Wordpress Güvenliği Ders-2
Thursday, 30. July 2009, 15:13:32
Birinci bölümde birçok güvenlik önlemlerinden bahsettik. Nasıl güvenli bir Wordpress’e sahip olacağımızı bir nebze anladık. Şimdi serinin ikinci ve son bölümü ile devam ediyoruz. Bu bölümdede önemli güvenlik bilgileri sizleri bekliyor.
Kullancı Güvenliği
Kullanıcı bilgilerinizin güvenliği blogunuzun güvenliği demektir. Bu bilgiler ne kadar ulaşılmaz ise blogunuz o kadar güvenlidir. Kullanıcı bilgileri adlı sözlüğü açmak gerekirse bu ikiye ayrılır:
Kullanıcı İsmini Değiştirmek
Wordpress kurulumu yapıldığında standart olarak kullanıcı ismi admin olarak atanır (her ne kadar kullanıcı ismi olarak blog içinde farklı isimde kullanabilsekte) ve bu yönetim panelinden değiştirilemez. Kullanıcı ismini database’den değiştirerek kolayca brute force’a karşı bir önlem almış oluruz. Peki nasıl değiştireceğiz?:
Bir MySQL yönetim aracı ile (örneğin phpmyadmin) Wordpress’inizin kurulu olduğu database’i görüntüleyin.
Bulunduğunuz database’de wp_users tablosunu (Not: wp ön takısı farklılık gösterebilir) seçin ve “Gözat” ‘a tıklayın.
Buradan admin ‘i bulun ve “Düzenle”‘ye tıklayın.
user_login sütunundaki admin ‘i değiştirin. Fakat bu tahmin edibelecek kolay bir isim olmasın.
Şifre Güvenliği
Sürekli duyduğumuz birşey “Güvenli şifreler kullanın”. Evet aynen öyle, olabildiğine uzun karmaşık şifreler kullanmak güvenliği üst düzeye çıkarır. Ayrıca büyük küçük harf kullanımı %&#$ gibi karakterler kullanımı üst düzey olan güveliği daha bir üst düzeye çıkarır. 4 karakter gibi bir şifre seçmeyin, seçtiğiniz şifreler isminizden doğum gününüzden ibaret olmasın. Wordpress’in kullanıcı yönetiminde bulunan şifre değiştirme kısmının altında şifre gücünü öğrenebileceğiniz küçük bir araç var. Göz ucuyla ne kadar güvenli bir şifrenizin olduğunu bir deneyin.
Arama Motorlarını Wordpress Klasörlerinden Uzak Tutmak
Wordpress klasöründe bulunan dosyalarınızın arama motorları tarafından hiç bir şekilde index’lenmesine gerek yok, sizde zaten kullandığınız eklentileri, versiyonunuzu (vs.) paylaşmak istemezsiniz. Bunun için Wordpress’in kurulu olduğu klasörde (eğer yoksa) robot.txt dosyası oluşturuyor (varsa altına ekliyoruz) ve alttaki tek satırlık kodu ekliyoruz:
view plaincopy to clipboardprint?
Disallow: /wp-*
Disallow: /wp-* Yedek Almak
Yedek almak bilindiği üzere olası hatalardan yada kötü amaçlı kişilerin amaçlarına ulaştıktan sonra verdiği hasarlardan sitemizi yeniden kurtarabilmemizi sağlar. Yedeklerin güvenli bir yerde tutulması, alınan yedeklerinden hasarlardan nasibini almasını engeller. Mesela günlük yedek alarak bunları bir CD’ye yazdırmanız alınan yedeğin değiştirlmesini ve uzun süre korunmasını sağlar. MySQL yedeğinin yanında dosyaların yedeğini almayıda ihmal etmeyin.
WordPress Database Backup Eklentisi
Yedek alan eklentiler arasında en iyisi olan WordPress Database Backup, basit bir şekilde yedek almanızı sağlıyor. Hatta yedek alırken size 3 seçenek sunuyor:
Yedek server’da mı depolansın?
Yedeği bilgisayarınıza mı yüklemek istersiniz?
Yoksa size email olarak mı atılsın?
Ayrıca bunlara ek olarak bir yedek alma takvimi belirleyip bu işi otomatik olarak eklentiye bırakabiliyorsunuz.
Diğer yardımcı güvenlik eklentileri
Şu ana kadar birçok bilgi ve eklenti ile güvenliğimizi arttırdık, bu arada kendimizide geliştirmiş olduk. Serinin son bölümünde yararlı diğer Wordpress güvenlik eklentilerini size tanıtacağım.
Semisecure Login
Bu eklenti Wordpress’e giriş yaparken girilen şifrenin gönderilmeden önce MD5 ile şifrelenerek sunucuya kontrol edilmesi için gönderiyor. MD5 ile şifrelemesinin nedeni network’ünüzde sizi takip eden birinin kolayca şifrenizi ele geçirmeyi engellemek.
Force SSL
Eklenti sayesinde HTTPS bağlantısı oluşturarak daha güvenli bir Wordpress sağlıyor. Fakat bunun sağlayıcınız tarafından desteklenmiş (SSL sertifikası gerekli) olması lazım.
WP Security Scan
WP Security Scan sizin için güvenlik taramaları yapıyor. Dosya izinlerini, şifreleri,database güvenliğini ve yönetim panelinin güvenliğini tehdit edebilecek bazı önlemlerin alınmadığını size belirtiyor ve basit bir şekilde daha güvenli bir sisteminiz olmasını sağlıyor.
Secure Wordpress
Bu eklentinin özellikleri arasında hata rapolarını (giriş yapılırken kaydedilen) silmek, wp-content/plugins klasörüne boş bir index.html dosyası ekleyerek eklentilerinizi gizlemek ve son olarak Wordpress versiyonunu kaldırmak bulunuyor.
WP-SpamFree
Bu eklenti Akismet gibi spam mailleri ayırt edip bunları uzak tutan bir eklenti.
(100%)
WIDGETIZE
z@h3k # 31. July 2009, 13:43
mrlaneth # 31. July 2009, 18:39