İnternette yayın yapan birçok web sitesi wordpress altyapısını kullanmaktadır. Aynı zamanda kötü niyetli kişilerin hedef siteleri arasında yer almaktadır. Çünkü bilinen bir sisteme sızmak, özgün bir siteme sızmaktan her zaman için daha kolaydır. Buna rağmen wordpress’i gerekli güvenlik önlemleri aldığınız taktirde güvenli bir şekilde kullanabilirsiniz. Bu yazımızda sizlere WordPress sisteminin nasıl daha güvenli bir hale getirebileceğinizi anlatmaya çalışacağız.
WordPress Dosya İzinleri: WordPress’te en önemli güvenlik açıklardan birisi de dosyalara yanlış izinler verilmesinden kaynaklanmaktadır. Aşağıda sisteminizde olması gereken ideal dosya izinlerini vereceğiz.
Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644
Bir takım eklentilerin kurulumu sırasında klasörlerden bazılarına tam izin yani 777 vermeniz gerekebilir, burada eklentiyi kurarken 777 iznini verip, kurulum tamamladıktan sonra tekrar eski durumuna getirmeniz gerekmektedir. Çünkü 777 ayarında hiçbir kısıtlama olmadığından dolayı, bu iznin verildiği dosya çok rahat şekilde erişilebilir.
WordPress Güncellemeleri: WordPress belirli aralıklarla panelinden birtakım yeni güncellemeleri kullanıcılarına sunar. Bunları sürekli takip etmeli ve her güncelleme çıktığında sisteminizi upgrade etmelisiniz. Bu güncelleme yeni özellikleri içerebilir veya bir güvenlik açığını kapatmak adına karşımıza çıkabilir.(Her güncellemeden önce veri kaybına karşı mutlaka sitenizin yedeğini alın.)
WordPress Eklentileri: Kesinlikle bilinmeyen ve wordpress in kendi sitesinde yer almayan eklentiler kullanmayın. WordPress tarafından kullanılan eklentilerde bile zaman zaman güvenlik açıkları oluşabilmekte ve bu sayede eklentinin kullanıldığı sitelere sızıntı yapılabilmektedir.
WordPress Panel Kullanıcı Adı ve Şifresi: WordPress kullanıcı adınız “admin” ise onu silin ve başka bir kullanıcı adı ile sisteminize giriş yapın. Çünkü sitenize girmek isteyen hackerlar ilk önce “admin” kullanıcı adını deneyeceklerdir. Şifrelerinizi basit değil de, büyük harf ve rakam içeren kombinasyonlardan oluşturun.
WordPress Wp-config Dosyası: Bu dosya hackerlerın hedefinde olan ilk dosyadır, korunması çok önemlidir, çünkü dosya içerisinde veritabanı bilgileriniz bulunur. Wp-config dosyasını korumak için ilk önlem olarak, Zend ve Ioncube gibi dosya şifreleme programlarını kullanarak şifreleyebilirsiniz. Buna ek olarak wp-config dosyasına erişimi daha zor hale getirmek için yolunu değiştirebilirsiniz. Bunu wp-load.php dosyası içerisinden basit bir şekilde yapabilirsiniz.
Yukarıda verdiğimiz bilgiler karşı tarafın sitenize sızmasında %100 oranında bir güven sağlamasa da, işini bir hayli zorlaştıracaktır. Eğer değer verdiğiniz bir siteniz varsa, mutlaka belirli zaman aralıkları ile sitenizin yedeğini alın ve profesyonel sunucu hizmeti veren kurumsal firmalar ile çalışın.