WordPress dünyanın en popüler CMS'si haline geldi. Bu çok popüler olduğundan, web siteniz için kullanıyorsanız, bu WordPress güvenliğini artırmak için daha da büyük bir neden. Çoğu insan kendi sayfalarını nasıl güvenli hale getireceğini anlar, ancak önemli dosya ve klasörlere erişimi kısıtlayarak WordPress sitenizin güvenliğine odaklanmıyorsanız, hala risk altındasınız demektir. Bunu yapmak için WordPress'in kendisinde herhangi bir değişiklik yapmayacaksınız, bunun yerine WordPress'in bir sunucuda nasıl çalıştığını ve kullanıcıların dosyalarına ne kadar erişim sağladığını değiştireceksiniz.
WordPress siteleri, her biri kendi benzersiz URL'lerine sahip bir dizi dosya ve klasörden oluşur. Bu, birisinin sitenizi çalıştıran hassas dosyalara erişebilecekleri veya bu dosyaları değiştirebilecekleri doğru URL’yi yazacakları anlamına gelir. Bu tür bir hackleme için en yaygın hedeflerden biri, wp-includes klasörüdür, bu yüzden güvenliği artırmak ve bu tür tehditleri önlemek için sunucu yapılandırma dosyasına bazı ek kodlar ekleyeceğiz. Bununla bittiğinde, bu dosyalara erişmeye çalışan herkes yeniden yönlendirilir.
Başlamak için siteniz için .htaccess dosyasını açmak isteyeceksiniz. Bunu herhangi bir metin editöründen yapabilirsiniz, bunun önemi yoktur çünkü yaptığımız tek şey, dosyaya küçük bir kod parçası eklemektir. Dosyanın, içinde WordPress tarafından oluşturulan bir kod olduğunu fark edeceksiniz. Kodun ilk satırlarından birinde, yazan bir çizgi bulacaksınız. # BEGIN WordPress
. Bu kodun hemen üstünde, wp-includes klasörüne erişimi kısıtlayarak sitenin savunmalarını güçlendirecek ek kod satırlarını ekleyeceğiz.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Daha sonra, dosyayı sunucuya yeniden yüklemeniz yeterlidir ve işiniz bitti. Buradaki değişiklikler küçük gözükse de, sitenizin savunması üzerinde büyük bir etkisi olabilir. WordPress'in gelişmiş işlevlerinin birçoğu wp-includes klasöründe yer aldığından, bilgisayar korsanlarının peşinden gitmek için önemli bir hedeftir. Bu değişiklikler uygulandığında, kullanıcılar bu klasöre erişmeye çalıştığında, bunun yerine otomatik olarak sitenizin ön sayfasına yönlendirilir.
WordPress güvenliğini güçlendirmek için bir sonraki adımımız, wp-config.php dosyasına erişimi sınırlamaktır. WordPress sitenizi ilk oluşturduğunuzda, wp-config.php dosyasında bulunan bir veritabanı adı, kullanıcı adı, parola ve tablo öneki oluşturmanız gerekir. Bu dosyayı korumak istediğiniz nedeni, WordPress'in veritabanına konuşması gereken bilgileri içerdiği ve uzun vadede sitenizi kontrol etmesidir.
Wp-config.php dosyanızı korumak için sadece birkaç basit adım atmanız yeterli olacaktır. İlk olarak, .htaccess dosyasını tekrar açmak isteyeceğiz. Ardından, aşağıdaki kod snippet'ini kopyalamak ve 1. adımda yaptığımız gibi .htaccess dosyasına yapıştırmak isteyeceğiz.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Son olarak, dosyayı kaydedin ve yeniden yükleyin.
Adım 1 ve 2 ile görebileceğiniz gibi, .htaccess dosyası, WordPress sitenizi kötü amaçlı harici tehditlerden korumak için doğru olabilir. Bu nedenle, bu adımda .htaccess dosyasının kendisini koruyacağız ve bilgisayar korsanlarının halihazırda yerine koyduğumuz korumaları kaldırmasını engelleyeceğiz.
Bunu yapmak için yine .htaccess dosyasını açacağız. Ardından, aşağıdaki kodu mevcut koda ekleyin.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Ve bu basit ekleme ile .htaccess dosyanız dış tehditlerden korunur.
Son adımda, bilgisayar korsanlarının ellerindeki en yıkıcı araçlardan birine erişimini reddedeceğiz: Editör, WordPress kontrol panelinin içinde. Tema dosyalarınızı düzenlemenize izin verir, ancak bu yararlı olabilir ancak tehlikeli olabilir. Kendiniz dışındaki bir kişi buna erişirse, kodunuzu değiştirebilir ve sitenizi bozabilirler.
Bu proje ile Editör'ü WordPress panosundan çıkaracağız. Dosyaya WordPress üzerinden erişmekten ziyade, site bütünlüğü için daha iyi olan FileZilla gibi bir ftp istemcisinden erişmenizi tavsiye ederim.
Bu projeyi yapmak için öncelikle wp-config.php dosyasını açmak istiyoruz. Bu açıklığa sahip olduktan sonra, kodun sonuna gideceğiz, burada metni bulacaksınız: “Hepsi bu, düzenlemeyi durdurun! Mutlu bloglar. ” Bu metinden hemen önce, tamamen WordPress'ten dosya düzenlemeyi kaldırmak için aşağıdaki kodu ekleyeceğiz.
define('DISALLOW_FILE_EDIT', true);
Kodu ekledikten sonra, dosyayı kaydedin ve sunucuya yeniden yükleyin. Artık WordPress siteniz, sitenize erişen ve kodu değiştirmeye çalışan herkes için güvenlidir.
Tüm bu adımları uygularsanız, siteniz çok daha güvenli olmalıdır. Korsanların sitenizi çalıştırmak için önemli olan dosya erişim miktarını azaltarak, WordPress sitenizin genel güvenliğini artırdınız.