WordPress Üst Düzey Güvenlik Önlemleri

Dünyanın en fazla kullanılan hazır scripti WordPress’te güvenlik önlemleri almadığımız takdirde, sitemizin hacklenmesi an meselesidir. Anlatıcağımız güvenlik önlemleri hayati önem taşımaktadır. Buyrun başlayalım;


1.  Wp-Config.php dosyasını .htaccess ile korumaya almak.


Genelde Wp-config.php dosyası Chmod olarak koruma altındadır ve dışarıdan erişime kapalıdır. Fakat bazı güvenlik riskleri veya aynı makinadaki başka bir hesap üzerinden Wp-Config dosyasına erişim sağlanabildiğide olmuştur. Bu tarz hack durumlarına karşı Wp-config dosyamızı .htaccess ile korumaya alabilir ve erişimi bütünüyle kesebilirsiniz. .htaccess dosyasına aşağıdaki kodları ekliyoruz.


<files wp-config.php>order allow,denydeny from all</files>

2.  Server imzasını .htaccess ile kaldırmak.


Özellikle de Php hostinglerde Apache bir hata oluştuğunda ya da bazı komutlar girildiğinde karşı tarafa Apache hata sayfası olarak ya da bilgi sayfası olarak versiyon numaralarını ve diğer bilgilerini gönderir. Bu tarz durumlar aslında bir açıklık değildir. Fakat hackerler apache gibi sistemlerin güvenlik açıklıklarını sürekli takip ettikleri için bu tip bilgileri ele geçirdiklerinde sisteminizi daha rahat bir şekilde hack edebilirler.  Ellerinde ne kadar az bilgi olursa o kadar güvende sayılırsınız.


Ör. Apache/22.11.55 (555) PHP/4.4.44 Server at 2.3.4.5 Port 80  Mesela Apache’nin 22.11.55 sürümünde bir güvenlik açığı varsa bu bilgiyi ele geçiren bir hacker sisteminize daha rahat sızabilir.  Bu tip bilgileri kapatmak için yine .htaccess dosyamızın içine aşağıdaki kodları ekliyoruz.

ServerSignature Off 


3. Dizin listelemeyi .htaccess ile kaldırmak.


Dizin listeleme olayı ilk bakışta insana bir problem yokmuş gibi gelebilir. Apache eğer bir klasör içerisinde index.htm, index.html, index.php gibi giriş dosyaları yoksa direk olarak o dizin içerisindeki dosyaların tamamını listeleyebilir. Genelde WordPress kullanan arkadaşların resimleri upload ettikleri uploads klasörü ile plugin klasörleri bu tarz bir listelemeye açıktır. Bu listeleme sayesinde kötü niyetli bir hacker sisteminizdeki klasör ve dosyaları görebilir bu dosyaları download edebilir. Ya da farklı atraksiyonlar çevirerek sisteminizi hacklemeye çalışırlar. En güzel yöntem dizin listelemeyi kapatmaktır. Bazı arkadaşlar bu tip başıboş klasörlere boş bir index.php atarak da engel olmaya çalışırlar. Yine .htaccess dosyamızı açıp şu kodları ekliyoruz.

Options All -Indexes


4. Hata sayfalarını .htaccess ile sabitlemek.


Sunucunuz tarafına gelen bazı istekler sunucu tarafında hata mesajları ile karşılanırlar. Mesela hiç olmayan ya da kaldırılmış bir sayfanıza bir istek geldiği zaman 404 hata kodu ekrana gelir. Bunun farklı versiyonları vardır ve bu hata sayfaları standartta Apache tarafından oluşturulmuş hata kodlarına göre çeşitlilik arz eder.  Bizim için önemli olan yukarıda da belirttiğim gibi Hackerlerın ellerine bilgi vermemek. Sizin hakkınızda ve sistem hakkında ne kadar az bilgi edinirlerse o kadar güvendesiniz demektir.  Bu tarz hata sayfalarını kapatarak sisteminizi bir nebze daha güvenli hale getirebilirsiniz. Bunlardan bir taneside 404 hata sayfası şablonlarıdır.  Ör: (http://www.barisal.com.tr/404.php)  kendinize özel bir hata sayfası oluşturabilir yada temanız içerisinde bulunan 404 hata sayfasına bu tip istekleri yönlendirebilirsiniz.  Aşağıdaki kodları .htaccess dosyamıza eklediğimizde sistem tarafından üretilen hata kodlarında temanızın 404.php dosyasına yönlendirilerek  karşı tarafa istediğiniz bir şekilde hata sayfası çıkartabilirsiniz.  Ya da farklı maskelere de çevirmek mümkündür  http://www.barisal.com.tr/kaybol.php  gibi 🙂

ErrorDocument 404 /wp-content/themes/TEMAADI/404.php

ErrorDocument 403 /wp-content/themes/TEMAADI/404.php

ErrorDocument 500 /wp-content/themes/TEMAADI/404.php

Sorularınızı yorum olarak atabilirsiniz. | Barisal.com.tr

Reply