WordPress Güvenlik Önlemleri 2019

Güvenlik Webyazilim Wordpress

wp-config.php Yolunu Değiştirme

WordPress açık kaynak kodlu bir sistem olduğundan, hangi dosya nerede olduğu bilinir, ve hacklenme olasılığı yüksektir. Bir takım güvenlik önlemleri ile hacklenme riskini azaltabiliriz. Bu Yöntemlerden biri de wp-config.php dosyasının konumunu değiştirmekmektir.
Yani yeni yolumuz; yeni-actigimiz-klasor/wp-config.php olacak.
wp-load.php dosyasını notepad+ ile açalım
Search bölümüne  “wp-config.php” yazıp ve Replace bölümüne ise “yeni-actigimiz-klasor/wp-config.php” yazalım.
Replace butonuna tıklayarak wp-config.php yazan yerleri yeni-actigimiz-klasor/wp-config.php olarak değiştiriyoruz.
Şimdi wp-config.php dosyasını yeni-actigimiz-klasor içerisine taşıyalım.

Artık wp-config.php dosyası daha güvenli bir yerdedir.

Uyarı:

1. WordPress sürüm güncelleme yaptığınızda değişiklikler silinebilir, dosyaları kontrol edip tekrar güvenli hale getirmeniz önerilir.

2. Yapılan değişiklikler wordpress güncelleme işlemine engel olabilir, böyle bir durumda wp-config.php dosyasını ana dizine taşıyıp (wp-load.php dosyasında yaptımız işlemleri geri alarak) güncellemeleri yaptıktan sonra wp-config.php dosyasının yerini tekrar değiştirebilirsiniz.


wp-admin panel giriş adını değiştirme

wp-login.php dosyasını notepad+ ile açalım

Yeni adımız: wppanelim olsun.

Ana dizinde bulunan wp-login.php dosyası açın, dosyada wp-login.php yazan yerleri wppanelim.php olarak değiştirin. Sonra wp-login.php dosya adını wppanelim.php olarak değiştirin.
Siteniz kullanıcı kayıtlarına açıksa wp-register.php dosyasının adını kayitol.php olarak değiştirebilirsiniz.

Uyarı: WordPress sürüm güncelleme yaptığınızda değişiklikler silinebilir, dosyaları kontrol edip tekrar güvenli hale getirmeniz önerilir.


Admin kullanıcı adını değiştirmek

Kullanıcı adınızın admin olması sitenize saldırı yapmak isteyenlerin işini kolaylaştıracaktır.

Kullanıcı adınız admin ise mutkala değiştirin.

phpmyadmin üzerinden veritabanını açın, wp-users tablosuna gidin user_login sutunun daki admin kullanıcı adını farklı bir kullanıcı adı ile değiştirip git butonuna basın.


Hata mesajlarını gizlemek

WordPress admin paneli girişindeki yanlış kullanıcı adı veya şifre yazdığınızda karşınıza çıkan hata bilgilendirme  mesajlarını kapatmak için temanızın functions.php dosyasına aşağıdaki kodu ekleyerek hata mesajlarını gizleyebilirsiniz.

add_filter('login_errors',create_function('$a', "return null;"));

Sürüm gizlemek

WordPress sürümleri sayfa kaynağından görüntülenir, hackerlar hangi sürümde hangi açık var bildiklerinden sitenizi saldırı yapmak istediklerinde işlerini kolaştırmaktadır. Temanızın içerindeki functions.php dosyasına aşağıda kodu ekleyerek sitenizi daha güvenli bir hale getirebilirsiniz.

remove_action( 'wp_head', 'wp_generator' );

htaccess dosyasını güvenli hale getirmek

Ana dizinde bulunan “.htaccess” en üstüne aşağıdaki satırları ekleyerek güvenli hale getirebilirsiniz.

ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>


Dosya izinleri

Klasörlerin izin değerlerini aşağıdaki gibi olmalıdır, aksi durumda hacklenme ihtimali çok yüksektir.

wordpress dizini : 0755

wp-includes/: 0755

wp-admin/: 0755

wp-admin/js/: 0755

wp-content/: 0755

wp-content/themes/: 0755

wp-content/plugins/: 0755

wp-admin/index.php: 0644

.htaccess: 0644

wp-config.php: 0644


 

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.