Bildiğiniz gibi WordPress en gelişmiş güvenlik önemlerine sahip CMS’tir. Yine de buna rağmen bazı güvenlik açıkları oluşabiliyor.
WorPress’de Saldırı Koruması
Sizlere All In One WP Security & Firewall eklentisini tavsiye ediyorum ve kurulumunu anlatmaya başlıyorum. Öncelikli olarak Dashboard ekranında, sitenizin şuanki güvenlik puanını gösteren bir bar var.
Settings Ekranında, Wp Version Info sekmesinde yer alan WordPress, sürümünüzü gizlemenizi tavsiye ediyorum.
User Accounts ekranında yer alan, admin kullanıcı adınızı değiştirebilirsiniz. Bu kanıtlanmış bir yöntem olmadığı için, ben değişiklik yapmadım. Bu opsiyonu size bırakıyorum. Yine aynı ekranda yer alan Password sekmesinde, şifrenizin ne kadar sürede kırılabileceğini tespit edebilirsiniz. Tamamen sayılardan oluşan şifreler kısa sürede kırılacaktır. Sayı + harflerden oluşan şifrelerin kırılması 1 ay kadar sürer. En önerilen şifre yapısı; Harf, Sayı, Simge ve Büyük + Küçük Harf içeren şifrelerdir.
User Login sayfasında yer alan Enable Login Lockdown Feature özelliğini açmanızı tavsiye ediyorum. Bu sayede yanlış şifreyi 3 kere deneyen kullanıcıları 5 dakikalığına engellemiş olacaksınız.
User Registration ekranında yer alan “Eneble manual approval of new registrations” seçeneğini işaretleyin. Bu sayede siteye üye olan kullanıcılar sizin onayınız olmadan aktif olmayacaktır. Yine üye kayıt ekranına güvenlik kodu koymanızı tavsiye ediyorum. Bunun için Captcha özelliğini aktif edin. Registration Honeypot özelliği ise, siteye botların üye olmasını engelliyor. Bende aktif durumda.
Database Security altında yer alan tabloların isim değişikliği, WP’nin default tablo yapısının adını değiştirir. İşlemi yapmadan önce yedek almayı unutmayın.
Filesystem Security ekranında, hangi dosyaların yazma izinlerinin yanlış yapılandırıldığını tespit edebilirsiniz. Php File Editing altında yer alan Disable özelliği ile, PHP dosyalarınızın saldırganlar tarafından değiştirilememesini sağlayabilirsiniz. Ben bu özelliği açmadım çünkü PHP tarafında sürekli değişiklikler yapıyorum. Eğer PHP değişikliği yapmıyorsanız, özelliği aktif hale getirin. WP File Access altında yer alan Prevent özelliği sayesinde, readme.html, license.txt ve wp-config.php erişimini kısıtlayın.
Blacklist Manager altında yer alan ip yada bot engelleme özelliği ile, sitenize saldıran IP yada botları tespit ettiyseniz, bunlara erişimi tamamen kapatabilirsiniz.
Firewall ekranında yer alan Güvenlik Duvarını mutlaka açmanızı tavsiye ediyorum. Ayrıca XMLRPC WordPress’in DDOS yemesi için çok bilinen bir alandır. Buraya da erişimi kısıtlayın. Additional Firewall Protection altında yer alan Disable Index Views özelliğini açın, bu sayede sitenizdeki dizinlerin görünmesini engelleyeceksiniz. Disable Trace and Track özelliğini açarak sitenizdeki HTTP ve çerez izleme özelliğini kapatın. Proxy Comment Posting özelliğini açarak, Yorum saldırılarından korunun. Bad Query Strings özelliğini açarakta, saldırganların .htacess erişimini kısıtlayın. Advanced Character String Filter özelliğini açtığınız taktirde, sitenize saldırganların bilinmeyen karakterlerle girmesini engelleyin.
Brute Force altında yer alan Wp-admin adres değişikliği özelliğini açıp açmamayı size bırakıyorum. Bu özellik tarafımdan onaylanmış bir güvenlik taktiği değildir.
Spam Prevention ekranında yer alan Block Spambots From Posting Comments özeliğini açmanızı tavsiye ederim. Yine yorum saldırısından korunmak için yapılan bir özelliktir.
Scanner altında yer alan Perform Scan özelliği ile sitenizdeki dosya değişikliklerini tespit edebilirsiniz.
WordPress Virüs Tarama
Anti-Malware Security and Brute-Force Firewall eklentisi sayesinde, sitenizde derin bir virüs taraması yapabilirsiniz. Yine ısrarla tavsiye ettiğim bir eklentidir. Her zaman yeni güncellemeleri yapın ve taramayı öyle başlatın. Nerenin taranacağını seçebilirsiniz, taranmasını istemediğiniz jpg,png gibi dosyaları belirterek hızlı bir tarama imkanı sağlayabilirsiniz.
