Web

WordPress Güvenlik Önlemleri

0
Lütfen giriş ya da Üye ol gönderileri beğen

WordPress güvenlik önlemleri nasıl alınır ya da WordPress sitenizde güvenlik önlemi alıyor musunuz sorusuyla başlayayım. WordPress dünya genelinde yaygın kullanılan blog,haber,forum ve alışveriş siteleri için bir tür yapı temeli denebilir. Bu temel üzerine binlerce kullanıcı yeni siteler inşa ediyor peki güvenlik önlemleri için ne yapıyorsunuz neler yapmalıyız bunlara bakalım.

WordPress Güvenlik Önlemleri Nasıl Alınır ?

WordPress güvenlik önlemleri almak için bazı ayarlarda değişiklikler yapmamız gerekiyor bu sayade saldırganların en çok kullandığı yöntem ve yollarını kapatmış oluruz.

.htaccess düzenlemesi

.htaccess dosyası her WordPress sitesiyle beraber otomatik oluşur eğer yoksa .htaccess adında bir dosya oluşturun. Bu dosyanın içerisinde önemli bilgiler içeren php dosyalarımıza erişimi engelleyeceğiz.

# Dosya erişimi engelleme
<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
<Files wp-config.php>
Order allow,deny
Deny from all
</Files>
<Files wp-load.php>
Order allow,deny
Deny from all
</Files>
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
<Files .htaccess>
Order allow,deny
Deny from all
</Files>
# dizin listelemeyi iptal et
Options All -Indexes
# sunucu imzasını kaldır
ServerSignature Off
# dosya yükleme boyutunu 10mb ile sınırlandır
LimitRequestBody 10240000

Temanızın ve WordPress’in Ayarları

Temanız da ve WordPress ‘de kullanmadığınız ama çalışan ve geçmişte bunlardan yararlanarak büyük zarar verilmiş yerler mevcut. Bunların aktifliklerini kapatarak güvenliğimizi biraz daha arttırabiliriz. bu kodları temanızın functions.php dosyasının sonuna yapıştabilirsiniz.

//sürüm bilgisi kapatma
remove_action('wp_head', 'wp_generator');

// Pingback kapatmak
function remove_x_pingback($headers) {
    unset($headers['X-Pingback']);
    return $headers; }
    
// XML RPC Kapat
add_filter('wp_headers', 'remove_x_pingback');
add_filter('xmlrpc_enabled', '__return_false');

// Rest Apı kapatma
add_filter( 'json_enabled', '__return_false' );
add_filter( 'json_jsonp_enabled', '__return_false' );
// Filters for WP-API version 2.x
add_filter( 'rest_enabled', '__return_false' );
add_filter( 'rest_jsonp_enabled', '__return_false' );

remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'feed_links_extra', 3);
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0 );
remove_action('wp_head', 'print_emoji_detection_script', 7);
remove_action('admin_print_scripts', 'print_emoji_detection_script');
remove_action('wp_print_styles', 'print_emoji_styles');
remove_action('admin_print_styles', 'print_emoji_styles');
remove_action( 'wp_head', 'rest_output_link_wp_head', 10 );
remove_action( 'wp_head', 'wp_oembed_add_discovery_links' );

Wp-Config Dosyası

İlk önce WordPress kurulumundaki standart wp-config.php dosyasını farklı bir dosya oluşturup içine atalım. Dosya adını siz belirleyin ben burda örnek olarak güvenlik-dosyasi adını veriyorum. Güvenlik-dosyasi klasörüne wp-config dosyasını taşıyoruz daha sonra .htaccess klasörü oluşturuyoruz dosyanın içine ve .htaccess dosyasını açıp içerisine şu kodları ekliyoruz :

<Files .htaccess>
Order allow,deny
Deny from all
</Files>
# yükleme kapatma
<Files ~ “\.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>

Bu sayede htaccess dosyamızın okunmasını ve klasörün içine yükleme işlemini engellemiş olduk.

Daha sonra taşıdığımız wp-config.php dosyasının yolunu belirtmek için wp-load.php dosyasını açıyoruz ve açtığımız dosyadaki şu kodları bulup adresleri düzenliyoruz. Biz güvenlik-dosyasi adını vermiştik örnek olarak siz kendi istediğiniz adı verebilirsiniz

if ( file_exists( ABSPATH . '/güvenlik-dosyasi/wp-config.php' ) ) {

	/** The config file resides in ABSPATH */
	require_once ABSPATH . '/güvenlik-dosyasi/wp-config.php';

Aşağıdaki kodları da wp-config.php dosyasının en altına yerleştirerek etkinleştirebilirsiniz.

Ssl kullanmanızı hem seo hemde güvenlik açısından tavsiye ederiz.

/*Ssl zorla*/
define('FORCE_SSL_ADMIN', true);

Dosya düzenlemenizi ftp veya panel üzerinden yapıyorsanız WordPress üzerinden düzenlemeleri kapatmanız yararınıza olur.


/*Dosya Düzenleme Kapatma*/
define('DISALLOW_FILE_EDIT', true);

Cron kullanımı hem sitenizin performansını düşürür hemde site dışı müdahalelerde kullanılabilir bunu kapatıp dışarıdan tetikleme yapmanızı tavsiye ederim. Kapattıktan sonra :

wget -O – https://websitesi.com/wp-cron.php >/dev/null 2>&1

Kodu ile dışarıdan istediğiniz zaman aralığında tetikleyebilirsiniz.


/*Cron kapatma*/
define('DISABLE_WP_CRON', true);

WordPress güvenlik önlemlerini temel anlamda almış bulunmaktayız yazımızın devamı gelecek WordPress güvenlik önlemleri için eklentiler ve diğer yöntemlerden de bahsedeceğim eğer sizinde tavsiye edeceğiniz yöntemler varsa yorum olarak yazabilirsiniz Esen kalın.

Online Eğitimde Öğretmenlerin Kullanabilecekleri Araçlar
WooCommerce Toplu Fiyat Güncelleme Eklentisi

Reactions

0
0
0
0
0
0
Zaten tepki gösterdin