Wordpress Güvenlik İpuçları

Ocak 9th, 2009 Posted in Bilgi Güvenliği

Wordpress zaten yeterince güvenli sayılabilecek bir blog yönetim sistemi.Ama işi hiçbir zaman şansa bırakmamak gerekiyor.Aşağıda belirttiğim ipuçları kullanarak daha güvenli bir wordpresse sahip olabilirsiniz.

  1. En büyük güvenlik önlemi wordpressinizin sürekli güncel olması.
  2. Üstteki maddeyle bağlantılı olarak , wp eklentilerin en güncel hallerinin yüklü olduğundan emin olun.Çünkü eklentiler genellikle bir veya bir kaç kişinin bir araya gelerek kendi çabalarıyla oluşturdukları kod parçacıklarıdır.Bunlarda güvenlik açığı olma olasılığı çok yüksek.İşinize yaramayan/yaramayacak eklentileri kurmayın.
  3. wp-admin ,wp-includes vsvs gibi WP- dosyalarının arama motorlarınca indekslenmesinin engellenmesi gerekir.Bunu robot.txt dosyasına
    Disallow: /wp-* satırını ekleyerek sağlayabiliriz.
  4. wp-admin klasörünün güvenliğinin sağlanması gerekir.Saldırgan  bruteforce(tek tek şifre denemesi) kullanarak doğru şifre bulana kadar kullanıcı adı,şifre denemesi yapabilir.Bunu engellemek için Login Lockdown plugin eklentisini kullanabilirsiniz.Bu eklenti gelen ip adresini ve başarısız admin girişi denemelerini kaydeder.Eğer aynı IP bloğundan kısa süre içinde birçok başarısız giriş varsa,Login(giriş) sayfasını ip bloğundaki tüm isteklere karşı kapatır.Buna benzer bir çok eklenti bulabilirsiniz.
    Yada  ip numaranız sabitse   .htaccess dosyasını düzenleyerek  belirli IP ler dışında /wp-admin/ dizinine  gelen istekleri reddedebilirsiniz.Sizin izin verdiğiniz IP ler dışında kimse /wp-admin/ dizinine ulaşamaz. Örnek vermek gerekirse


    5. AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “İzinli Adresler”
    AuthType Basic
    order deny,allow
    deny from all
    # izinli ev IP adresi
    allow from 55.155.155.55
    # izinli isyeri IP adresi
    allow from 66.166.66.166
    allow from 77.177.77.177
    allow from 88.188.88.188

  5. Wordpress database backup eklentisini kullanarak sürekli yedek alın.
  6. Güçlü ve tahmin edilemez şifreler kullanın.Şifreniz en az 10 haneli(bu benim kişisel fikrim) ve sayı harf noktalama işaretlerini bulunduracak şekilde olsun.
  7. wp-content/plugins/  klasöründe boş bir sayfa yaratın ve ismini index.html olarak değiştirin.
  8. Eski Wordpress sürümlerinin çoğunda , wordpress versiyonu meta taglarında gösterilir.Bu kötü niyetli kullanıcılara büyük bilgi sağlar.Kötü niyetli kullanıcı wordpress  versiyonunuzu bilmesi securityfocus,milw0rm,packetstormsecurity gibi sitelerden, kullandığınız versiyonla ilgili açıklar bilgi sağlar  vesize karşı kullanır.Versiyon bilgisi header.php içindeki
    <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> satırından gelmektedir.
    Bu satırı
    <meta content="WordPress" name="generator" /> şeklinde değiştirin.Veya Replace-Wp-Version eklentisini kullanabilirsiniz.
  9. Wordpresste  varsayılan username “admin”  dir. Bu kötü niyetli kullanıcılar için bulunmaz bir nimettir.Şöyle ki Brute force de  saldırılacak iki yer yoktur artık “Kullanıcı adı :admin” olarak bilindiği için sadece şifre kısmına saldırı yapılması yeterlidir. Buda hatırı sayılı bir zaman kazancıdır ,kötü niyetli kullanıcı için. Bunu engellemek için admini değiştirmemiz gerekiyor.Bunu iki şekilde yapabiliriz. İlk olarak PhpMyAdmin’e giriyoruz.Sol tarafta wordpressle ilişkili veritabanını seçiyoruz. Tablolar içinden wp_users için “gözat” diyoruz. Kullanıcılar içinde Admin olanın yanındaki kalem işaretine tıklıyoruz.Admin olan kullanıcı adını istediğimiz şekilde değiştiriyoruz.İkinci ve daha kolay olay yöntem  Search and Replace eklentisini kullanmak.
  10. Dosyalara erişim izinleri konusunda dikkatli davranmamız gerekiyor.Bu izinler dosya üzerindeki kullanım haklarını belirler.Dizinlere 755  değeri , dosyalara 644 değeri vermek uygun olur.777 şeklinde bırakılan izinler istenmeyen sonuçlara neden olabilir.

Unutmamak gerekir ki %100 güvenlik diye birşey mümkün değildir.Yukarıda belirttiğim ipuçlarıyla wordpress güvenliğini biraz daha arttırabilmek hedeflenmiştir.Eksik olduğunu düşündüğünüz, eklemek istediğiniz şeyleri bekliyorum.Yararlı olması dileğiyle.

Not:Kaynak belirtilerek rahatlıkla her yerde kullanılabilirsiniz.

  • Google Bookmarks
  • Facebook
  • Live
  • Digg
  • del.icio.us
  • StumbleUpon
  • Technorati
  • LinkedIn
Tags: , , , ,
This entry was posted on Cuma, Ocak 9th, 2009 at 17:13 and is filed under Bilgi Güvenliği. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply