WordPress Blogunuzun Güvenliğini Nasıl Artırırsınız?

WordPress, İnternetteki en popüler kendi kendine barındırılan içerik yönetim sistemidir (CMS) ve bu nedenle Microsoft Windows gibi, aynı zamanda saldırıların en popüler hedefidir. Yazılım açık kaynak kodludur, Github'da barındırılır ve bilgisayar korsanları her zaman diğer WordPress sitelerine erişmek için kullanılabilecek hatalar ve güvenlik açıkları arar.

WordPress kurulumunuzu güvende tutmak için yapabileceğiniz en az şey, her zaman WordPress.org yazılımının en son sürümünü çalıştırdığından ve ayrıca çeşitli temaların ve eklentilerin güncel olduğundan emin olmaktır. WordPress bloglarınızın güvenliğini artırmak için yapabileceğiniz birkaç şey daha var:

#1. WordPress hesabınızla giriş yapın

Bir WordPress blogu kurduğunuzda, ilk kullanıcı varsayılan olarak “admin” olarak adlandırılır. WordPress blogunuzu yönetmek için farklı bir kullanıcı oluşturmalı ve "yönetici" kullanıcıyı kaldırmalı veya "yönetici" olan rolü "abone" olarak değiştirmelisiniz.

Tamamen rastgele (tahmin edilmesi zor) bir kullanıcı adı oluşturabilir veya daha iyi bir alternatif, Jetpack ile tek oturum açmayı etkinleştirmeniz ve kendi kendine barındırılan WordPress blogunuzda oturum açmak için WordPress.com hesabınızı kullanmanız olabilir.

#2. WordPress sürümünüzü dünyaya tanıtmayın

WordPress siteleri her zaman sürüm numarasını yayınlar, böylece insanların eski veya yama uygulanmamış bir WordPress sürümünü çalıştırıp çalıştırmadığınızı belirlemesini kolaylaştırır.

WordPress sürümünü sayfadan kaldırmak kolaydır ancak bir değişiklik daha yapmanız gerekir. WordPress sürümünüzü dünyaya tanıttığı için readme.html dosyasını WordPress kurulum dizininizden silin.

#3. Başkalarının WordPress dizininize “Yazmasına” izin vermeyin

WordPress Linux kabuğunuzda oturum açın ve diğer herhangi bir kullanıcının dosya yazabileceği tüm "açık" dizinlerin bir listesini almak için aşağıdaki komutu yürütün.

bulmak . -type d -perm -o=w

Ayrıca, tüm WordPress dosya ve klasörleriniz için doğru izinleri ayarlamak için kabuğunuzda aşağıdaki iki komutu yürütmek isteyebilirsiniz (referans).

bul /your/wordpress/klasör/ -type d -exec chmod 755 {} \; bul /your/wordpress/klasör/ -type f -exec chmod 644 {} \;

Dizinler için 755 (rwxr-xr-x), yalnızca sahibinin yazma iznine sahip olduğu, diğerlerinin ise okuma ve yürütme izinlerine sahip olduğu anlamına gelir. Dosyalar için 644 (rw-r—r—), dosya sahiplerinin okuma ve yazma izinlerine sahip olduğu, diğerlerinin ise yalnızca dosyaları okuyabildiği anlamına gelir.

#4. WordPress tablo önekinizi yeniden adlandırın

WordPress'i varsayılan seçenekleri kullanarak kurduysanız, WordPress tablolarınızın wp gönderileri veya wp_users gibi adları vardır. Bu nedenle, tabloların önekini (wp ) rastgele bir değerle değiştirmek iyi bir fikirdir . DB Önekini Değiştir eklentisi, bir tıklama ile tablo önekinizi başka herhangi bir dizeyle yeniden adlandırmanıza olanak tanır.

#5. Kullanıcıların WordPress dizinlerinize göz atmasını önleyin

Bu önemli. WordPress kök dizininizdeki .htaccess dosyasını açın ve en üste aşağıdaki satırı ekleyin.

Seçenekler -İndeksler

Varsayılan index.html veya index.php dosyalarının bu dizinlerde bulunmaması durumunda, dış dünyanın dizinlerinizde bulunan dosyaların bir listesini görmesini engeller.

#6. WordPress Güvenlik Anahtarlarını Güncelleyin

WordPress blogunuz için altı güvenlik anahtarı oluşturmak için buraya gidin. WordPress dizini içindeki wp-config.php dosyasını açın ve varsayılan anahtarların üzerine yenilerini yazın.

Bu rastgele tuzlar, saklanan WordPress şifrelerinizi daha güvenli hale getirir ve diğer bir avantaj da, birisi sizin bilginiz dışında WordPress'e giriş yaparsa, çerezleri artık geçersiz hale geleceğinden, derhal çıkış yapmasıdır.

#7. WordPress PHP ve Veritabanı hatalarının günlüğünü tutun

Hata günlükleri bazen WordPress kurulumunuza ne tür geçersiz veritabanı sorguları ve dosya isteklerinin isabet ettiği konusunda güçlü ipuçları verebilir. Hata günlüklerini periyodik olarak e-postayla gönderdiği ve ayrıca bunları WordPress kontrol panelinizde bir widget olarak gösterdiği için Hata Günlüğü İzleyicisini tercih ederim.

WordPress'te hata oturum açmayı etkinleştirmek için, wp-config.php dosyanıza aşağıdaki kodu ekleyin ve /path/to/error.log dosyasını günlük dosyanızın gerçek yolu ile değiştirmeyi unutmayın. error.log dosyası, tarayıcıdan erişilemeyen bir klasöre yerleştirilmelidir (referans).

define('WP_DEBUG', doğru); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'Açık'); @ini_set('display_errors', 'Kapalı'); @ini_set('error_log', '/path/to/error.log'); }

#9. Yönetici Kontrol Panelini Parola Koruması

Bu alandaki dosyaların hiçbiri genel WordPress web sitenizi ziyaret eden kişiler için tasarlanmadığından, WordPress'inizin wp-admin klasörünü parola ile korumak her zaman iyi bir fikirdir. Koruma altına alındıktan sonra, yetkili kullanıcıların bile WordPress Yönetici kontrol panellerine giriş yapmak için iki şifre girmesi gerekecektir.

10. WordPress sunucunuzdaki oturum açma etkinliğini izleyin

WordPress sunucunuzda oturum açan tüm kullanıcıların IP adresleriyle birlikte bir listesini almak için Linux'ta “last -i” komutunu kullanabilirsiniz. Bu listede bilinmeyen bir IP adresi bulursanız, kesinlikle şifrenizi değiştirme zamanı gelmiştir.

Ayrıca, aşağıdaki komut, IP adreslerine göre gruplanmış daha uzun bir süre boyunca kullanıcı oturum açma etkinliğini gösterecektir (KULLANICI ADI'ni kabuk kullanıcı adınızla değiştirin).

son -if /var/log/wtmp.1 | grep KULLANICI ADI | awk '{baskı $3}' | sıralama | tek -c

Eklentilerle WordPress'inizi izleyin

WordPress.org deposu, WordPress sitenizi izinsiz girişler ve diğer şüpheli etkinlikler için sürekli olarak izleyecek, güvenlikle ilgili birkaç iyi eklenti içerir. İşte tavsiye edeceğim temel olanlar.

1. Exploit Tarayıcı - Tüm WordPress dosyalarınızı ve blog gönderilerinizi hızlı bir şekilde tarar ve kötü amaçlı kod içerebilecekleri listeler. Spam bağlantıları, CSS veya IFRAMES kullanılarak WordPress blog gönderilerinizde gizlenebilir ve eklenti bunları da algılar.
2. WordFence Security - Bu, sahip olmanız gereken son derece güçlü bir güvenlik eklentisidir. Herhangi bir değişikliğin anında algılanması için WordPress çekirdek dosyalarınızı depodaki orijinal dosyalarla karşılaştırır. Ayrıca, eklenti, "n" sayıda başarısız oturum açma girişiminden sonra kullanıcıları kilitleyecektir.
3. WP Notifier - WordPress Yönetici kontrol panelinize çok sık giriş yapmıyorsanız, bu eklenti tam size göre. Yüklü temalar, eklentiler ve temel WordPress için yeni güncellemeler mevcut olduğunda size e-posta uyarıları gönderir.
4. VIP Tarayıcı - "Resmi" güvenlik eklentisi, herhangi bir sorun için WordPress temalarınızı tarar. Ayrıca, WordPress şablonlarınıza enjekte edilmiş olabilecek herhangi bir reklam kodunu da algılar.
5. Sucuri Security - WordPress'inizi çekirdek dosyalardaki herhangi bir değişiklik için izler, herhangi bir dosya veya gönderi güncellendiğinde e-posta bildirimleri gönderir ve ayrıca başarısız oturum açmalar da dahil olmak üzere kullanıcı oturum açma etkinliğinin bir günlüğünü tutar.

İpucu: Son 3 gün içinde değiştirilen tüm dosyaların bir listesini almak için aşağıdaki Linux komutunu da kullanabilirsiniz. "n" dakika önce değiştirilen dosyaları görmek için mtime'ı mmin olarak değiştirin.

bulmak . -type f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”

WordPress Giriş Sayfanızı Güvenli Hale Getirin

WordPress giriş sayfanıza tüm dünya erişebilir, ancak yetkisiz kullanıcıların WordPress'e giriş yapmasını engellemek istiyorsanız, üç seçeneğiniz vardır.

1. .htaccess ile Parola Koruması - Bu, WordPress'inizin wp-admin klasörünün normal WordPress kimlik bilgilerinize ek olarak bir kullanıcı adı ve parola ile korunmasını içerir.
2. Google Authenticator - Bu mükemmel eklenti, WordPress blogunuza Google Hesabınıza benzer şekilde iki adımlı doğrulama ekler. Şifreyi ve ayrıca cep telefonunuzda oluşturulan zamana bağlı kodu girmeniz gerekecektir.
3. Şifresiz Giriş - Bir QR kodunu tarayarak WordPress web sitenize giriş yapmak için Clef eklentisini kullanın ve oturumu cep telefonunuzun kendisi ile uzaktan sonlandırabilirsiniz.

Ayrıca bakınız: Olması Gereken WordPress Eklentileri