Son zamanlarda WordPress alt yapısını kullanan sitelere global anlamda bir saldırı düzenlendi. Bu saldırılardan dolayı kullanıcılar web sayfalarında sorun yaşamaya başladılar. Ayrıca saldırılar sunucuların yavaş çalışmasına da neden oldu.
Saldırılar genelde WordPress üzerinde kullanılan SEO amaçlı tasarlanmış sosyal medya eklentileri ve bileşen modülleri üzerinden gerçekleştirilmiş. Bu tür modüllerde bulunan açıklar sayfanızın saldırıya uğramasına, yavaş çalışmasına ve korumasız hale gelmesine neden olacaktır.
Bu saldırılardan korunmak için kullanmış olduğunuz WordPress sürümünü son sürüme güncellemenizi öneriyorum. Ayrıca bazı dizin ve güvenlik ayarlarını da mutlaka yapmalısınız.
Gereksiz yere kesinlikle eklenti kurulumu yapmamalı ve WordPress’in onayladığı eklentiler haricinde eklentileride kullanmamalısınız. WordPress’in resmi sitesi haricinde bir yerden indirmiş olduğunuz eklentilerin içerikleri, kod yapıları hakkında bilgi edinme şansınız olmadığı için kesinlikle tavsiye etmiyorum. Resmi kaynak dışında indirmiş olduğunuz eklentiler veritabanınızdan bilgli çalabilir, sizden habersiz sitenize link ekleyebilir hatta web sitenize zarar verebilecek açık yaratabilirler ve web sitenizi saldırılara karşı korumasız bırakabilir.
Aşağıda ki bir kaç yönergeyi uygulayarak WordPress alt yapınızı daha güvenilir hale getirebilirsiniz.
WordPress Security Plugin kurmalısınız.
https://wordpress.org/extend/plugins/better-wp-security/
https://wordpress.org/extend/plugins/better-wp-security/installation/
Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.
https://codex.wordpress.org/Hardening_WordPress
wp-includes klasörünü güvenli hale getirin.
.htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] # BEGIN WordPress <*files wp-config.php*> order allow,deny deny from all <*/files*> * işaretlerini kaldırıp ekleyin.
wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.
define('DISALLOW_FILE_EDIT', true);
Gereksiz olarak hiç bir dizine chmod 777 yapmayınız. Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.