Wordpress için bazı güvenlik tedbirleri
wordpress — 30 Temmuz 2013 — Murat SELÇUK
Aslında bu konu ile alakalı ileride daha geniş bir yazı yazmayı planlıyorum. Fakat şimdilik bir kaç küçük ama otomatik programlarla binlerce siteye zarar veren hiç bir web bilgisi olmadan hacker olduğunu zanneden kişilerin yapacaklarını engellemiş olacaksınız.
Şimdilik bu yapılması gerekenleri basit işlemleri maddeler halinde sıralayacağım. Vakit bulduğumda hepsi için ayrı ayrı yazı yazmayı planlıyorum.<!--more-->
<ul> <li>Wordpress'in ve eklentilerin sürekli güncel tutulması</li> <li>Wordpress sürüm/versiyon bilgisinin kaldırılması</li> <li>Readme.html dosyasının silinmesi</li> <li>Wp-config dosyasının yerinin erişime açık olmayan bir yere değiştirilmesi.</li> <li>Wp-config dosya izinlerinin değiştirilmesi.</li> <li>Ücretli ücretsiz farketmez orjinal tema kullanılması. Düzenleme yapılan veya lisansı bozulmuş temalar her zaman risk içerir.</li> <li>Mümkünse güncel tema kullanılması</li> <li>Wordpress üzerinden çok ihtiyacımız yoksa tema ve eklentilerin editör ile düzenleme özelliğin pasif hale getirilmesi.</li> <li>wp-login.php dosyasının yerinin değiştirilmesi.</li> <li>“Limit Login Attempts” tarzı bir eklenti ile yanlış şifre girilmesine sınırlama getirilmesi</li> <li>.htaccess dosyasının düzenlenmesi</li> <li>Kullanıcı adının değiştirilmesi ve temadan kullanıcı adı görünümünün kaldırılması.</li> <li>Güçlü ve her yerde farklı şifre (e-posta, wordpress giriş, cpanel, hosting vs. her yerde birbirinen bağımsız başka şifre)</li> </ul> Aslında burada listede bulunmayan ve çok önemli olan bir konu daha var. Siz yukarıdaki güvenlik tedbirlerini ve hatta daha fazlasını yapmış olsanız bile, eğer siteniz gerçekten güvenli bir sunucuda değilse. Yani hosting şirketiniz gerekli güvenlik tedbirlerini almamış ve güncellemeleri takip etmiyor ise her zaman risk altındasınız.