Wordpress Güvenlik Rehberi - part3

[XFB] Konu Bilgileri

Konu Hakkında Merhaba, tarihinde Güvenlik kategorisinde profyko tarafından oluşturulan Wordpress Güvenlik Rehberi - part3 başlıklı konuyu okuyorsunuz. Bu konu şimdiye dek 12 kez görüntülenmiş, 0 yorum ve 0 tepki puanı almıştır...
Kategori Adı Güvenlik
Konu Başlığı Wordpress Güvenlik Rehberi - part3
Konbuyu başlatan profyko
Başlangıç tarihi
Cevaplar
Görüntüleme
İlk mesaj tepki puanı
Son Mesaj Yazan profyko

profyko

Üye
Kullanıcı
Katılım
19 May 2020
Mesajlar
6
Tepkime puanı
0
Konum
Muğla
Ad
Fatih
Soyad
Girgiç
Meslek
Dijital Pazarlama
Kendin Yap’çılar için WordPress Güvenlik Önlemleri
Varsayılan Yönetici Kullanıcı Adını Değiştirme

WordPress varsayılan yönetici kullanıcı adı “admin”dir. Kullanıcı adları yönetim panelinize giriş için gerekli bilgilerin yarısını oluşturmaktadır. Kaba kuvvet saldırı olarak adlandırılan saldırıların yapılmasını kolaylaştıran en büyük faktör kullanıcı adlarının bilgisayar korsanları tarafından bilinmesidir. WordPress varsayılan yönetici kullanıcı adını yükleme yaparken seçilebilecek şekilde düzenledi. Ama günümüzde WordPress kurulumu için çeşitli yöntemler mevcut fakat hala bazı tek tıkla kurulum hizmetlerinde kullanıcı adları yükleme işlemi yapılırken belirlenememektedir.

WordPress varsayılan kullanıcı adlarını değiştirmemize izin vermemektedir. Bu yüzden biz kendimize göre kullanıcı adları edinmek için 3 farklı yol izleyebiliriz.

  • Yeni Yönetici Oluşturma ve Eski Yöneticiyi Silme
    WordPress kullanıcı adınızı değiştirmenizin en kolay yolu yeni bir yönetici oluşturmaktır. Eski yönetici hesabınızdan farklı bir e-posta adresi gerekiyor. WordPress Admin Paneli’ne giriş yaptığınızda Kullanıcılar> Yeni Ekle seçeneklerini takip ederek yeni kullanıcı oluşturabilir ve oluşturma işleminizi tamamladıktan sonra, çıkış yaparak yeni oluşturduğunuz yönetici hesabına giriş yaparak eski yönetici hesabınızı silebilirsniz. Fakat silerken sileceğiniz yöneticiye ait içeriklere ne olacağını soracaktır. Tüm içeriği yeni yöneticinizi seçerek ilişkilendirebilirsiniz.
  • phpMyAdmin’den kullanıcı adı güncelleme
    WordPress kullanıcılarının genel olarak PhpMyAdmin üzerinden değişiklik yapmasını pek önermiyor olsam da bazı durumlarda başka seçeneğimiz kalmayabiliyor. PhpMyAdmin sayfasına giderek WordPress sitenizin kullandığı veritabanını seçiniz. Ardından “wp_users” seçeneğine tıklayarak veritabanındaki kullanıcıların yüklenmesini bekleyiniz. Ardından değiştirmek istediğiniz kullanıcı adının üzerine tıklayarak ya da düzenle diyerek wordpress yönetici alan adınızı düzenleyebilirsiniz.
Dosya Düzenlemeyi Devre Dışı Bırakma
WordPress kurulumunda eklenti ve tema dosyalarınızı düzenlemenize olana sağlayan bir kod düzenleyicisi ile birlikte gelmektedir. Yanlış kişilerin erişimi halinde bu durum güvenlik risklerini de beraberinde getirebilmektedir. Bu yüzden WordPress Admin Paneli üzerinden Kod Düzenleyicileri kapatmanızı öneririm. WordPress yerleşik kod düzenleyicisini kapatmanız için gereken kod aşağıda verilmiştir. Bu kodu wp-config.php dosyanıza ekleyerek kullanabilirsiniz.

Kod:
// Kod Düzenleyicisi Devre Dışı Bırakma

define( 'DISALLOW_FILE_EDIT', true );
Bazı güvenlik eklentileri (Sucuri gibi) tek tık ile kod düzenleyicinizi devre dışı bırakabilmektedir. Güvenlik eklentisi kullanıyorsanız Seçeneklerini ve ayarlarını incelemenizi öneririm.

WordPress Dizinlerinde PHP Dosyaların Çalışmasını Engelleme
WordPress güvenliğinizi arttırma yollarından bir tanesi de wordpress dizinlerinde gerekli olmayan klasörlerde php dosyalarının çalışmasını engellemektir. Bu işlem için wp-content ve uploads klasörleri başlangıç için oldukça iyi bir seçim olacaktır. Çeşitli güvenlik eklentilerinin ayarlar bölümünde bu ayarlamaları yapmanıza olanak sağlayan seçenekler olsa da biz bunu kendimiz yaparak pekiştirelim. Aşağıda verdiğim kodları .htacess dosyası oluşturararak PHP dosyalarının çalışmasını engellemek istediğiniz klasörlere FTP aracılığıyla yükleyebilirsiniz.

Kod:
<Files *.php>

deny from all

</Files>
Giriş Denemelerini Sınırlandırma
WordPress kullanıcıların sınırsız oturum açma denemesi yapmasına izin vermektedir. Bu da bilgisayar korsanlarına karşı farklı kombinasyonlar ile giriş yapma denemeleri yapmalarına olanak sağlamaktadır. Yukarıda bahsedilen wordpress güvenlik önlemleri listesini tamamen yaptıysanız WAF kullanımınız bunu otomatik olarak engellemektedir.

Güvenlik duvarınız yok ise Login LockDown eklentisini kullanabilir ve oturum açma nedenemelerini sınırlandırabilirsiniz. Eklenti kullanmak istemeyenler için Google reCAPTCHA gibi seçeneklere de göz atabilirsiniz.

İki Faktörlü Kimlik Doğrulama Ekleme
İki faktörlü kimlik doğrulama tekniğini artık bilmeyen yoktur diye tahmin ediyorum. Facebook, Instagram, Google gibi bir çok sitede bu tabirler karşımıza çıkıyor ve kullanıyorsunuzdur diye umut ediyorum. Facebook, Twitter, Google, Intagram gibi web siteleri hesaplarınız için iki faktörlü kimlik doğrulama seçeneklerini kullanmanıza izin vermektedir. Siz de bu özelliği wordpress sitenize ekleyebilirsiniz.


Veritabanınızda WordPress Öncekini Değiştirmek
WordPress sistemi genel olarak veritabanınızdaki tablolar için “wp_” ön ekini kullanmaktadır. Veritabanındaki tablo adlarının ne olduğunu tahmin etmeyi kolaylaştıracaktır. Ben size bu ön ekleri nasıl değiştirileceğini adım adım anlatacağım fakat bu işlemler sırasında en ufak bir yanlışlık sitenizde hatalar ve bozulmalara yol açabilir. Kodlama becerilerinize güvenmiyorsanız bu adımı atlayabilirsiniz ya da yedek alarak çalışmalara başlayabilirsiniz.

  • WordPress kök dizininizdeki wp-config.php dosyanızı düzenle diyerek “$table_prefix = ‘wp_’;” satırını bulunuz. Buradaki wp_ kısmını istediğiniz şekilde düzenleyiniz. Tabi bunu tahmin edilemeyecek bir şekilde düzenlemeniz daha doğru olacaktır. İşlemden sonra wp-config.php dosyanızı kaydedin. Siteniz çalışmayacaktır. Sakin olun. Bir çok wordpress kullanıcısı burada düzenlemeyi yaptıktan sonra tablo ön eklerinin değiştirğini sanmaktadır. Fakat burada yaptığımız işlemler veritabanına etki etmemektedir. Veritabanımızda da gerekli düzenlemeleri yapmamız gerekmektedir.
  • PhpMyAdmin kısmında wordpress sitemizin kullandığı veritabanını bularak tablo isimlerini not almanızı öneriyorum. Not alma işlemi sonrası aşağıdaki SQL kodlarını tablo isimlerinize göre eklemeler çıkartmalar yaparak ve sizinekiniz kısmını düzenleyerek çalıştırabilirsiniz.
Kod:
RENAME table `wp_commentmeta` TO `sizinekiniz_commentmeta`;

RENAME table `wp_comments` TO `sizinekiniz_comments`;

RENAME table `wp_links` TO `sizinekiniz_links`;

RENAME table `wp_options` TO `sizinekiniz_options`;

RENAME table `wp_postmeta` TO `sizinekiniz_postmeta`;

RENAME table `wp_posts` TO `sizinekiniz_posts`;

RENAME table `wp_terms` TO `sizinekiniz_terms`;

RENAME table `wp_term_relationships` TO `sizinekiniz_term_relationships`;

RENAME table `wp_term_taxonomy` TO `sizinekiniz_term_taxonomy`;

RENAME table `wp_usermeta` TO `sizinekiniz_usermeta`;

RENAME table `wp_users` TO `sizinekiniz_users`;
  • Bazı tabloların hücrelerinde de WordPress öneki bulunmaktadır(Bknz: options ve usermeta) . Bunun için de aşağıdaki sQL sorgusunu kullanarak düzenlemerlerinizi yapabilirsiniz.

Kod:
// Options Tablosu için
SELECT * FROM `sizinekiniz_options` WHERE `option_name` LIKE '%wp_%'

//Usermeta İçin
SELECT * FROM `sizinekiniz_usermeta` WHERE `meta_key` LIKE '%wp_%'
Dizin Taramayı Devre Dışı Bırakmak
Genel olarak hackerlar güvenlik açıklarını araştırırken dosyalarınıza erişerek bu dosyalardan yararlanmaktadırlar. Dizin taraması başkaları tarafından dosyalarınıza bakmak, görüntülemek ve kopyalamak için kullanılabilmektedir. Bu nedenle dizin indekslenmelerini ve tarama seçeneklerini kapatmanızı öneriyorum.

Bunun için öncelikle sunucu yönetim panelinize girmeniz ya da FTP ile bağlanarak .htaccess dosyanızın sonuna

Kod:
Options -Indexes
eklemeniz gerekmektedir. Bu işlemi yapıp kaydettikten sonra dizine erişmek isteyen kullanıcılara 404 sayfanız gösterilecektir.


WordPress XML-RPC Devre Dışı Bırakma
WordPress 3.5 sürümünden sonra etkin olarak gelen XML-RPC web ve mobil uygulamalar ile wordpress sitenizi bağlamanıza olanak sağlamaktadır. Çok güçlü bir altyapısı olması bilgisayar korsanları tarafından saldırıları da arttırmaktadır. WordPress admin paneline girmek için şifre denemesi yapan korsanlar her şfire denemesi için ayrı işlem yapmak zorunda olacak fakat XML-RPC ile bir kaç istek ile binlerce parola denemesi yapabilmektedir.(system.multicall). Biz bu XML-RPC devre dışı bırakmak için 3 farklı yöntem izleyebiliriz. Güvenlik duvarı kullanıyorsanız bu işlemleri yapmanıza gerek yoktur çünkü güvenlik duvarınız sizin için bu istekleri engelleyecektir.

  • .htaccess Dosyası ile Devre Dışı Bırakma
    Vermiş olduğum kodu .htaccess dosyanıza eklemeniz yeterlidir. En güvenilir ve en az kaynak kullanan yöntem budur. Fakat bu ilk kod birçok kullanıcı için yeterli gibi gözükse de saldırıya uğrayan sitelerde kaynak kullanımı çok olabilmektedir. Bu yoğun istekleri WordPress altyapımıza iletilmeden savuşturmak isteyebiliriz.
# XML-RPC Devre Dışı Bırakma
add_filter('xmlrpc_enabled', '__return_false');
eğer herhangi bir uygulama ve uzak bağlantı kullanmıyorsanız wordpress altyapınıuza istekleri iletmeden kurtulmak için bu kodu yazabiliriz.

Kod:
# WordPress xmlrpc.php İsteklerini Devre Dışı Bırakma

<Files xmlrpc.php>

order deny,allow

deny from all

allow from 123.123.123.123

</Files>
  • Eklenti ile Devre Dışı Bırakma
  • Functions.php Dosyası ile Devre Dışı Bırakma
    Bu kodu daha önceden İşinizi Kolaylaştıracak WordPress Kodları yazımda paylaşmıştım. Yazıya giderek diğer wordpress kodlarını inceleyebilir ve kendinize uygun olanı functions.php dosyalarınıza ekleyebilirsiniz.

Kod:
// XML-RPC Devre Dışı Bırakma

add_filter('xmlrpc_enabled', '__return_false');


Kaynak: https://www.fatihgirgic.com.tr/wordpress-guvenlik-kilavuzu/
 

Bu içeriği görüntüleyen kullanıcılar (Kullanıcı: 0, Ziyaretçi: 1)

Üst