Wordpress Güvenliği ve Eklentileri

Yazan: admin

26 Haziran 2008

Bildiğiniz üzere Wordpress kullananlar oldukça arttı ve artmasıyla birlikte hackerlar Wordpress’de hack yollarını ve güvenlik açıklarını bulmaya başladılar. Ben de bunu önlemek ya da daha da zorlaştırmak için birkaç uyarı ve eklenti derledim. Buyrun, umarım işinize yarar…

İlk olarak wp-config.php cmod ayarını ftpden 644 yapın (cmod: 644)
Ftpnizde bulunana hiçbir dosyayı cmod 777 veya 666′de unutmayın
wp-content/themes/temanız içine girin özellikle index.php olmak üzere cmod 644 yapın.
Cmod ayarları bittikten sonra ikinci güvenlik olarak wp-admin dosyasının içine girin aşağıda içinde bulunan .htaccess dosyasını wp-admin klasörünün içine atın.

# BEGIN WordPress
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 21.454.879.984
# whitelist work IP address
allow from 21.454.879.984
allow from 21.454.879.984
# IP while in Kentucky; delete when back
allow from 99.123.123.546

# END WordPress
Bu kodun içindeki ip adresinizi kendi ip adresiniz yazabilirsiniz. Güvenlik amacı ile ip adresi herhangibir sayılardan oluşmaktadır. Bu kodu wp-admin klasörünün içine koyduğunuz http://www.siteadı.com/wp-admin sayfasına girilemeycektir. Eğer sizde giremiyorsanız yazı ekleyeceğiniz vakit ftpden .htaccess kodunu (.htac1cess) farklı bir yazıya çevirseniz wp-admin paneline girebilirsiniz.
Gelelim en önemli hususa congif.php’ye cpanel şifrenizi girmeyin.
Phpmysql den başka bir kullanıcı adı ve şifre yaratarak wp-congif adresine bu kullanıcı adını ve şifreyi yazın.

Bazı dizinlerin boş olması sisteminize özel bilgilerin, kendi günlüğünüze özgü düzenlediğiniz WordPress yazılımınızın ve diğer size özel bilgilerin ele geçirilmesine yol açabilir, bu durum sisteminize özel güvenlik açıklarının keşfedilmesine ve sisteminize zarar verilmesine yol açabilir, bu yüzden /wp-content/plugins dizininin içine index.html isimli bir dosya oluşturup içerisine herhangi birşeyler yazın veya boş bırakın, buna dizin içeriği listeleme koruması diyoruz..
Ana dizindeki header.php dosyasında bulunan;

bölümündeki kısmını silerseniz potansiyel saldırganların, kullandığınız WordPress sisteminin sürümünü öğrenmeleri güçleşir, böylece sürüm numarasını baz alarak bulunan güvenlik açıklarını bulup sisteminizde kullanmalarını güçleştirmiş olursunuz..

Wordpress Güvenlik Eklentileri

1- AskApache Password Protect
Anasayfa : http://www.askapache.com/wordpress/htaccess-password-protect.html
İndir : http://z.askapache.com/uploads/aa-password-protect.rar
Bu eklenti sayesinde Wordpress’inizin admin dizininde ayrı bir parola sorgulayıcı oluşturabilirsiniz. Bunun için ayrı bir yönetici adı ve şifre belirterek blogunuzun admin bölümüne girilmesi için 2. bir şifre alanı gelecektir. Bu da güvenliğini arttırmanıza yarayacaktır. Eklenti kullanımı çok basittir. Normal eklenti kurulumu gibi dosyalarınızı /wp-content/plugins klaösürünün içine atacaksınız. Belirtmiş olduğunuz şifrenin artı güvenli olmadığını düşünürseniz değiştirme şansınız var. İşleyişi .htaccess kontrolü yaparak sürdürür. .htaccess’iniz yazılır olduğu zaman eklentiyi kurarsanız sorun yaşamazsınız.
2- Force SSL
Anasayfa : http://www.almosteffortless.com/wordpress/force-ssl/
İndir : http://www.almosteffortless.com/files/force-ssl.zip
Eklentiyi kısaca özetlersek, güvenilir olmayan bağlantıları tespit edip, oradan gelebilecek olası saldırıları engelliyor. Bu da sitenizin hem trafiğini, hem de güvenliğini düzene sokmuş oluyor.
3- Secure Files
Anasayfa : http://www.almosteffortless.com/wordpress/secure-files/
İndir : http://www.almosteffortless.com/files/secure-files.zip
Bu eklenti kendi sitenizin güvenliğini sağlamak için sisteme yükleyeceğiniz resim,doküman veya müzik gibi dosyalarınızı sunucunuzda belirtmiş olduğunuz başka bir dizinden yükleyerek. Sitenizde
4- Login Lockdown
Anasayfa : http://www.bad-neighborhood.com/login-lockdown.html
İndir : http://www.bad-neighborhood.com/loginlockdown-1.1.zip
Siz kendi evinizden admin paneline giriyorsunuz, bir başkası da sizin şifrenizi tahmin etmeye çalışıyor ve admin panelindeki kullanıcı adı – şifre alanında denemeler yapıyor. Sizin isteğinize göre ayarlayabileceğiniz deneme sayısını 3 olarak farzedersek, denemeyi yapan kişi 3 defada tutturamazsa ip adresi kayıt altına alınıyor ve o kişinin o dizine ulaşması sistem tarafından engelleniyor.