WordPress gunumuzde cok populer bir web sitesi yazılımı ve blog ’lar, firma web siteleri, online alışveriş siteler ve hatta buyuk portallar gibi pek cok site bu CMS (icerik yonetim sistemi) uzerinde kurulu. WordPress ’in kullanımı kolay ama bazı guvenlik problemleri de var. Bugun onları nasıl cozeceğimizi anlatacağım.

1. WordPress ’i XSS (cross site scripting) saldırılarından korumak

Problem

Yazılım geliştiriciler her zaman GET ve POST isteklerine karşı koruma yapmaya uğraşıyorlar fakat bu her zaman yeterli olmayabiliyor. Web sitemizi XSS saldırılarından ve değişkenler ile GLOBALS _REQUEST ’in değiştirilmesinden de korumamız gerekiyor.

Cozum

Aşağıdaki kod bloğu XSS saldırılarına, değişkenler ve GLOBALS _REQUEST ’in değiştirilme denemelerine karşı koruma sağlar. Bu kodu .htaccess dosyası icine (ana klasorde) yapıştırın.
Options +FollowSymLinks
RewriteEngine On
RewriteCond () NC,OR
http://(.+.)?websitem.com/ NC
RewriteCond % !^$
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg L
websitem.com yerine kendi site adresinizi ve /images/nohotlink.jpg yerine hangi resimin gorunmesini istiyorsanız onu koyun (harici url de olabilir, or. imageshack).

9. Admin hesabını kaldırın

Problem

Eğer kullanıcı adı bilinirse şifre bulma denemeleri yapmak daha kolay olur. Ve WP varsayılan kullanıcı adı da admin.

Cozum

Aşağıdaki veritabanı sorgusunu calıştırın (yeni login ismini yazin yerine istediğiniz yeni kullanici adini girin).
UPDATE wp_users SET user_login = ’yeni_login_ismini_yazin ’ WHERE user_login = ’Admin ’;

10. Sunucudaki klasorleri koruyun

Problem

Coğu web barındırma sağlayıcısı sunuculardaki klasorlerin iceriğinin gorunmesine izin verebiliyor. Ornek olarak eğer www.websiteniz.com/wp-includes adresine gittiğinde iceriğini gorebilirsiniz. Tabi ki bu pek de guvenli değil.

Cozum

Yine .htaccess dosyasını duzenliyoruz:
Options All -Indexes

Kaynak : http://turlubicim.com/wordpress-10-guvenlik-ipucu.html