WordPress Güvenlik Önlemleri

Gün geçtikçe gelişen ve öğrenen insanlar kendilerine rakip olarak gördükleri kişilerin web sitelerine saldırılar yaparak bazı açıklar elde etmeye çalışmaktadır. Bu durumda sitesini kurup hiçbir güvenlik önlemi almayan kişiler, hosting firmalarının da yeterince güvenli olmadığını düşünürsek büyük bir tehlike altındalar diyebiliriz.

Tehlike olarak tabir ettiğimiz şeyler nedir bununla devam edelim. Örneğin sitenizde hosting açığı, eklenti açığı veya temanıza sonradan eklenen bir kod açığı ile sitenize sızan kişiler tüm içeriğinizi silebilir veya sizin haberiniz olmadan kendi sitenize bağlantılar vererek sizin emeğinizle kendi sitesini arama motorlarında üst sıralara bile taşıyabilir. Hatta daha kötüsü sitenize ekleyeceği kodlarla sizi tamamen arama motorlarından silebilir.

İşte bu yüzden herkes sitesini açıp yazısını yazıp şöyle bir kenara geçip rahat etmemelidir. İlk olarak hostinginizle görüşüp siteniz eğer paylaşımlı bir sunucuda barındırılıyorsa bunu paylaşımsız bir sunucuya taşıtmak olsun. Daha sonra dosya güvenliği gelmekte.

WordPress Dosya Güvenliği

WordPress'te en önemli dosya wp-config.php dosyasıdır. Çünkü bu dosya veritabanınızla bağlantı kurulan ve veritabanı bilgilerinin yer aldığı dosyadır. Bu bilgilerin başka birinin ele geçirmesi tüm veritabanını ortadan kaldırabilmesi anlamına gelir. Böyle bir durumda siteniz veritabanı hatası verir ve tüm içeriğinizi silmiş olabilir. Veya en çok rastlanan sorun olan sitelerin index.php dosyasının içeriğini değiştirmek. Veritabanı bilgilerinizi bilen bir kişi temanızın index.php dosyasını değiştirebilir hatta tüm temanızın içeriğini bile değiştirip farklı bir wordpress tema yükleyebilir.

Peki bu durumda ne yapılacak?
1- İlk yapılması gereken FTP'nizdeki dosya izinlerini tekrar kontrol etmeniz ve aşağıdaki gibi ayarlamanız olması lazım.

2- İkinci öncelikli yapılması gereken ise wp-config.php dosyasının içeriğini şifrelemenizdir. Eğer sürekli saldırı alan veya bu tür sızmalar yaşıyorsanız tüm şifrelerinizi ve hatta veritabanı şifrenizi değiştirdikten sonra wp-config.php dosyasını ionCube, Zend Guard ile şifrelemek en güzel çözümdür. En kolay ve hızlı yöntem İoncube ile şifrelemek diyebiliriz çünkü web siteleri üzerinden hesabınıza kredi yükleyip basit bir kaç işlemden sonra dosyalarınızı şifreleyebilirsiniz. Tabi bu şifre kırılamaz mı diyecek olursanız, evet kırılabilir imkansız bir şey değildir. İonCube ile şifrelenmiş bir içerik neredeyse aşağıdaki gibi görünecektir.

Başka ne gibi önlemler alınabilir?

Yukarıda yazdıklarımızın haricinde wp-config.php dosyasının bulunduğu dosyayı değiştirmek de işe yarayabilir. Bunun içinde wp-config.php dosyasının tanımlandığı wp-load.php dosyasını bulup içerisindeki wp-config.php yolunu bularak taşıma yaptığınız klasör adını bu yolun başına eklemek olacaktır. Örneğin wp-config.php dosyasını wp-content klasörü içine aldıysanız wp-load.php dosyasında bulunan wp-config.php uzantısını wp-content/wp-config.php olarak düzenlemeniz lazım.

wp-load.php dosyası içinde değiştirilmiş olan kod aşağıdaki gibi olacaktır.

Bu kadar uğraştıktan sonra en azından eskisine oranla %60 daha güvenli bir siteniz olacaktır. Bu da doğal olarak sitenize karşı yapılacak olan sızıntıları engellemez ama sitenizi kurtarmaya yetecektir.

Not: Yapımcısını bilmediğiniz veya çok sık kullanılmayan eklentileri kullanmakta eklentiden doğacak açıklara karşı önlem almanızı gerektirir. Çok fazla eklenti kullanmanın sitenize bir faydası olmadığı gibi aksine güvenlik açıkları doğurabilir. Bu yüzden bilmediğiniz ve kullanmadığınız eklentileri silmeniz de faydalı olacaktır.