WordPress Güvenliği – 2

WordPress Güvenliği-1 yazısına buradan ulaşabilirsiniz.

Önceki yazıda şifreli dizin oluşturma, dosya ve dizin isimleri ve .htaccess dosyasının yapılandırılmasından bahsetmiştim.

Önceki yazıda bahsettiğim Apache şifrelemesi yani şifreli dizin oluşturma işlemi için pratik bir eklenti varmış, henüz test etmedim ama denemeye değer : http://www.askapache.com/wordpress/htaccess-password-protect.html bu adresten test edebilirsiniz.

1) Kullanıcı Gizliliği

WordPress’in default olarak getirdiği “admin” userini silin. Tabiki bunu silmeden önce admin yetkilerine sahip yeni bir kullanıcı oluşturmayı unutmuyoruz.

WordPress yönetim panelinden Users/Your Profile kısmına girin.

Username ve nickname bilgilerini farklı girin. Ayrıca “display name publicly as” kısmından bu bilgilerin blogda görünmesini engelleyin :

2) Dizin Listeleme

Hiç bir dizininizi sadece klasörlerden oluşmuş şekilde bırakmayın. Boş bile olsa bir index.html dosyası oluşturun.

3) Benzersiz Anahtarlar – wp-config.php

WordPress 2.6 sürümünden itibaren benzersiz anahtarları düzenlemenize imkan tanıyor.

Bu işlem hali hazırda çalışan wordpress bloğunuzun içeriğine zarar vermeyecektir, yani illa ki yeni kurulmuş bir blogda yapılması gereken bir değişiklik değildir.

wp-config.php dosyasını açtığınız zaman;

define(‘AUTH_KEY
define(‘SECURE_AUTH_KEY
define(‘LOGGED_IN_KEY
define(‘NONCE_KEY

satırlarını göreceksiniz.

Şimdi http://api.wordpress.org/secret-key/1.1/ adresine girin ve karşınıza çıkan satırları kopyalayıp wp-config.php dosyasına yapıştırın. Aşağıdaki gibi wp-config.php dosyanızı düzenleyin.

4) wp-config.php Dosyasının konumu

WordPress 2.6 sürümünden itibaren artık wp-config.php dosyasının yerini değiştirmeye de izin veriyor. Fakat bu izin istediğiniz klasöre taşıyabileceğiniz anlamına gelmiyor. Bu dosyayı yalnızca bir üst dizine taşıyabilirsiniz.

Tabiki sayfanız direk root dizine kurulduysa (benim olduğu gibi) yani httpdocs, www gibi root klasörlerdeyse wp-config.php dosyanız, daha bir üst dizine taşıma imkanınız yok.

Ancak /blogum gibi bir klasör altındaysa httpdocs’a taşıyabilirsiniz.

5) Güvenlik Eklentileri

Öncelikle belirtmek gerekir ki, çok eklenti kullanmak çok saldırıya maruz kalmak anlamına gelir. Çünkü eklentilerde ortaya çıkabilecek bir zaaf blogunuzun saldırıya maruz kalmasına yardımcı olabilir. WordPress blogunuzu düzenli olarak güncellediğiniz gibi eklentileride güncellemeniz gerekir.

=> WordPress Security Scan => En meşhur eklentilerden biri. Ufak bir güvenlik testi niteliğinde.

=> Login LockDown => Yapılan hatalı girişleri loglayan ve belirli bir sayıdan sonra ip adresini otomatik olarak banlamasını sağlayabileceğiniz bir eklenti.

=> Limit Login Attempts => Üstteki eklentinin hemen hemen aynısı.

6) Davetiye Ile Kayıt Olma

Eğer benim gibi kişisel bir bloğunuz var ve insanların blogunuza üye olmasına ihtiyaç duymuyorsanız, üyelik sayfasına erişimi kısıtlayabilir ve sadece davetiye sistemi ile çok istisna durumlarda üye kabul edebilirsiniz. Üye kayıtlarını zaten admin panelinden durdurabileceğinizi zaten biliyorsunuz ancak bu eklenti ile davetiye sistemine çevirebilirsiniz.

http://wordpress.org/extend/plugins/wordpress-mu-secure-invites/ adresinden indirebileceğiniz plugin ile bu işi yapmak çok kolay.

Vaktim olduğunda devam edecek…

Leave a Reply