WordPress Güvenlik

WordPress’in altyapısının güçlü ve güvenilir olduğunu biliyoruz ve bundan şüphemiz yok. Ama bu bizim hiç birşey yapmayacağımız anlamına gelmemeli. Çeşitli önlemleri alarak güvenliğimizi arttırmamız gerekmektir. Bunların yapılmaması durumunda karşılaşılanlar sonucunda WordPress’in iç bir suçu yoktur. Tek suçlu bunları ihmal eden bizler oluruz. Eğer hazırsanız WordPress’in güvenliğini arttırmak için gerekli olan işlemlere şöyle bir göz atalım…

Veritabanı Ön Eki

Kurulum sırasında dikkat etmeniz gereken bir husustur.  Standart olarak wp_ şeklinde gelen ön eki bi_1life gibi bir şey yapabilirsiniz. Yeter ki bu standart ön eki değiştirin. Eğer kurulum sırasında bu adımı önemsemediyseniz ve değiştirmek istiyorsanız Wp Prefix Changer gibi çeşitli eklentileri kullanarak bunu yapabilirsiniz.

Eşsiz Doğrulama Anahtarı

WordPress’in kullanıcı parolalarının ve çerezlerinin daha güvenilir olması için gereken kelimelerdir. Bu nedenle wp-config.php dosyasında bulunan eşsiz doğrulama anahtarlarını mutlaka doldurmanız gerekmektedir. Doğrulama anahtarınızı almak için burayı tıklayın.

Dosya Izinleri

WordPress kurulumunu tamamladıktan sonra ilk yapmanız gereken şey wp-admin klasöründeki install.php dosyasını silmektir. Bu işlemden sonra dosya izinlerinizi doğru bir şekilde yapmanız gerekmektedir. Dosya izinleri konusu güvenliğiniz için önemli bir yerde durmaktadır. Yanlış verilen izinler ile sunucunuza rahatlık ile erişim yapılabileceğini unutmayın. Aşağıda uygun olarak verilen izinleri sunucunuz üzerinde uygulayabilirsiniz.

Ana dizin (root directory) : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

Bazı eklenti ve kurulumları sırasında sizlerden tam izin isteyebilir. Bu durumlarda tema ve eklenti izinlerini 0777 olarak değiştirebilirsiniz. Işlemleriniz bittikten sonra dosya izinlerini eski haline geri alabilirsiniz ya da bunlar ile uğraşmak yerine direk tema veya eklenti dosyalarını sunucunuz ile bağlantı kurarak yükleyebilirsiniz.

“.htaccess” Dosyası

WordPress güvenliği için sağlam bir .htaccess  dosyası çok önemlidir. Bu dosya ile güvenliğinizi arttırmak sizin elinizdedir. Aşağıda örnek olarak hazırlanmış bir dosya ve açıklamaları bulunmaktadır.

# .htaccess dosyasına erişimi engelle
<files .htaccess>
order allow,deny
deny from all
</files>
 
# sunucu imzasını kaldır
ServerSignature Off
 
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000
 
# wpconfig.php dosyasına erişimi engelle
<files wp-config.php>
order allow,deny
deny from all
</files>
 
# wp-load.php dosyasına erişimi engelle
<files wp-load.php>
order allow,deny
deny from all
</files>
 
# dizin listelemeyi iptal et
Options All -Indexes

“wp-config.php” Dosyasının Yerini Değiştirmek

Bu dosyanın adından da anlayacağınız üzere sisteminiz için önemli bir yerde durmaktadır. Wp-config.php dosyasının konumunu veya ismini değiştirerek güvenliğimizi arttırabiliriz. Bunu yapmak için de sitemizin ana dizinindeki wp-load.php dosyasını açmalı ve wp-config.php yazan yerleri dilediğimiz şekilde değişirmeliyiz. Örneğin bilisimlife adında yeni bir klasöre taşımak için wp-load.php dosyasındaki wp-config.php yazan yerleri bilisimlife/wp-config.php şeklinde değiştirmeliyiz. Ilgili satırların değişmiş hali şu şekilde olacaktır. Ilgili satırların düzeltilmiş hali aşağıdadır.

 if ( file_exists( ABSPATH . 'bilisimlife/wp-config.php') ) {
 
   /** The config file resides in ABSPATH */
   require_once( ABSPATH . 'bilisimlife/wp-config.php' );
 
} elseif ( file_exists( dirname(ABSPATH) . '/bilisimlife/wp-config.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {
 
   /** The config file resides one level above ABSPATH but is not part of another install*/
   require_once( dirname(ABSPATH) . '/bilisimlife/wp-config.php' );

Ertan Güven