Arkadaşlar merhaba. Maalesef bazı sitelerime virüs girmiş. Tekrar olmaması için güvenlik önlemi almaya çalışıyorum.
klasör içine saçmasapan isimli php uzantılı dosyalar atmışlar, ayrıca indexphp wpsettings gibi dosyalara da kod eklenmiş.
.htaccess ile bu dosyalara erişimi engellediğimde site hiç açılmıyor. "site açılsın ama bu dosyalara ve wp-content klasörüne erişim olmasın, yanlış dosya eklenemesin" istiyorum. bunu nasıl sağlarım?
.htaccess ile Site güvenliği
9
●278
- 20-08-2024, 12:32:52wp-content klasörüne erişim olmazsa siteniz çalışmaz....
- 20-08-2024, 12:34:50ilhantr41 adlı üyeden alıntı: mesajı görüntüleWordfence dahil tüm güvenlik eklentileri çöptür. Güvenlik kısmını Cloudflare ve Sunucu yapılandırma dosyalarından ayarlanması gerek. Wordfence gibi eklentileri dediğim işlem sonrası kullanabilirsiniz tek başına yetersizdir.Yesil SEO adlı üyeden alıntı: mesajı görüntüle
- 20-08-2024, 13:05:18Selamlar hocam,ilhantr41 adlı üyeden alıntı: mesajı görüntüle
Öncelikle wordpress de bilmediğin bir eklenti varsa onları kaldırmanı öneririm.
Ayrıca kullandığın hosting firması çok önemli. Web sitende herhangi bir zafiyet olmayabilir fakat hostingde ortak kullanım varsa, yapılandırma eksik ise litespeed gibi ne kadar wordpress alt yapın sağlam olursa olsun hacklenirsin.
Tavsiyelerimi yerine getirirsen bu riski en aza indirgeyebilirsin.- VDS veya VPS' de barınabilirsin veya cloudlinux yapısı ile çalışan bir reseller kullanabilirsin.
- wp-admin panel yolunu değiştir. ( bununla ilgili çok kaynak var) LockDownWP Admin kullanabilirsin.
- Mysql bilgilerini tamamen değiştirin. Site ile ilgili olmayan dbusername ve güçlü pw kullanın.
- tema adını gizle, ve themes/screenhsot.png dosyasını sil.
- Admin panel erişimleri için 2FA kullan. ( Google Authenticator miniOrange's Authenticator)
- Sunucunda backup dosyası barındırma.
- wpconfig de güvenlik anahtarları vardır. bunu 1 kereye mahsus olmak üzere değiştirin. Wordress_SecretKey
- .htaccess dosyası içerisinde wp-load engellemesi yapın.
<files wp-load.php> order allow,deny deny from all </files>
- wp-config.php dosyasının iznini 440 veya 400 olacak şekilde değiştirin.
- xml-rpc özelliği devre dışı bırakmanızı öneririm ( özelleştirme yoksa)
- Wordpress versionunuzu gizleyin. Aşağıdaki kodu functions.php alt satırlara doğru ekleyin.
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version') - Wordpress sürüm numarası css de rrs de yazar bunuda yine functions.php de aşağıdaki kodu kullanarak gizleyebilirsiniz.
// Script ve CSS'den WP Sürüm No Kaldırma function remove_version_from_style_js( $src ) { if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) ) $src = remove_query_arg( 'ver', $src ); return $src; } add_filter( 'style_loader_src', 'remove_version_from_style_js'); add_filter( 'script_loader_src', 'remove_version_from_style_js'); // Remove query string from static files function remove_cssjs_ver( $src ) { if( strpos( $src, ?ver= ) ) $src = remove_query_arg( ver, $src ); return $src; } add_filter( style_loader_src, remove_cssjs_ver, 10, 2 ); add_filter( script_loader_src, remove_cssjs_ver, 10, 2 );Aklıma gelenler şimdilik bunlar, kolay gelsin. - 20-08-2024, 14:49:00çok teşekkür ederim, tek tek okuyup uygulayacağım hepsiniMedyaXX adlı üyeden alıntı: mesajı görüntüle
- 01-09-2024, 15:25:52@MedyaXX;
tekrar merhaba. dediklerinizin hepsini yaptım. tertemiz bir wp kurdum sadece content klasörünü aldım ama fayda etmedi. halen dosyaların içine kodlar gelmeye devam ediyor. wp_settings dosyasına atmışlar meselaç. Halbuki .htaccess'in içinde
<files wp-settings.php>
order allow,deny
deny from all
</files>
Kodu var. buna rağmen dosyaya kod geliyor. Bnun sebebi nedir? bu kötü durumdan nasıl kurtuluruz? Bu arada sitenin hostigini de değiştirdim. ne yaparsam yapayım fayda etmiyor