Biraz teknoloji, bazen ben

Menu & Search

WordPress Sitenizi Saldırılara Karşı Korumak

5 Mart 2014

Son zamanlarda WordPress alt yapısını kullanan sitelere global anlamda bir saldırı düzenlendi. Bu saldırılardan dolayı kullanıcılar web sayfalarında sorun yaşamaya başladılar. Ayrıca saldırılar sunucuların yavaş çalışmasına da neden oldu.

Saldırılar genelde WordPress üzerinde kullanılan SEO amaçlı tasarlanmış sosyal medya eklentileri ve bileşen modülleri üzerinden gerçekleştirilmiş. Bu tür modüllerde bulunan açıklar sayfanızın saldırıya uğramasına, yavaş çalışmasına ve korumasız hale gelmesine neden olacaktır.

Bu saldırılardan korunmak için kullanmış olduğunuz WordPress sürümünü son sürüme güncellemenizi öneriyorum. Ayrıca bazı dizin ve güvenlik ayarlarını da mutlaka yapmalısınız.

Gereksiz yere kesinlikle eklenti kurulumu yapmamalı ve WordPress’in onayladığı eklentiler haricinde eklentileride kullanmamalısınız. WordPress’in resmi sitesi haricinde bir yerden indirmiş olduğunuz eklentilerin içerikleri, kod yapıları hakkında bilgi edinme şansınız olmadığı için kesinlikle tavsiye etmiyorum. Resmi kaynak dışında indirmiş olduğunuz eklentiler veritabanınızdan bilgli çalabilir, sizden habersiz sitenize link ekleyebilir hatta web sitenize zarar verebilecek açık yaratabilirler ve web sitenizi saldırılara karşı korumasız bırakabilir.

Aşağıda ki bir kaç yönergeyi uygulayarak WordPress alt yapınızı daha güvenilir hale getirebilirsiniz.

WordPress Security Plugin kurmalısınız.
https://wordpress.org/extend/plugins/better-wp-security/
https://wordpress.org/extend/plugins/better-wp-security/installation/

Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.
https://codex.wordpress.org/Hardening_WordPress

wp-includes klasörünü güvenli hale getirin.

.htaccess içerisine aşağıdaki kodu yerleştiriniz.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

<*files wp-config.php*> 
order allow,deny 
deny from all 
<*/files*> 

* işaretlerini kaldırıp ekleyin.

wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.

 define('DISALLOW_FILE_EDIT', true);

Gereksiz olarak hiç bir dizine chmod 777 yapmayınız. Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.

Hakan Demirel

Özel bir şirkette Front-end Developer olarak çalışmakta. Twitter üzerinden @hakandemirel hesabını takip edebilir yada hakandemirel.com adresinden daha fazla bilgi alabilirsiniz.

Benzer İçerikler

WordPress Veritabanı Optimizasyonu

WordPress Veritabanı Optimizasyonu konsuna geçmeden önce WordPress’ten kısaca bahsetmek istiyorum. WordPress…

FCP, DCL ve PSI nedir?

FCP, DCL ve PSI nedir? 2018 yılının başında Google’ın PageSpeed…

Markdown Nedir?

Markdown internet çağı için, yazmayı kolaylaştıran, hızlandıran yeni bir yazım…

Yorum post

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Type your search keyword, and press enter to search