Bazlı

WordPress Güvenlik Tedbirleri  – Dosyalar

  • Dosya izinleri
  • Eklenti (Plugins) Dizini
  • Htaccess Dosyası
  • Wp-admin Dosyası
  • Wp-config.php Dosyası
  • wp-config.php Dosyasını Şifrelemek
  • wp-config.php Dosyasının Konumunu Değiştirmek
  • wp-config.php Dosyasına Erişimi Engellemek
  • Yönetim panelinden tema editörünü kaldırın
  • WordPress Sürümünü Gizleme İşlemleri

Güvenlik konusunda belki de en önemli meseledir dosyaların güvenliği. Çünkü dosyalar bizzat sitelerin çökertilmelerine sebep olabilecekleri gibi wp-config.php gibi kritik bir dosya nedeniyle veritabanınıza da veda etmek zorunda kalabilirsiniz. Dosya güvenliği konusunda wp-config.php dosyası üzerinde özellikle durmak istiyorum. Bununla birlikte diğer dosyaların güvenliği ve .htaccess dosyasından da bahsedeceğim.

Dosya İzinleri

WordPress kurulumunu tamamladıktan sonra ilk yapmanız gereken şey ana dizindeki readme.html, license.txt, wp-sample-config.php  dosyalarını silmek ve wp-adminklasöründeki install.php dosyasının ismini değiştirme işlemlerini yapmak veya silmektir. Ardından sıra dosyaların izinlerindedir. Yanlış bir dosya izni nedeniyle sunucuya sızılabileceğini unutmayın. WordPress’in kritik dosya ve kalsörleri ile bunların izinleri için aşağıdaki tabloyu referans olarak alabilirsin ama tabi çok daha sıkı bir sistem için izinleri kendi isteğinize göre ayarlayabilirsiniz.

Ana dizin (root directory) : 0755
wp-includes/                        : 0755
wp-admin/                           : 0755
wp-admin/js/                      : 0755
wp-content/                         : 0755
wp-content/themes/          : 0755
wp-content/plugins/          : 0755
wp-admin/index.php         : 0644
.htaccess                                : 0644
wp-config.php                      : 0644

 

Bazı eklentiler kurulmak için wp-content gibi klasörlerin yazılabilir olmasını ister. Böyle durumlarda eklentiyi kurmadan önce dosya iznini 0777 yapın ve kurulum tamamlandıktan sonra klasörü tekrar eski dosya iznine döndürün. Aynı durum .htaccess dosyası için de geçerlidir. Mutlaka eski dosya iznine dönüş yapın.

Yükleme klasörünüzün (uploads, yuklemeler vb.) dosya izni 0777‘de kalabilir ama arada bir bu dizini kontrol etmek ve zararlı bir dosya (örneğin .php uzantılı ve sizin yüklemediğiniz bir dosya) var mı, bakmak gerekli.

Plugins Dizini

WordPress sisteminizde açık olmasa da kullandığınız eklentilerde açıklar bulunabilir. Ziyaretçilerinizin bu dizini yani eklentilerinizi görmelerini engellemek istiyorsanız boş bir dosya oluşturup bu dosyayı index.html olarak kaydedin ve wp-content/plugins dizinine FTP ile yükleyin. Artık eklentileriniz tarayıcı vasıtasıyla görünmezler.

Not: Güncel WordPress sürümlerinde zaten boş bir dosya bulunuyor(index.php). Bulunmayanlar bu bahsettiğim boş index.html dosyasını kullanabilirler.

.

 

Wp-admin Dosyası

Saldırganların shell işlemleri için theme-editor.php – plugin-editor.php dosyalarını çekmek isticeklerdir.  Bu işlemleri engellemenin yolu iki dosyanın sahte .txt uzantılı boş dosya kalıbı oluşturup aynı dizine atmaktır.

Örnek:

theme-editor.php – theme-editor.txt

plugin-editor.php – plugin-editor.txt

wp-config.php Dosyası

Bu dosya WordPress günlüklerinin en önemli dosyasıdır çünkü içinde veritabanına bağlantı için gerekli bilgiler ile birlikte temel ayarlar bulunur. İşte bu nedenle bu dosyayı mutlaka korumalıyız.

wp-config.php Dosyasını Şifrelemek

Bununla birlikte wp-config.php dosyasının içeriğini şifrelemeyi unutmayın. Şifreleme için ionCube,Zend Guard veya en basiti ve ücretsiz olan phpr.org sitesindeki aracı kullanabilirsiniz. Benim tercihim ionCube‘den yana. Tabi şunu da unutmamak gerekir ki her şifre kırılabilir. Bu nedenle hiçbirine tam olarak referans olamam. Ben sadece böyle bir yolun da olduğunu bilmenizi istiyorum.

ionCube ile Dosya Şifrelemek: Aslında bu gerçekten çok basit bir işlem. Önce ionCube sitesine üye oluyorsunuz. Sonra kredi yüklemek için ödeme yapıp (minimum 5$ = 10 dosya) kredinizin yüklenmesini bekliyorsunuz. Krediniz yüklenince Encode (Şifrele) sayfasına gidiyor ve şifrelemek istediğiniz dosyayı gönderiyorsun. Dosya şifrelenip size geri veriliyor. Verilen dosyayı sitenize koyup direk kullanmaya başlayabiliyorsunuz.

i

wp-config.php Dosyasının Konumunu Değiştirmek

wp-config.php dosyası çok önemli olduğu için sadece şifrelemeye güvenemeyiz. Bununla birlikte wp-config.php dosyasının bulunduğu dizini veya dosyanın direk ismini değiştirmeliyiz. Bunu yapmak için de sitemizin ana dizinindeki wp-load.php dosyasını açmalı ve wp-config.php yazan yerleri dilediğimiz şekilde değişirmeliyiz. Örneğin wp-content klasörüne taşımak için wp-load.phpdosyasındaki wp-config.php yazan yerleri wp-content/wp-config.php şeklinde değiştirmeliyiz. İlgili satırların değişmiş hali şu şekilde olacaktır.

if ( file_exists( ABSPATH . ‘wp-content/wp-config.php’) ) {

/** The config file resides in ABSPATH */
require_once( ABSPATH . ‘wp-content/wp-config.php’ );

} elseif ( file_exists( dirname(ABSPATH) . ‘/wp-content/wp-config.php’ ) && ! file_exists( dirname(ABSPATH) . ‘/wp-settings.php’ ) ) {

/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . ‘/wp-content/wp-config.php’ );

wp-config.php Dosyasına Erişimi Engellemek

Bu dosyayı korumak için öncelikle .htaccess dosyasına, tarayıcı üzerinden wp-config.php ve wp-load.php dosyalarına erişimi engelleme kodunu eklemeliyiz. .htaccess dosyasını incelediğimiz başlıkta bu kodu zaten vermiştim ama yine de tekrar yazayım.

Kod:

# wpconfig.php dosyasına erişimi engelle
<files wp-config.php>
order allow,deny
deny from all
</files>

# wp-load.php dosyasına erişimi engelle
<files wp-load.php>
order allow,deny
deny from all
</files>

 

Yönetim panelinden tema editörünü kaldırın

Çok kullanıcılı sistemlerde, hele ki birden fazla yönetici varsa temanızın kodlarına karışmalarını istemeyebilirsiniz. Bu gibi durumlarda yönetim alanınızdan tema düzenleyicisini kaldırabilirsiniz. Bu nu yapmak için kullandığınız temada bulunan functions.php dosyasına aşağıdaki fonksiyonu eklemek yeterli olacaktır. Bu fonksiyonla beraber sizin haricinizde kimse tema düzenleme alanını kullanamayacak. Bu da size bazı dosyalarınızı ve size ait fonksiyonları koruyabilirsiniz…

WordPress Sürümünü Gizleme İşlemleri

WordPresss versiyonunuzu gizlemeyi unutmayınız. Çünkü wordpress sürümünü her zamaan güncelleyemeyebilirsiniz. Bu nedenle eski versiyonda varsa bir açık, sizin başınızı ağrıtabilir. Bunun için temanızın functions.php dosyasına aşağıdaki kodu ekleyiniz. Tabi yedek alarak.

Kod:

remove_action(‘wp_head’, ‘wp_generator’);

Dosyalarla İlgili Diğer Tedbirler

  • Sitenizde sorgu artıracak bölümlerden kaçınız. Örneğin arama kutuları çok dost canlısı görülebilir; fakat botnet gibi saldırılarda sorguyu buradan yaptırıp sizin cpu tüketimizi artırabilirler. Bu nedenle buna benzer bölümleri dikkat ediniz.
  •  Tema ve eklenti kullanmadan önce güvenili kaynaklara dikkat ediniz. WordPress.org dışındaki kaynaklar bazen zararlı kodları eklenti ve temalara ekleyip sizi kendi elinizle ayağınızla sitenizi teslim etmenizi sağlıyor. Bu yüzden zorunlu kalmadıkça wordpress.org dışından tema ve eklenti kullanmayınız. Temalarda şifrelenmiş kısımlar varsa bu temaların güvenilirliğini araştırınız.
  • Güvenlik için alınacak tedbirlerde bir sınır yok yani alabildiğiniz kadar tedbir alabilirsiniz. Örneğin klasörlere ve dosyalara erişimi engellemek için Cpanel gibi yönetim panellerinden faydalanabilir, dilediğiniz klasörlere parola koruması ekleyebilirsiniz.
  • Sitenizde dosya upload kısımları zorunlu kalmadıkça kullanmayınız. Çünkü shell dosyalarını buradan içeri yükleyerek sitenizdeki kontrolü ellerine geçirebilirler. Dosya upload bölümlerini başka host üzerinden yapınız ya da zorunlu kalmadıkça farklı yollar arayınız.
  • Sık sık yeni wordpress versiyonlarını güncelleyiniz. Yani her yeni versiyonu yedek alarak güncellemenizde fayda var. Güncel wordpress versiyonları iyileştirmeler haricinde kritik açıkları da gözden geçirdiklerinden dolayı her güncel wordpress versiyonu sitenizi daha fazla koruyacaktır.
  • WordPress’in wp-content klasörünün ismini değiştirmeniz de mümkün ama sitenizin kaynağına bakıldığında bu dosyanın ismi kolayca öğrenebileceği için bunu bir tedbir olarak saymıyorum.
  • 82 Usuários acharam útil
Esta resposta lhe foi útil?

Artigos Relacionados

 Siteye Virüs Bulaşması ve Saldırgan Site Uyarısı Çözümü

WordPress veya özel yazılım sitelere dışarıdan yüklenen özellikle warez sitelerden indirilen...

 Wordpress Anti Malware Zararlı Kod Temizleme

Wordress için yapılmış birkaç Anti-Malware eklentisi , bunları denedik ve güzel bir sonuç aldık,...

 Web Sitemi Dns Yonlendirmeden Nasil Goruntuleyebilirim?

Ekonomikhost farkı olarak Teknik ile ilgili tüm anlatımlarımız görsel medyalardan oluşmaktadır....

 MSSQL Yedek Alma ve Geri Yükleme

Ekonomikhost farkı olarak Sql Serverile ilgili tüm anlatımlarımız görsel medyalardan...

 Filezilla İle Ftp Dosya Aktarımı Nasıl Yapılır ?

Filezilla İle Ftp Dosya Aktarımı Nasıl Yapılır ?