İPUCU

Seçenekler

Wordpress Güvenlik Açıkları

Rival - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
10/2013
Mesajlar:
7.307
Konular:
2439
Teşekkür (Etti):
743
Teşekkür (Aldı):
1071
Ticaret:
(0) %
23-08-2014 12:31
#1
Wordpress Güvenlik Açıkları


WordPress konusunda wmaraci.com adresinde neyi merak ettiklerini sorduğumda wordpress’te güvenlik nasıl sağlanır ve seo hakkında sorular oldu. Bunun üzerine ilk olarak wordpress’te güvenlik amaçlı yapacağınız basit ve gelişmiş bazı yapılacak işlemlerden bahsedeceğim. Öncelikle wordpress açık kaynaklı olması ve bir çok hack girişimden yararlanmak isteyen kişiler için yapısını iyi tanıyabilecek bir içerik yönetim sistemi olması bizim dezavantaj; fakat aynı zamanda bir çok wordpres severin elinden geçmesi bu açıkların kapatılmasına ek olanak sağlıyor.

1- WordPress sitenizi açmadan önce ilk olarak database,database kullanıcı adı ve şifrelerini gelişi güzel seçmeyiniz. Örnek olarak: goo_db değilde goo_db35u gibi farklı bir isim seçiniz. Aynı şekilde kullanıcı adını da bu şekilde oluşturunuz. Eğer plesk kullanıyorsanız db ön ekinide değiştirmenizde fayda var. Db kullanıcı şifresinide yine rakam, harf ve özel karakterden oluşan güçlü bir şifre seçiniz. Çünkü bazı programlarla bu şifreler çözülebilir. Eğer siz güçlü şifre oluştursanız ve eklediğiniz her karakter o olasılığı yükselteceğinden dolayı uzun ve karışık şifre yazınız.

WordPressi kurarkan bize wp_ ön ekini sunar wordpress. Siz bunu silip farklı bir ön eki seçiniz. Bu database’de wp_posts değilde goo_posts şeklinde görünecektir. Yani burada wp_ değilde goo_ ile değiştirdik.

Kurulumun tamamlanmasına az kaldı. Şimdi artık kullanıcı adı ve şifre seçeceksiniz. Burada kesinlikle admin kullanıcı adını değiştiriniz. Çünkü bu varsayılan olduğundan ilk olarak wordpress sitelerde bu denenecektir. Bunu uzun karakterli bir kullanıcı adı yapınız ve şifreyide db şifresindeki mantıkla kendiniz oluşturunuz.

2- Bu işlemler sonras güvenlik önlemleri artırılmış wordpressi kurmuş olacaksınız. Şimdi diğer önlemlerimize geldi. Tüm eklenti, tema ayarlarınızı yaptıktan sonra wordpresss security eklentisi yardımıyla düzenlemeler yapacağız. Bu eklenti bizlere hangi klasörlere, hangi dizine hangi yazma izinleri vermemiz gerektiğini ve yapılan işlemleri göstermektedir. Bu nedenle bu eklentiyi kurarak önce yazma izinlerinizi kontrol ettirin.

Eklentiyi buradan indirebilirsiniz.

3- Blogumuzu yazma izinlerini de kontrolünü yaptıktan sonra .htaccess dosyasında eklemeler yapacağız. Bu eklemeler ile bazı dosya ve dizin erişimini engelleyeceğiz. Aşağıdaki kodları .htaccess dosyasının yedeğini aldıktan sonra ekleyiniz.


Alıntı:
Alıntı:
# .htaccess dosyasına erişimi engelle
<files .htaccess>
order allow,deny
deny from all
</files>

# sunucu imzasını kaldır
ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle
<files wp-config.php>
order allow,deny
deny from all
</files>

# wp-load.php dosyasına erişimi engelle
<files wp-load.php>
order allow,deny
deny from all
</files>

# dizin listelemeyi iptal et
Options All -Indexes
4- .htaccess dosyanıza eklediğiniz kodlar sonrasında wp-config‘de düzenleme yapacağız. Bu düzenlemlerden biri, eşsiz doğrulama anahtarları WordPress’in kullanıcı parolalarının ve çerezlerinin (cookie) daha güvenilir olması için gereken kelimelerdir. Bu nedenle wp-config.php dosyasında bulunan eşsiz doğrulama anahtarlarını mutlaka doldurun. Burayı en güvenli şekilde doldurmak için de ilgili siteyi kullanmaktan çekinmeyin.

5- Wp-config’e kodları ekledikten sonra size tavsiyem şifrelemenizdir. Çünkü içinde db bilgileri ve parolalar yer aldığından bunu ioncube gibi şifreleme yöntemleri ile şifrelemeniz size ekstra güvenlik önlemi katacaktır. Wp-config dosyanızı aşağıdaki adresten online olarak şifreleyip kullanabilirsiniz. Şifrelemeden önce yedek almayı unutmayınız.

Şifrelemek için ioncube adresi

6- Sitenizde açmış olduğunuz kalasörler varsa ve wp-content ve alt kalsörlerinde yoksa index.html dosyasını oluşturup atınız. Bu boş index sizin klasörlerinizi listelemek isteyenleri engeleyecektir.

7- Tema ve eklenti kullanmadan önce güvenili kaynaklara dikkat ediniz. WordPress.org dışındaki kaynaklar bazen zararlı kodları eklenti ve temalara ekleyip sizi kendi elinizle ayağınızla sitenizi teslim etmenizi sağlıyor. Bu yüzden zorunlu kalmadıkça wordpress.org dışından tema ve eklenti kullanmayınız. Temalarda şifrelenmiş kısımlar varsa bu temaların güvenilirliğini araştırınız.

8- Sitenizdeki temayı ara ara kontrol ediniz. İçine eklenmiş olan ufak kodla size zararlı yazılım yüükletebilirler. Bu nedenle eğer çok sık değişiklik yapmıyorsanız temanızın tüm dosyalarını lisanslayın kendi adresinize ve şifreleyiniz.

9- Sitenizde sorgu artıracak bölümlerden kaçınız. Örneğin arama kutuları çok dost canlısı görülebilir; fakat botnet gibi saldırılarda sorguyu buradan yaptırıp sizin cpu tüketimizi artırabilirler. Bu nedenle buna benzer bölümleri dikkat ediniz.

10- Sitenizde dosya upload kısımları zorunlu kalmadıkça kullanmayınız. Çünkü shell dosyalarını buradan içeri yükleyerek sitenizdeki kontrolü ellerine geçirebilirler. Dosya upload bölümlerini başka host üzerinden yapınız ya da zorunlu kalmadıkça farklı yollar arayınız.

11- WordPresss versiyonunuzu gizlemeyi unutmayınız. Çünkü wordpress sürümünü her zamaan güncelleyemeyebilirsiniz. Bu nedenle eski versiyonda varsa bir açık, sizin başınızı ağrıtabilir. Bunun için temanızın functions.php dosyasına aşağıdaki kodu ekleyiniz. Tabi yedek alarak.


Alıntı:
Alıntı:
remove_action(‘wp_head’, ‘wp_generator’);
12- Sık sık yeni wordpress versiyonlarını güncelleyiniz. Yani her yeni versiyonu yedek alarak güncellemenizde fayda var. Güncel wordpress versiyonları iyileştirmeler haricinde kritik açıkları da gözden geçirdiklerinden dolayı her güncel wordpress versiyonu sitenizi daha fazla koruyacaktır.

13- Blogunuzun barındığı hostta sizinle beraber aynı sunucuda barınan diğer sitelere göz atın. Eğer diğer siteler pek güvenli görünmüyorsa ya taşıyınız ya da varsa yeni bir farklı ip alarak onlarla aynı yerde barındırmayınız. Çünkü sizde açık olmasa dahi başka sitedeki açıktan girerek size ulaşabilirler. Bu yüzden seohosting, özel ip gibi sizden başka kimsenin görünmeyeceği şekilde hostlar kullanın. Sunucu tarama hizmetlerinden sitenizin barındığı sunucudaki diğer siteleri görebilirsiniz. Eğer yoksa şanslısınız icon smile Wordpresste Güvenlik için Öneriler

Bu alınacak önlemler artırabilir; fakat bunlar bile sizi oldukça epey güvenli bir blog keyfi sürmenizi sağlayacaktır. Bu alınan önlemler sayesinde bloglarınız yapılacak saldırıları biraz olsun püskürtebilirsiniz.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı