22 Mayıs 2014 Perşembe

Wordpress İçin Güvenlik İpuçları

Ne kadar kendim şu an için kullanmasam da bir zamanlar benim de kullandığım ve şu anda bir çok kişinin kişisel ve kurumsal web sayfalarında kullandığı sistem olan Wordpress gün geçtikçe daha popüler bir hal alıyor. Popüler hal aldıkça da saldırılar git gide artıyor.
Bu yazımda, bir nebze de olsa saldırılardan nasıl korunabileceğinize dair ufak ipuçları vereceğim. Özellikle bu alanda kurumsal site barındıran arkadaşlar ve Wordpress ile kurumsal web sayfaları tasarlayan arkadaşların işine yarayacağını düşünüyorum.

Öncelikle Wordpress Security Plugin kuruyoruz. (Wordpress Güvenlik Eklentisi)
http://wordpress.org/plugins/better-wp-security/installation/
Burada nasıl kurulacağı anlatılıyor.

Yapılacak olan dizin güvenlik ayarlarımız da bu linkte yer alıyor: (aşağıdadaki açıklamalarda bu link referans alınmıştır.)
http://codex.wordpress.org/Hardening_WordPress

wp-includes klasörü içersindeki .htaccess içersine bu kodu yerleştiriyoruz:
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

ve,
# BEGIN WordPress
<files wp-config.php>
order allow,deny
deny from all
</files>
Wp-config içine de aşağıdaki kodları yerleştirelim:
define ('DISALLOW_FILE_EDIT', true);

.htaccess içineyse:
<files wp-config.php>
order allow,deny
deny from all
</files>

Chmod ayarları için ise gerekli ayarlar: wp-login.php için Chmod 400 diğerleri için Chmod 755 Hiç bir dizini 777 yapmıyoruz arkadaşlar. 777 tam yetki verir ve oldukça tehlikelidir.
Ek olarak, her zaman en güncel sürümü kullanmanız sizi daha güvende tutacaktır.