-MYSQL Database ve User İsmi / Şifresi-
WordPress kurulumu esnasında mysql tablolarına ihtiyaç vardır ve bunları da mysql databaselerinden ( yani veritabanlarından ) elde ederiz. Bu veritabanlarında sitemize ait tüm bilgiler bulunmaktadır . Admin panel şifreniz de bunların başında gelir.
Bilgilerinizin başkalarının eline geçmesini istemiyorsanız mysql database ve user isimlerini akla gelmeyecek şekilde oluşturmalısınız. Bu size zaman kazandıracak ve bilgilerinize erişimi zorlaştıracaktır.
Örnek verecek olursam . Mysql ön ekimiz her zaman sabittir (cpanel kullanıcı adımız). Bunun yanına deneme getirilirse hormonsuzblog_deneme şeklinde bir isim oluşacaktır. Bunu güçlendirmek için harf ve sayılardan hatta özel karakterlerden oluşan bir isim seçmeliyiz. Buna örnek verecek olursak hormonsuzblog_dWQ1+s(=?)Xdv ilk verdiğim örnekten kat ve kat daha güvenlik sağlayacaktır.
Bununla beraber bu güvenli isimlere güvenli şifreler koymak gereklidir. Şifreleri “123456″ yapmak yerine “4+1SA1/*21xF2 ” tarzı kombinasyonlar oluşturursak güvenliğimiz artacak ve WordPress sitemizi sağlam temeller üzerine kuracağız.
-Eşsiz Doğrulama Anahtarı-
Bu önlemimiz Config dosyası ile ilgili . WP- Config Key ‘e giriyorsunuz ve karşınıza ;
define(‘AUTH_KEY’, ‘[)))^oe|aC+Om*`Xc1G]s&@.b6Ub_O%}MC5^i?-m(-Nd.]L}w>EjcOuDoRW$J!+{‘);define(‘SECURE_AUTH_KEY’, ‘%(}M%-jEZ`]7t@|Vsb(BB_OV4SzN|0-%# :=/H<22>6tVQ]?nF(}+C-/rH/a?@L6′);define(‘LOGGED_IN_KEY’, ‘`]eRE};9}]UJhYo_{Pz5&H.+BxJN+vU7HKu,2,oKx1I*vW-{&{T<O|Yzak7|(9Oe’);define(‘NONCE_KEY’, ‘x+8)x?<++LA^|xg*7rwhPY,Dco XQ@EV|MS@K;Tmb#-LDE#g+?xHpc6~?I|T@}i|’);define(‘AUTH_SALT’, ‘SZRV*dPNRlqx%Q%J|&G$S]CHa5#7,P|_|2[1_p=EQ=}+:ieB6BZ~(&!?y!x/V}Y^');define('SECURE_AUTH_SALT', 'RU0sS0tIoJDia~3l6G;S3+EehArG>_[jS&IP>[-43$ EcUo;2IiS3t.-3j1|+yX|');define('LOGGED_IN_SALT', 'qg3:_)0-K+,.Vgs(DG.+<R;U2SV#s(8n`1p?|q@|)c]s`b<Y-{9Jl7AzEQQhJ2aJ’);define(‘NONCE_SALT’, ‘i1a[vJFB7pFoC-d!wc;zxYmFSc{8oU23z9}GA0EeTlWI0jtK/o{IA@G+U/%8 !MH’);
tarzında kodlar geliyor.
Siz bu kodları Wp-Config’de secret key bölümüne kopyalayacaksınız . Böylece çerezler kabul edilmeyecek ve ortak kullanım alanlarında rahatça erişimde bulunabileceksiniz.
-Hata Mesajları -
Saldırganların login sayfanızı bulduğu taktirde vereceğimiz kod çok işinize yarayacaktır. Bu kodun amacı saldırganların herhangibi bir programla şifrenizi kırmaya çalışırken , onları yanıltmaktır. Hiçbir “Kullanıcı adı yanlış” tarzında hata verdiymeyen bu kod , saldırganın kafasını karıştıracak ve size zaman kazandıracaktır.
functions.php belgesinde <?php kodundan sonra şu kodu eklemeniz yeterli olacaktır.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
-Sürüm Gizlemek-
WordPress yeni bir sürümünü duyurduğunda bazı arkadaşlar o sürümün açıklarını bulacak ve siteleri bu açıklarla ele geçirmeye çalışacaklardır . Fakat biz sürümümüzü gizlersek bu olmayacak ve sistemimizin güvenliğini arttıracağız. Bu kodu da functions.php belgesine <?php kodundan sonra ekliyoruz.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
-Kullanıcı Adı-
Kesinlikle ve kesinlikle admin panel kullanıcı adınızı Admin yapmayın . Bunun nedeni ise sitemizi ele geçirmeye çalışan kişilerin ilk olarak bu kullanıcı adını denemeleridir . Kullanıcı adınız admin olduğu zaman sitenizin ele geçirilme şansı kat ve kat artacak , bu yüzdende güvenlik sağlanamayacaktır.
Diyelim ki sisteminizi kurarken bunu bilmiyordunuz ve kullanıcı adınızı admin yaptınız . Üzülmenize hiç gerek yok . PHP MY ADMİN’ e girerek veritabanınızı seçin. Oradan wp_users bölümünde admin kullanıcı adını değiştirin ve başka bir isim seçin.
Bu sizin güvenliğinizi arttıracak ve lamerlere yem olmamanızı sağlayacaktır.
- .htaccess dosyanızı güvenli hale getirin
.htaccess dosyanızın en üstüne verdiğimiz kodları ekleyerek daha güvenli bir sistem yaratabilirsiniz.
ServerSignature Off-Dosya İzinleri-
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Dosya izinleriniz yanlış yapıldıysa hack yemeniz olasıdır. Bu açığı kapatmak için ftp sunucunuzda dosyanıza sağ tıklayıp izinleri ayarlayabilirsiniz. Bizim size vereceğimiz kodları kullanarak bu işi pratikleştirebilirsiniz.
Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644
-Eklentiler-
İşe yeni soyunmuş bir hacker bile eklentilerinizin açıklarını bulabilir. Bu sebepten ziyaretçilerin eklentilere erişimini durdurmak gereklidir. Bunun için eklenti dosyanıza index.html belgesi oluşturmalısınız. Bu index dosyası ile hacker eklentilerinizi göremeyecek ve dolaylı olarak açık bulamayacaktır.
Yorum Gönder