WordPress sitenizin güvende olduğundan emin misiniz? Yada herhangi bir güvenlik önlemi aldınız mı? Şunları söylediğinizi duyar gibiyiz hosting firmam benim yerime güvenlik önlemi alıyor. Fakat böyle düşünüyorsanız, o halde sıkı durum ciddi derecede yanılıyorsunuz, hosting firmaları aldıkları güvenlik önlemleri genellikle yüzeyseldir. Sunucudaki siteleri bir birinde korumaya yönelik ve sunucunun tamamen hacklenmesini engellemek için güvenlik önlemleri alınır. Bazı durumlarda WNOKTA’da olduğu gibi yinede müşterilerimiz hack olayını yaşamamaları için bir takım filitreler kullanmaktayız. Fakat asıl güvenliği mutlaka site sahibinin yapması gerekiyor.
Hiç bir bilginiz yok ve nasıl güvenlik önlemi alacaksınız? Yazımızda wordpress sitenizi adım adım nasıl koruyabilirsiniz bunu size anlatmaya çalışacağız.
Öncelikle sitenize bir eklenti yüklemelisiniz Wordfence ismindeki bu eklenti sitenizdeki gözünüz kulağınız olacak ve sitenizde bir dosya bile değişse size haber verecek, bu eklentinin kurulum ve ayarları hakkında detaylı bilgiyi ise sayfanın en altındaki videoda bulabilirsiniz.
- Öncelikle /wp-admin klasörünüzü şifreleyin. WNOKTA yönetim panelinden Şifre Korumalı Klasörler bölümünden klasörün adını yazarak klasöre şifre koyabilirsiniz, böylece sitenizin yazılımı yani WordPress’i güncellemeseniz dahi WordPress üzerinde oluşacak açıklardan yararlanmak isteyenler dosyalara erişemeyecektir.
- Sitenize ücretli olup, fakat internet ortamında bir şekilde ele geçirilip korsan olarak dağıtılan temaları ve eklentileri yüklememelisiniz, korsanlar genellikle sitenize istedikleri kodları bu yöntemle bulaştırır ve sitenizi başka sitelere saldırmak, haberiniz olmadan Phishing (Sitenizi kullanarak oluşturacakları kredi kartı formları ve kişisel bilgi formları ile kişisel bilgileri çalma, yemleme yöntemidir.) yapmak için kullanırlar, bu da yasal olarak haberiniz olamasada başınızı ağrıtabilir. Bilinmeyen kaynaklardan tema ve eklenti yüklememeye dikkat edelim.
- Otomatik olarak WordPress güncellemeleri aktif etmelisiniz. Bu işlemi aktif etmek için aşağıdaki satırları wp-config.php dosyanızın en altına eklemelisiniz.
#Küçük ve büyük olmak üzere tüm temel güncellemeleri etkinleştirin:
define( ‘WP_AUTO_UPDATE_CORE’, true );
- Otomatik olarak temalarınızı güncelleyebilirsiniz, tema güncellemelerinde, tema kodları üzerinde yaptığınız manuel bir değişiklik var ise güncelleme ile bu kodlar kaybolur. Aşağıdaki satırı wp-config.php dosyasına ekleyerek güncellemeyi otomatik hale getirebilirsiniz.
add_filter( ‘auto_update_theme’, ‘__return_true’ );
- Yüklediğimiz eklentilerinde otomatik olarak güncellemelerini yaparsak, eklentilerdeki açıkları yapımcıları açıkları kapatarak güncellediklerinde sizde otomatik sitenizdeki eklentiyi güncellemiş olursunuz. Aşağıdaki satırı wp-config.php dosyasına ekleyebilirsiniz.
add_filter( ‘auto_update_plugin’, ‘__return_true’ );
- Örneğin WordPess şifreniz ele geçirildi ve siz farkında olmadan görünüm düzenleyicisi sayesinde hackerlar sitenizin kodlarını siz farkına varmadan değiştirebilir ve bir arka kapı (Dosya yükleyicisi veya yöneticisi olabilir.) açarak sitenize istediklerini dosyaları siz farkına varmadan yükleyebilirler, bu durumu engellemek için ise WordPress üzerinden dosyaları düzenlemeyi kapatmalıyız. Aşağıdaki satırı wp-config.php dosyasına ekleyerek dosyaları düzenlemeyi kapatabiliriz.
- Sitemizde oluşacak hata mesajlarını kapatmalıyız, zira sitemize hata mesajları sayesinde hacklenebilir. WNOKTA Yönetim panelindeki Php Sürümü Değiştirme bölümünden hata mesajlarını kapatmak display_errors Off ve error_reporting ~E_ALL olarak ayarlanmış olmalı. Bu işlemleri yapamıyorsak wp-config.php dosyamıza aşağıdaki satırları ekleyebiliriz.
error_reporting(0);
@ini_set(‘display_errors’, 0);
- Bir başka almamız gereken önlem ise wp-config.php dosyamıza erişimi kısıtlamak olacaktır. public_html klasörü yani sitemizin ana dizininde bulunan .htaccess dosyamızın en altına aşağıdaki satırları ekliyoruz.
<files wp-config.php>
order allow,deny
deny from all
</files>
- Ayrıca dilerseniz sizden başkası sitenize giriş denemesi dahi yapsın istemiyorsanız ve özel bir ip adresiniz varsa aşağıdaki kodları .htaccess dosyanıza ekleyerek sizin ip adresiniz dışında wp-login.php dosyasına erişimi engelleyebilirsiniz.
<Files wp-login.php>
order deny,allow
Deny from all
# ip adresini kendi internet ip adresiniz ile değiştirmelisiniz (local ve iç network ip adresiniz DEĞİL)
allow from 192.168.5.1
</Files>
- Son olarak WordPress sitemize mutlaka Wordfence eklentisi kurmalıyız. Konuyla ilgili videomuz hemen aşağıda…
