İPUCU

Seçenekler

Wordpress Sitenizi Bu Adımlarla Daha Güvenli Hale Getirin!

02-09-2017 02:34
#1
Üyelik tarihi:
11/2015
Nereden:
Samsun
Yaş:
20
Mesajlar:
75
Teşekkür (Etti):
21
Teşekkür (Aldı):
8
Konular:
8
Ticaret:
(0) %
Merhaba Arkadaşlar

Bugün sizlere kendi sitelerimde kullanmış olduğum güvenlik önlemlerini anlatacağım. Konu içeriğinde anlamadığınız veya yapamadığınız bir kısım olduğunda yorum yaparsanız size yardımcı olmaya çalışırım.

1. Wordpress Yazılımınızı Güncel Tutun
Wordpress yazılımınız her zaman güncel olsun. Wordpress'e gelen her güncellemede bir site açığının düzeltildiğini yada wordpressi sizlere için daha iyi hale getirdiklerini unutmayın.

2. Admin Kullanıcı Adını Kaldırın
Sitenizi ilk kurduğunuzda eğer bir kullanıcı adınızı admin yada buna benzer yaygın kelimeleri yaptıysanız bu kelimelerden kaçının.

3. Sitenizde 2 Adımlı Doğrulama Yapın
Siteniz gün geçtikçe ilerliyor ve düşman kazanmaya başlıyorsanız bu özelliği kullanmanızı tavsiye ediyorum. Bu özelliği eklentiler sayesinde yapabilirsiniz.

4. Wordpress Hata Mesajlarınızı Gizleyin
Wordpress site sahibine site üzerinde herhangi bir sıkıntı çıktığında site sahibini bilgilendirilmesi için bir hata gösterme mekanizması bulunmaktadır. Bu hata mesajlarını sadece size değil siteye giren herkese göstermektedir. Bu mesajları gizlemek işinizi zorlaştırabilir ama bir o kadarda işinize yarayacaktır. Hata mesajlarını şu şekilde gizleyebilirsiniz.
Admin panelinizden Görünüm / Düzenleyici / functions.php dosyasına giriniz.
Kod:
<?php
kodundan sonraki satıra
Kod:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
kodunu ekleyiniz.

5. Wordpress Sürümünü Gizleyin
Wordpress sürümünüzü gizli tutmak size yapılacak olanları bir nebzede olsa azaltır. Bunun sebebi ise sürümünüzü bilen bir kişi o sürümdeki açıkları araştırıp bulabilir ve sizin sitenizde uygulayabilir. Wordpress sürümünüzü şu şekilde gizleyebilirsiniz.
Admin panelinizden Görünüm / Düzenleyici / functions.php dosyasına giriniz.
Kod:
<?php
kodundan sonraki satıra
Kod:
remove_action(‘wp_head’, ‘wp_generator’);
kodunu ekleyiniz.

6. Nulled Olan Temalardan Kaçınınız
Wordpress sitenizde nulled bir tema kullanmayınız. Her zaman lisanslı bir tema kullanmanızı tavsiye ederim.

7. Admin Panelinden Dosya Düzenleyicisini Devre Dışı Bırakmak
Wordpress kullanıcılarının en çok yaptığı hatalardan birisi ise bu özelliği aktif bırakmaları. Sizlere şiddetle bu özelliği kapatmanızı rica ediyorum. Bu özelliği şu şekilde kapatabilirsiniz.
Wordpress'in “wp-config.php” dosyası içine giriniz.
Kod:
?>
kodundan bir önceki satıra
Kod:
define( 'DISALLOW_FILE_EDIT', true );
kodunu yazınız. Böylece bu özellik kapatılmış oluyor.

8.Dosya İzinlerini Değiştirerek Güvenliği Arttırmak
Dosya izinlerini değiştirerek sitenizi daha iyi koruyabilirsiniz. Wordpress alt yapısına sahip olan bir sitenin dosyalarının izinleri aşağıdaki gibi olmalıdır.
Kod:
Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644
9.Kullandığınız Eklentilerinizi Gizleyin
Kullandığınız eklentilerin kendine has güvenlik açıkları olabilir. Bunun önüne bir nebzede olsa geçmek için wp-content/plugins bölümüne girerek index.html şeklinde boş bir dosya oluşturun. İşlem bu kadar.

10. Wordpress Admin Panel Yolunu Değiştirmek
Tüm wordpress sitelerinde ilk kurulumda sabit olan wp-admin giriş urlsini Lockdown WP-Admin eklentisi ile değiştirebilirsiniz. Böylece sizden başka kimse kolay kolay sitenizin admin panel girişini bulamaz.

Bundan sonra anlatacaklarım .htaccess dosyası ile alakalı olacaktır. Bu dosyaya özel komutlar ekleyerek sitemizi daha güvenli hale getirebiliriz. Sizlere bu işlemlerin nasıl olacağını anlatacağım.

İlk olarak sitenizin ana dizininde .htaccess dosyası yok ise hemen oluşturalım. Not defterini açalım. İçine aşağıdaki kodları yazalım.
Kod:
# BEGIN WordPress

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress
Sonrasında .htaccess dosyası olarak kayıt edelim ve sunucumuzun ana dizinine atalım.
NOT: .htaccess dosyasını kayıt ederken .htaccess.txt vb şekilde kayıt etmeyiniz.

1. .htaccess Dosyası İle Sadece Belirtilen IP Adreslerini Admin Paneline Girmesini Sağlamak
Aşağıdaki kodları sitenizin dosyalarının içinde bulunan .htaccess dosyasının içine yazınız.
Kod:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>
xx.xx.xx.xxx yerine kendi IP adresinizi yazmanız yeterli olacaktır. Eğer dinamik ip adresi kullanıyorsanız bu özelliği kullanmanızı tavsiye ediyorum.

2. wp-config.php Dosyasını .htaccess Dosyası ile Korumak
Sitenizin ana dizininde bulunan .htaccess dosyasının içine aşağıdaki kodları yazmanız bu dosyayı korumanıza yeterli olacaktır.
Kod:
<files wp-config.php>
order allow,deny
deny from all
</files>
3. .htaccess İle Kötü Kullanıcıları Engelleme
Eğer sitenize aynı IP adreslerinden sürekli yönetici hesabına erişme, şifre denemesi yapma, sunucuyu zorlama, kaynak dosyalara ulaşma vb gibi işlemlerde bulunan var ise IP adresinden o kullanıcıyı aşağıdaki kod ile engelleyebilirsiniz.
Kod:
<Limit GET POST>
    order allow,deny
    deny from 201.091.21.32 ( Bu kısıma kötü kişinin IP adresi)
    allow from all
    </Limit>
4. .htaccess ile .htaccess Dosyasının Korunması
Kulağa bir enteresan gelebilir ama yapmış olduğumuz bazı değişiklikler bu dosyadan kaynaklı açıklar ortaya koymuş olabilir. Bu açıkları aşağıdaki kodu .htaccess dosyasının içine yazarak giderebiliriz.
Kod:
<Files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </Files>
5. Hotlink Koruması
Sitenizde bulunan dosyaları resimleri başka siteler sizin sunucunuz üzerinden kendi sitelerinde kullanabilir. Bunun önüne geçmek için aşağıdaki kodu kullanabilirsiniz.
Kod:
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)muhendisbeyinler.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)google.com/.*$ [NC]
Yine buraya izin verdiğizi siteleri ekleyebilirsiniz. Yukarıda kendi sitemize ve googlea izin verdik. Burayı silmeyi unutmayınız :)
RewriteRule \.(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|mp4|png|css|pdf)$ - [F]
6. Bazı Wordpress Alt Klasörlerinde PHP Yürütmeyi Kapatma
Bazen kötü kişiler /wp-content/uploads/ veya /wp-includes/ klasörlerinden php dosya çalıştırarak kapı açabilirler. Bunun önüne geçmek için yukarıdaki klasörlerin içinde yeni birer .htaccess dosyası oluşturarak içine aşağıdaki kodu yazmanız gerekmektedir.
Kod:
<Files *.php>
deny from all
</Files>
7. error.log Kodlarının Gizlenmesi
Sunucumuzun vermiş olduğu hataları kullanıcılar tarafından görülmesi bizim açımızdan iyi bir şey değildir. Bunu aşağıdaki kod ile engelleyebiliriz.
Kod:
<FilesMatch "(\error.log)">
Order deny,allow
Deny from all
</FilesMatch>
Konuyu okuyup, beğenip ve deneyen herkesten bir teşekkür bekliyorum // SpeedTroller
Eklenmesini istediğiniz güvenlik yazılarınız varsa ekleyebilirim. ÖM atmanız yeterli olucaktır.

Konu SpeedTroller tarafından (02-09-2017 17:54 Saat 17:54 ) değiştirilmiştir.
byfat51, Gbmdpof Teşekkür etti.

02-09-2017 02:35
#2
Mertcanmen - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2015
Nereden:
Nereye
Mesajlar:
1.600
Teşekkür (Etti):
67
Teşekkür (Aldı):
112
Konular:
317
Ticaret:
(0) %
Eline Sağlik
Kullanıcı İmzası
Unutma, yokuş aşağı inmek kolaydır ama manzara tepeden seyredilir.
02-09-2017 02:38
#3
Üyelik tarihi:
11/2015
Nereden:
Samsun
Yaş:
20
Mesajlar:
75
Teşekkür (Etti):
21
Teşekkür (Aldı):
8
Konular:
8
Ticaret:
(0) %
Alıntı:
Mertcanmen´isimli üyeden Alıntı Mesajı göster
Eline Sağlik
Teşekkürler
02-09-2017 18:03
#4
Fist - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Nereden:
Anavatan
Mesajlar:
1.529
Teşekkür (Etti):
173
Teşekkür (Aldı):
185
Konular:
71
Ticaret:
(0) %
Eline Sağlık.
02-09-2017 18:17
#5
byfat51 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
11/2015
Nereden:
Nide-->Niğde
Mesajlar:
1.861
Teşekkür (Etti):
286
Teşekkür (Aldı):
69
Konular:
271
Ticaret:
(0) %
teşşekkrüler
Kullanıcı İmzası
SELAMUN ALEYKUM
__________________
02-09-2017 18:18
#6
jGozluk - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
Russia
Yaş:
19
Mesajlar:
1.905
Teşekkür (Etti):
507
Teşekkür (Aldı):
575
Konular:
102
Ticaret:
(0) %
Eline sağlık
Kullanıcı İmzası
Balık; Gökyüzünün en masum masalıdır, Kuş; Gökyüzüne adanmış bir masal karekteri.
02-09-2017 18:25
#7
batsas - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Mesajlar:
14
Teşekkür (Etti):
4
Teşekkür (Aldı):
0
Konular:
0
Ticaret:
(0) %
Eline sağlık
02-09-2017 18:32
#8
3rigger - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Mesajlar:
126
Teşekkür (Etti):
18
Teşekkür (Aldı):
8
Konular:
14
Ticaret:
(0) %
Birşeyleri çalmak yerine nasıl güvenli hale gelebiliriz adlı bir paylaşım görmek beni sevindirdi.
02-09-2017 18:41
#9
Üyelik tarihi:
09/2016
Nereden:
TurkHackTeam
Mesajlar:
114
Teşekkür (Etti):
26
Teşekkür (Aldı):
7
Konular:
32
Ticaret:
(0) %
Eline sağlık yararlı bir konu
Kullanıcı İmzası
Bir gün Türk'ler çıldırdığında Allah,Türk'ü değil sizi korusun
.

Herkes kendisine yakışanı yapar,Çünkü kalite asla tesadüf değildir
.

✔Grafik Tasarım: %95
✔Android: %85
03-09-2017 19:05
#10
Üyelik tarihi:
11/2015
Nereden:
Samsun
Yaş:
20
Mesajlar:
75
Teşekkür (Etti):
21
Teşekkür (Aldı):
8
Konular:
8
Ticaret:
(0) %
Alıntı:
3rigger´isimli üyeden Alıntı Mesajı göster
Birşeyleri çalmak yerine nasıl güvenli hale gelebiliriz adlı bir paylaşım görmek beni sevindirdi.
Yorumunuz için teşekkürler

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı