WordPress Güvenlik Önlemleri 2019
wp-config.php Yolunu Değiştirme
WordPress açık kaynak kodlu bir sistem olduğundan, hangi dosya nerede olduğu bilinir, ve hacklenme olasılığı yüksektir. Bir takım güvenlik önlemleri ile hacklenme riskini azaltabiliriz. Bu Yöntemlerden biri de wp-config.php dosyasının konumunu değiştirmekmektir.
Yani yeni yolumuz; yeni-actigimiz-klasor/wp-config.php olacak.
wp-load.php dosyasını notepad+ ile açalım
Search bölümüne “wp-config.php” yazıp ve Replace bölümüne ise “yeni-actigimiz-klasor/wp-config.php” yazalım.
Replace butonuna tıklayarak wp-config.php yazan yerleri yeni-actigimiz-klasor/wp-config.php olarak değiştiriyoruz.
Şimdi wp-config.php dosyasını yeni-actigimiz-klasor içerisine taşıyalım.
Artık wp-config.php dosyası daha güvenli bir yerdedir.
Uyarı:
1. WordPress sürüm güncelleme yaptığınızda değişiklikler silinebilir, dosyaları kontrol edip tekrar güvenli hale getirmeniz önerilir.
2. Yapılan değişiklikler wordpress güncelleme işlemine engel olabilir, böyle bir durumda wp-config.php dosyasını ana dizine taşıyıp (wp-load.php dosyasında yaptımız işlemleri geri alarak) güncellemeleri yaptıktan sonra wp-config.php dosyasının yerini tekrar değiştirebilirsiniz.
wp-admin panel giriş adını değiştirme
wp-login.php dosyasını notepad+ ile açalım
Yeni adımız: wppanelim olsun.
Ana dizinde bulunan wp-login.php dosyası açın, dosyada wp-login.php yazan yerleri wppanelim.php olarak değiştirin. Sonra wp-login.php dosya adını wppanelim.php olarak değiştirin.
Siteniz kullanıcı kayıtlarına açıksa wp-register.php dosyasının adını kayitol.php olarak değiştirebilirsiniz.
Uyarı: WordPress sürüm güncelleme yaptığınızda değişiklikler silinebilir, dosyaları kontrol edip tekrar güvenli hale getirmeniz önerilir.
Admin kullanıcı adını değiştirmek
Kullanıcı adınızın admin olması sitenize saldırı yapmak isteyenlerin işini kolaylaştıracaktır.
Kullanıcı adınız admin ise mutkala değiştirin.
phpmyadmin üzerinden veritabanını açın, wp-users tablosuna gidin user_login sutunun daki admin kullanıcı adını farklı bir kullanıcı adı ile değiştirip git butonuna basın.
Hata mesajlarını gizlemek
WordPress admin paneli girişindeki yanlış kullanıcı adı veya şifre yazdığınızda karşınıza çıkan hata bilgilendirme mesajlarını kapatmak için temanızın functions.php dosyasına aşağıdaki kodu ekleyerek hata mesajlarını gizleyebilirsiniz.
add_filter('login_errors',create_function('$a', "return null;"));
Sürüm gizlemek
WordPress sürümleri sayfa kaynağından görüntülenir, hackerlar hangi sürümde hangi açık var bildiklerinden sitenizi saldırı yapmak istediklerinde işlerini kolaştırmaktadır. Temanızın içerindeki functions.php dosyasına aşağıda kodu ekleyerek sitenizi daha güvenli bir hale getirebilirsiniz.
remove_action( 'wp_head', 'wp_generator' );
htaccess dosyasını güvenli hale getirmek
Ana dizinde bulunan “.htaccess” en üstüne aşağıdaki satırları ekleyerek güvenli hale getirebilirsiniz.
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Dosya izinleri
Klasörlerin izin değerlerini aşağıdaki gibi olmalıdır, aksi durumda hacklenme ihtimali çok yüksektir.
wordpress dizini : 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644