Webmaster Hocam
WordPress tüm webmasterların hemen hepsinin ülkemizde ve dünyada kullandığı blog sistemlerinden birisidir. Ücretsiz olarak dağıtılan wordpress üzerinde kod kaynaklı olmasa da sunucu güvenliğinden kaynaklanan birkaç zaafiyet olabiliyor. Bizler de bu zaafiyetleri giderebilmeniz için bu yazımızda sizlere yol göstereceğiz.
- Admin Panel Yolunu Değiştirin
Hazır scriptlerin admin panelleri sabit ve değişmez olduğu için kötü niyetli kişiler sizin admin panellerinize erişerek brute force tarzı ataklar ile şifrenizi kırmaya çalışabiliyor. WordPress sistemlerde admin panel yolu www.siteadi.com/wp-admin/ şeklindedir. Siz de bu admin panel yolunu değiştirebilirsiniz fakat bunu nasıl yapacağız diyorsanız şu şekilde; Luckdown Wp-Admin isimli eklentiyi admin panelinizden kurduktan sonra aşağıdaki resimde gösterilen biçimde kutucuğa admin panelinizin www.siteadresi.com/istediğinizpanelyolu şeklinde düzenlemeniz yeterli olacaktır.
2.Config Dosyasının Adını Değiştirme
Config yani uzun ismi ile configuration ayarlar anlamına gelmektedir. Bu dosya ftp’nizde güvenlik derecesi en yüksek olması gereken dosyalardan birisidir. Bu dosyanın adını değiştirerek kötü niyetli kişilerin sizin kullanıcı bilgilerinize erişimini engelleyebilirsiniz. wp-config.php dosyasının yolunu değiştirmek için ise yapmanız gereken wp-load.php isimli dosyayı ftp’den indirerek notepad++ gibi bir programla açmak sonrasında ise aşağıdaki kodlara bakmak;
if ( file_exists( ABSPATH . ‘yenidosyayolu/wp-config.php’) ) {
/** The config file resides in ABSPATH */
require_once( ABSPATH . ‘ ‘yenidosyayolu/wp-config.php ‘ );
} elseif ( file_exists( dirname(ABSPATH) . ‘ ‘yenidosyayolu/wp-config.php ‘ ) && ! file_exists( dirname(ABSPATH) . ‘/wp-settings.php’ ) ) {
/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . ‘ ‘yenidosyayolu/wp-config.php /wp-config.php’ );
Kodlar arasında yenidosyayolu yazan yerlere ftp de yeni oluşturduğunuz ve adını sizden başkasının bilmediği bir klasörü yazıyorsunuz. wp-config.php dosyasını da o klasörün içerisine atıyorsunuz böylece config dosyanız gizlenmiş oluyor.
- .htaccess Dosyasını Düzenleyin
Her serverda bulunan ve server güvenliği için olmazsa olmaz öneme sahip .htaccess dosyasını aşağıdaki şekilde düzenleyerek wp-load.php ve wp-login.php dosyalarına erişimi tamamen kesebilirsiniz. Böylece sunucunuza sızan kötü niyetli kişilerin bilgilerinizi okuması imkansız oluyor.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
<files .htaccess>
order allow,deny
deny from all
</files>
ServerSignature Off
LimitRequestBody 10240000
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Options ExecCGI Includes IncludesNOEXEC SymLinksIfOwnerMatch -Indexes
Bir önceki yazımız olan Youtube Programsız Video İndirme başlıklı makalemizi de okumanızı öneririz.
