12 Adımda Wordpress Güvenliği [Enlenti]

13-04-2013, 11:53:23

#1

~~yazarcizer~~

Üyeliği durduruldu
Better WP Security adlı bu eklenti, sitenizin güvenliğini artırmaya yönelik 12 önlem alıyor. Eklentiyi paylaşma nedenim, Türkçe Wordpress sitelerine bir süredir brute force saldırıları düzenleniyor olması. Bu konuda Wordpress Türkiye dün bir açıklama yapmış. Forumda hala konusu mevcut. Bakmak isteyenler olursa; bkz.

Eklentiyi indirebileceğiniz adres: http://wordpress.org/extend/plugins/better-wp-security/

Eklentinin Yararları:
1. Generator metasını kaldırır
2. Login ve admin sayfalarının yanı sıra pek çok yönetim sayfasının adını ve URL'sini değiştirir
3. Login özelliğini pasifleştirebilir ya da periyodik hale getirir
4. Tema, eklenti ve versiyon güncelleme uyarılarını, bunları güncelleme yetkisi olmayan kullanıcılardan gizler
5. Windows Live Write header bilgisini kaldırır
6. RSD header bilgisini kaldırır
7. Admin hesabını yeniden adlandırabilir
8. ID'si 1 olan kullanıcının, yani admin'in, ID'sini değiştirebilir
9. Wordpress tablo ön ekini değiştirebilir
10. Wp-content yolunu değiştirir
11. Login hata mesajlarını gizler
12. Yönetici harici herkese rastgele bir versiyon numarası gösterir
Yukarıdaki maddelerin tamamı sayesinde de siteniz çok daha güvenli bir hal alır. Bunları aslında elle yapmak da mümkün. Ama herkesin bunu yapmaya yetecek zamanı ve bilgisi yok. O yüzden bu eklenti sayesinde sitenizi en azından pek çok saldırıya karşı korunaklı hale getirebilirsiniz.

Tabi ne yaparsanız yapın %100 koruma sağlanamayacağını da aklınızdan çıkarmayın.

Hepinize Kolay Gelsin,
Selametle
13-04-2013, 13:40:09

#2

fatihemre

Hazır böyle önemli bir konu varken, bugün hosting sağlayıcılarından birinin gönderdiği epostayı burada paylaşayım dedim ben de..

Alıntı

Değerli Müşterimiz bayGaReZ,

Son zamanlarda Wordpess kullanan tüm hosting hesaplarına ve kendi sunucusunda bu yazılımı kullanan hesaplara global anlamda bir saldırı yapılmaktadır.Bu saldırılardan dolayı gerek web sayfalarında sorun olmakla beraber sunucular üzerinde

yavaşlamalar yaşanmaktadır bu saldırıların nedeni wordpess üzerinde kullanılan SEO amaçlı tasarlanmış Social media eklentileri ve Witget modülleridir bu tür modüller sayfanızı yavaşlatacağı gibi aynı zamanda saldırılarada karşı sizi korumasız bırakmaktadır.

Bu saldırları önlemek için öncelikle kullandığınız sürümü son süreme güncellemeniz ve bazı dizin ve güvenlik ayarlarını mutalaka yapmalısınız.Gerksiz hiç bir modülü kullanmayınız Wordpess kurumunun kendi yayınladığı ve güvenli olarak işaretlediği modüller dışında modül kullanmayınız çünkü içerisinde ne gibi bir kod yapısı olduğunu bilemezsiniz sayfanızda sizde habersiz link ekleyebilir hatta veritabanınıza erişebilir zarar verbilirler sayfanız üzerinden başka sitelere saldırı dahi gerçekleştirilebilirler.

Aşağıda verdiğimiz yönergeleri mutlaka ugulayınız.

Wordpress Security Plugin kurmalısınız.

http://wordpress.org/extend/plugins/better-wp-security/
http://wordpress.org/extend/plugins/.../installation/

Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.

http://codex.wordpress.org/Hardening_WordPress

wp-includes klasörünü güvenli hale getirin.

.htaccess içerisine aşağıdaki kodu yerleştiriniz.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>

wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.

define('DISALLOW_FILE_EDIT', true);

gereksiz olarak hiç bir dizine chmod 777 yapmayınız.
Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.