wordpress siteniz heklenmesin

22-08-2023, 00:33:38

#1
Misafir

Açık Profil bilgileri

Özel Mesaj Gönder

Misafir tarafından gönderilen tüm mesajları bul

Misafir'ı arkadaş olarak ekle
itelerimden biri salağın biri tarafından heklendikten sonra, bende wordpress sitemi nasıl korurum diye bir arayışa girdim. Oldukca da fazla makaleye rastladım ama bunların coğu dağınık haldeydi. Bende hem kendi uyguladıklarımı, hemde başka sitelerden derlediklerimi buraya toparlamaya karar verdim.

WordPress sitenizi yada farklı bir sistemde calışan web sitenizi korumanın ilk kuralı sağlam bir hosting firması ile calışmaktır. Merdiven altı imalathaneler gibi şimdi bircok kişi bireysel olarak barındırma hizmeti veriyor. İşi bilmeyen profesyonellikten uzak bu firmalar ile kesinlikle calışmayın. İsim ve un yapmış firmaları tercih edin.

Calıştığınız hosting firmalarının sizin yerinize yedek alması da lehinize olur. Secim yaparken bunu goz ardı etmeyin. Orneğin benim calıştığım firma her iki gunde bir, barındırma hizmeti verdiği tum hesapların tam yedeğini alarak başka bir sunucuda saklıyor. Her hangi bir olumsuz bir durumda anında geri donuş sağlanabiliyor. Orneğin gecenlerde yanlışlıkla bu sitenin veritabanını silmiştim. Bir telefon ile geri yuklettim ve kaldığım yerden sorunsuzca devam ettin.

Eğer sisteminiz wordpress ise, kurulum sırasında tablo on eki olan wp_ kısmını mutlaka değiştirin. İhtiyacınız yok ise uye alımını kapatın. WordPress kurulumundan hemen sonra wp-config-sample.php ve admin klasoru icinde yer alan install.php dosyalarını silin. Bunun amacı, bir hek durumunda tekrar kurulumu onlemektir. Ardından tum dizinlerde boş bir index dosyası olmasına dikkat edin. Boylece bir dizin ismini adres cubuğuna yazan biri, dizin icerisinde yer alan dosyaları goremez Ayrıca FTP ile calışırken işiniz bittiğinde ana dizinin chmod değerini 311 yaparak tum dosyaları gizleyebilirsiniz. Tekrar gostermek istediğinizde 711 yapabilirsiniz.

WordPress icin oluşturulan ilk hesap olan admin hesabını mutlaka silin. Yerine başka bir kullanıcı adı ile oturum acın. Ve mutlaka guclu şifre kullanın. Ayrıca ilk girişte cıkan hata mesajını aşağıdaki kodu kullanarak silin.
HTML:
add_filter(’login_errors’,create_function(’$a’, “return lisanssız;”));

Bu kodu temanızın fuctions.php dosyanıza eklediğinizde, artık yanlış girilenin parolamı yoksa kullanıcı adımı olduğu yazmayacak.

WordPress sitenizin sistem dosyalarının chmod değerlerine mutlaka ozen gosterin. Bazı eklentiler bazı dosyaların okunabilir (chmod: 777 ) olmasını isteyebilir. O an icin okunabilir yapsanızda, kurulumdan hemen sonra tekrar duzenleyin. Bir wordpress dosyalarının chmod değerleri aşağıdaki gibi olmalıdır.
HTML:
Ana dizin (root directory) : 0755 wp-includes/ : 0755 wp-admin/ : 0755 wp-admin/js/ : 0755 wp-content/ : 0755 wp-content/themes/ : 0755 wp-content/plugins/ : 0755 wp-admin/index.php : 0644 .htaccess : 0644 wp-config.php : 0644

.htaccess dosyanıza şu kodları ekleyerek bazı dosyalara dışardan erişimi engelleyin. Komutların uzerinde zaten ne işe yaradıkları acıkca yazıyor. Ayrıca .htaccess dosyasının chmod değerini mutlaka 644 yapın.
HTML:
# .htaccess dosyasına erişimi engelle order allow,deny deny from all # sunucu imzasını kaldır ServerSignature Off # dosya yukleme boyutunu 10mb ile sınırlandır LimitRequestBody 10240000 # wpconfig.php dosyasına erişimi engelle order allow,deny deny from all # wp-load.php dosyasına erişimi engelle order allow,deny deny from all # dizin listelemeyi iptal et Options All -Indexes

wp-config.php dosyanızın yerini mutlaka değiştirin. Orneğin wp-content klasoru icine gonderin. Nasıl yapıldığına gelince; Once wp-config.php dosyasını, wp-content klasoru icine yollayın. Daha sonra wp-load.php dosyasını notepad ile acın. ctrl + h yani bul ve değiştir deyin. Bul yerine wp-config.php yazın, değiştir kısmına ise wp-content/wp-config.php yazarak tumunu değiştir diyin. Boylece ayar dosyamızın yerini değiştirerek yeri bilinen bir dosyanın bulunmasını zorlaştırıyoruz.

Ayrıca wp-config dosyamızı şifreleyebiliriz. Bunun icin ionCube, Zend Guard veya en basiti ve ucretsiz olan phpr.org sitesindeki aracı kullanabilirsiniz. Eğer ioncube ile şifrelemek isterseniz ki bu en guvenilir şifreleme yontemidir, once ionCube sitesine uye oluyorsunuz. Sonra kredi yuklemek icin odeme yapıp (minimum 5$ = 10 dosya) kredinizin yuklenmesini bekliyorsunuz. Krediniz yuklenince Encode (Şifrele) sayfasına gidiyor ve şifrelemek istediğiniz dosyayı gonderiyorsun. Dosya şifrelenip size geri veriliyor. Verilen dosyayı sitenize koyup direk kullanmaya başlayabiliyorsunuz.

Ayrıca WordPress guvenliği icin eklentide kullanabiliriz.

Login Lockdown eklentisi ile wordpress giriş denemelerini sınırlandırın. Boylece heker olmayan biri sizin kişisel bilgilerinizden yola cıkıp tahminler yaparak sitenize giriş yapamaz. Ayrıca Secure WordPress eklentisini kullanarak bir dizi guvenlik onlemi ile artı bir koruma sağlayabilirsiniz. Peki Secure wordpress eklentisi ne yapar.

* Giriş sayfasındaki hata bilgilendirmesini kapatır
* Plugin dizinine index.php dosyasını kayıt eder
* Yonetici alanı haricinde WordPress versiyon numarasının kaldırır
* Really Simple Discovery‘yi kaldırır
* Windows Live Writer’i kaldırır
* Yoneticiler haricindeki kullancılar icin cekirdek guncelleme bilgilerini kaldırır
* Yoneticiler haricindeki kullancılar icin eklenti guncelleme bilgilerini kaldırır
* Yoneticiler haricindeki kullancılar icin tema guncelleme bilgilerini kaldırır(sadece WP 2.8 ve ustu icin)
* Yoneticiler haricindeki kullancılar icin Başlangıc sayfasındaki wp versiyonunu gizler
* Kotu soguları engeller

Tum bu anlattıklarım sitenizi tamamı ile korumaz. Hırsıza kilit dayanmaz misali iyi bir heker ne yapar eder sitenize dalar. Ama şu an piyasada cok gorunen ve kendini bir bok sanan (ki hakaten boktur bunlar) zibidiler icin onlemizini almış olursunuz.

kaynak