WordPress blog aleminin dominant yazılımı olmaya devam ediyor ve yeni çıkan 2.9 versiyonu ile gelen birçok yeni özelliği ile tahtını daha uzun süre kimseye kaptıracak gibi durmuyor. Yazılım bu kadar popüler olunca, saldırıları ve güvenlik açıklarını bulma çalışmaları da oldukça fazla oluyor. Ama basit önlemler ile wordpress yazılımınızın ve blogunuzun güvenliğini sağlayabilirsiniz.
Resim: Danilo Rizzuti / FreeDigitalPhotos.net
1. Güvenli bir şifre kullanın
WordPress’in yönetim paneline erişilmesinde saldırıyı yapan kişinin önüne koyacağınız en büyük engellerden birisi güvenli bir şifre kullanmaktır. Otoritelerce güvenli kabul edilen şifreler ise en az 8 karakterden oluşmuş ve içeriğinde büyük ve küçük harfler, sayılar ve noktalama işaretleri ile özel karakterler bulunan şifrelerdir. Örnek olarak qB)27w$i% güvenli kabul edilebilecek bir şifredir. Bu tarz güvenli bir şifreyi sadece yönetim paneline erişim şifreniz olarak değil, aynı zaman da veritabanınız için de kullanmanız güvenliğinizi daha da arttıracaktır.
Güvenli bir şifre oluşturmak için geçen yıl yayınladığımız şifre üreticinin yeni versiyonunu geçtiğimiz günlerde çıkarttık. 8, 10, 12 ve 14 karakterli güvenli şifreler oluşturmak için bu programı kullanabilirsiniz.
Resim: Suat Eman / FreeDigitalPhotos.net
2. Dosya güvenliğinizi sağlayın
Dosya güvenliğinizi sağlamanın en basit yöntemlerinden biri .htaccess yardımı ile dosyalarınızın doğrudan erişimini sınırlamaktır. Örneği wordpress konfigurasyon dosyanıza (bu dosyanızın içerisinde veritabanı erişim bilgileriniz ve wordpressiniz için güvenlik anahtarlarınız bulunuyor) doğrudan erişimi engelleyebilirsiniz. Yapmanız gereken, .htaccess dosyanızın en sonuna aşağıdaki kodu eklemek.
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files> |
Konfigurasyon dosyanızın yanı sıra, wordpress kurulumunuz bittikten sona mutlaka kurulum dosyanızı silin. Kurulum dosyanız wp-admin klasörü içerisinde bulunan install.php dosyasıdır.
Resim: djcodrin / FreeDigitalPhotos.net
3. Güvenlik anahtarlarınızı belirlemeyi ihmal etmeyin
WordPress konfigurasyon dosyanızda 4 farklı güvenlik anahtarınız bulunmakta, bunlar şifreleriniz veritabanına saklanırken ya da wordpress cookie dosyalarınız şifrelenirken, şifreleme işlemine katılan ekstra güvenlik anahtarlarıdır. Bu anahtarları ne kadar karmaşık ve uzun yaparsanız güvenliğinizi o kadar arttırmış sayılırsınız. Bu anahtarları belirtmediğiniz de wordpress tarafından kurulum esnasında belirtilen halleriyle kalacaklar ki (bunlar her kurulumda standart olarak kalıyor) davetsiz misafirlere kapınızı biraz açık bırakmış sayılıyorsunuz. Bu anahtarları değiştirmek için, wp-config.php dosyanızın 45 ile 48. satırları arasındaki kodları değiştirmeniz gerekiyor.
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); |
Orjinal halleri yukarıdaki gibi olan anahtarlarınız da ‘put your unique phrase here’ kısmını tırnakları silmeden belirleyeceğiniz kendi anahtarlarınız ile değiştirebilirsiniz. İsterseniz bu anahtarları belirlemek için wordpress’in kendi güvenlik anahtarı üretme servisini kullanabilirsiniz, isterseniz yine bizim hazırlamış olduğumuz şifre üreticide bulunan “blowfishes” kısmından oluşturabileceğiniz 32 yada 64 karakterli anahtarlardan birini kullanabilirsiniz.
4. WordPress yazılımınız güncel tutun
Her bilgisayar programında olduğu gibi, en güvenli sayılan sürümün en güncel olan sürüm fikri wordpress için de geçerli. WordPress kullanımı sırasında karşılaşılan problemlerin giderilmesi ve yeni güvenlik önlemlerinin oluşturulması her yeni versiyon ile gelişmekte ve hatalar giderilmekte. Güncel versiyon kullanarak daha az hatalı ve daha güvenli bir yazılım sahibi olarak blogunuzun sorunsuz çalışmasını garantiye almış oluyorsunuz.
Resim: Danilo Rizzuti / FreeDigitalPhotos.net
5. Yüklediğiniz eklentilere dikkat edin
Eklentiler belki de wordpressin bu kadar popüler olmasının ana ögelerinden biri. Ama aynı zamanda wordpressinizin bozulmasının ya da düzgün çalışmamasının ana sebeplerinden biri de olabilir. Bir eklentiyi blogunuza eklediğiniz, o eklentinin bütün sisteminize ve veritabanına erişmesine izin vermiş oluyorsunuz, bu yüzden kimin tarafından hazırlandığını bilmediğiniz ya da güvenliğinden emin olmadığınız bir ekletiyi blogunuza kurmayın. Kullanacağınız bir eklentinin wordpress tarafından onaylanmış ve wordpress’in eklentiler sayfasında yayınlanmış bir eklenti olmasına dikkat edin.
kardeş tebrik ederim cok güzel bi yazı olmuş 🙂