WordPress için 13 kritik güvenlik önlemi

By | 22 Eylül 2014

wordpress-logo-stacked-rgb

  1. WordPress’in son sürümüne güncelleyin.

  WordPress yazılımındaki güvenlik açıklarını, tema ve eklentileri iyileştirmeye yönelik bir takım güncellemeler yapmaktadır. Wordpress son güncelleme uyarısı yönetim panelinin üst        kısmında çıkan uyarı ile bildirilmektedir.

  2. Güçlü bir şifre kullanın

  Güvenli bir şifre için, öncelikle en az 7-8 karakter kullanın. Büyük/küçük harfler, rakamlar ve !)-@/ vb. karakterler kullanın.

  3. Oturum açma girişimlerini engelleyin.

  http://wordpress.org/plugins/limit-login-attempts/ bağlantısındaki “limit login attemps” eklentisini kurarak yönetici panel girişiniz için iyi bir güvenlik duvarı oluşturun. Böylece hacker ve botların IP’lerinin bloklanmasını sağlayabilirsiniz.

4.) wp-admin girişinizi gizleyin.

 wp-admin yönetici panel erişim URL’sini değiştirin veya cPanel kullanıyorsanız “Password Protect Directories” menüsünden “wp-admin” klasör adına tıkladıktan sonra tarayıcı üzerinden şifreli çalışan bir güvenli bölge oluşturun. 

5. Standart olarak belirlenen Admin kullanıcı adını değiştirin.

Kullanıcılar kısmından yeni bir kullanıcı profili belirleyebilirsiniz.

6. Veritabanı ve FTP yedeklerinizi alın.

Sitenize olası bir saldırı durumunda tüm site içeriğinizi baştan yüklemeniz gerekebilir. Bu sebeple veritabanı ve FTP yedeklerinizi alınız.

7. Kullanılan tüm eklentileri, scriptleri en yeni versiyonlarına yükselterek güncel tutun.

WordPressin güncellenmesi, içeriğindeki eklentilerin de güncellenmesi anlamına gelmez. Wordpress güncel olmayan eklentilerinizle ilgili olarak sizi bilgilendirir. Yönetim paneliniz üzerinden en son eklenti sürümlerine geçiş yapın.

8. Spam yorumları Captcha eklentisi ile önleyin.

Captcha eklentisi yorum yazmak veya admin panelinize girmek istediğinizde resimler üzerinde kodlar veya cevabı kolay sorular yöneltir. Eklenti ile robot kullanıcılar tarafından gönderilmek istenen yorumlar engellenir. Wordpress ile beraber gelen Akismet uygulaması ile birlikte güzel bir performans sergilemektedir

Download linki: https://wordpress.org/plugins/si-captcha-for-wordpress/

9. Kullanımda olmayan veritabanı ve web uygulamalarını hesabınızdan silin.

Hesabınıza yüklenen her bir veritabanı ve web uygulaması saldırganlar için muhtemel giriş noktasıdır. Örneğin şifreleri ele geçirilen bir veritabanı üzerinden tüm web sitelerinize müdahale edilebilir. Uzun zamandır kullanılmayan dolayısiyle güncel olmayan ve potansiyel tehlike teşkil eden bu yazılımları kaldırarak riski azaltın.

10. Risk oluşturan yazma izinlerini düzeltin.

Web site dosyalarınızın normalde olması gereken yazma izni 644 ve klasörlerinizin de olması gereken yazma izni 755’tir. İzinleri FTP istemciniz üzerinden veya cPanel dosya yöneticisi ekranının üstündeki izinleri değiştir sigesine (Change Permissions) tıklayarak ayarlayabilirsiniz.

11. Konfigürasyon dosyalarınızı gizleyin

Veritabanı bilgilerinizi içeren bu dosyalarınızın içeriğini decode ederek gizli kodlara dönüştürebilir veya dosya yolunu değiştirerek saldırganları şaşırtabilirsiniz. (Bu işlem için özel bir eklenti kullanmanız gerekir.)

12. WordPress sürümünüzü gizleyin.

functions.php dosyanızın içerisine gelin ve kodların en altına aşağıda bulunan kodu ekleyin.

remove_action(‘wp_head’, ‘wp_generator’);

Sonrasında ana sayfanıza gelip tarayıcınızdan sayfa kaynağını görüntüle yaparak sonucu kontrol edebilirsiniz.

13. WordPress şifrelerinizin ele geçirilmesini önleyin.

WordPress yazılımınızın bulunduğu hosting hizmetinizin şifrelerini FTP istemci programınızda (Filazilla, FTPcute vb.) kayıtlı bırakmayın.
Özellikle FTP istemcinizde hatırlatma özelliği açık olan hesap şifreleriniz çerezlerden çalınabilmektedir.
Bu yüzden şifre hatırlatma özelliğini kullanmak yerine her defasında şifrelerinizi el ile girin.

İnternet site güvenliğinde en büyük güvenlik açıklarından birisi güvenli olmayan bir bilgisayardan web sitenize erişim sağlamaktır. Virüsler, malware ve keylogger’lar gizli bir şekilde bilgisayarınızda yüklü ve web site dosyalarınıza bulaşarak tehdit oluşturabilirler. En pratik yöntem kişisel bilgisayarınızda düzenli olarak güvenilir bir virüs programıyla tarama yapmaktır.

Antivirüs uygulamaları

Burada bilgisayarınızın güvenliği için bazı kaliteli ve güvenli aynı zamanda ücretsiz virüs programlarını sizlere sunduk. Bu yazılımları uygulamaların resmi web sitelerinden aşağıdaki bağlantılar üzerinden indirip kullanmaya başlayabilirsiniz.

Windows için:

– Ad-Aware Anti-Malware indirme bağlantısı         : http://free.lavasoft.com/products.aspx
– ClamWin indirme bağlantısı                                         : http://www.clamwin.com/content/view/18/46/
– Malwarebytes Anti-Malware indirme bağlantısı : http://www.malwarebytes.org/