Selamlar,
Open source yazılımlar her geçen gün daha da popüler oluyor. Wordpress de bunlardan biri. Bildiğiniz gibi Wordpress bir içerik yönetim sistemi, son derece çok plugin ve template desteği ile oldukça yoğun kullanılan bir websitesi sistemi oldu. Hatta dünyada ki websitelerinin %14 ünün wordpress ile yapıldığı bilgileri internette dolaşmakta.
Son günlerde Rusya ile yaşanan politik kriz ile birlikte, Türkiyemizdeki websitelerine oldukça yoğun saldırılar yapılmaya başladı. Hatta geçen günlerde ülkemizin gururu Ayyıldız Hacker Team den yapılan açıklamada ülkemizdeki websitelerinin günvenlik yönünden oldukça zayıf olduğuydu. Bu tabiki çok büyük bir sorun ve halledilmesi oldukça güç. Çünkü binlerce güvenlikten anlayan Web uzmanı bütün websitelerini kontrol edip güvenlik önlemlerini almak zorunda.
Madem bütün dünyada olduğu gibi ülkemizde de wordpress oldukça çok kullanılıyor. O halde wordpress ile yapılmış olan websitelerinde ne gibi önlemler alabiliriz? Bugün sizlere birkaç güvenlik önleminden bahsedeceğim eğer websitenize bu önlemleri yapabilirseniz, en azından otomatik olarak yapılan saldırıların büyük bir bölümüne karşı bir zırhınız bulunacaktır.
Eğer geçmişten günümüze websitelerinin nasıl hacklendiğine bakarsanız, bunun bir kaç evresi olduğunu göreceksiniz, Eskiden websiteleri hacklenir ve siteniz haklendi yazısı çıkardı. Fakat bugünlerde artık siteniz hacklenmekle kalmıyor, başkalarının web sayfalarını sizin sitenizin içine enjekte ediyorlar ve gönderdikleri spam maillere sizin sitenizdeki kendi koydukları sayfaya yönlendiriyorlar yada yazdıkları code ile siteniz üzerinden yüzbinlerce spam mailleri gönderiliyor. Bu yüzden siteniz google ve benzeri arama motorları tarafınan bloke edilebiliyor, yada webserver ip adresiniz kara listeye girerek artık hiç bir büyük mail sunucusuna mail gönderemiyorsunuz ve bu birçok sorunu da beraberinde getiriyor.
Şimdi websitemizin güvenliği için yapabileceklerimize bir göz atalım.
- Wordpress kurulumu sırasında dikkat etmeniz geren birkaç şey var, öncelikle Database prefix inizi mutlaka "wp_" den başka bir şey seçin,
- Kurulum sirasinda sizden istenen yönetici kullanici ismini kesinlikle admin yada administrator şeklinde çok bilinen isimler seçmeyin, ayrica websitenizin ismi, firmanizin ismide olmamalı.
- Kurulum bittikten sonra wordpress security key leri mutlaka wordpress sayfasından oluşturup wp-config dosyasinin içine yerleştirin (eğer otomatik oluşturulmadıysa).
- Hosting firmasından gelen FTP bilgileri ile sitenize FTP client ile bağlandığınızda dosya ve klasör yazma haklarına dikkat edin, klasörler için 755, dosyalar için 644 olduğuna dikkat edin, asla 777 yazma hakkı kullanmamaya çalışın.
- Kurulum bittikten sonra wordpress yönetim panelinden güncellemeleri kontrol edin ve gerekiyorsa hemen yapın,
- Websiteniz sadece firmaniza ait bir site olacaksa ve aktif olarak üye kullanıcılar olmayacaksa post ve sayfalara yorum yazma hakkını ve yeni üye kullanıcı oluşturulmasını kapatın.
- Robots.txt dosyasını kullanarak websitenizin gerekmeyen klasörlerine arama motorlarının uğramasını engelleyin. Eğer WP için önerilen bir robots.txt dosyası isterseniz:
User-agent: *
Disallow: /wp-admin/
Disallow: /trackback/
Disallow: /xmlrpc.php
Disallow: /feed/
olacak şekilde dosyayı hazırlayıp FTP programı ile sitenizin ana klasörüne kopyalayın.
- Sitenizde yaptığınız değişikliklerin sıklığına göre her ay en az bir kez yedekleme yapın.
Bütün bu yapılanlardan sonra, size tavsiyem All in one WP Security isimli plugin yada benzerlerinden birini kurup güvenlik ayarlarını bu plugin in tavsiye ettiği şekilde yapın.
Bütün bu bilgiler bence yapılması gereken en az ayarlar olmalı, daha sonrası için websitenizin büyüklüğü ve işlevliğine göre başka güvenlik tedbirlerini araştırın.
İyi çalışmalar dileklerimle.
Thank you admin kardeş chat yapmaya bekleriz
YanıtlaSilCanlı Sohbet
Mobil Sohbet