Hoş Geldin, Ziyaretçi!

Forum içeriğine ve tüm hizmetlerimize erişim sağlamak için foruma kayıt olmalı ya da giriş yapmalısınız. Foruma üye olmak tamamen ücretsizdir.

WordPress A dan Z'ye Güvenlik

  • Konbuyu başlatan Celil
  • Başlangıç tarihi
Celil

Celil

Server Administrator 🌍
Yönetici
Moderatör
Katılım
28 Şub 2022
Mesajlar
177
Konum
Amsterdam
Ticaret: 0 / 0 / 0
Bu makalemizde türkçe olarak en geniş çaplı wordpress güvenlik ayarları dökümanını paylaşıcağız A dan Z ye wordpress de güvenlik önemlerini gösterelim o zaman,

CloudFlare(Sunucuyu güvene alma)​

Cloudflare basit gibi bir yazılım olarak görünsede saldırganlardan ciddi anlamda sizi korumaktadır. Doğru ayarlamalar ile ise sizi tam anlamıyla korur. Doğru ayarlar düzgün bir şekilde cloudflare yi kurmak ve subdomainleri kapatmaktan geçer ki barındığınız firmanın gerçek ip adresini gizleyebilesiniz. Peki kimden gizleyeceğiz? saldırganlardan tabiki :D.
Araştırmalara göre yapılan saldırıların çoğu sitenin ip adresinde bulunan açıklar veya aynı sunucuda bulunan siteler üzerinden yapılmaktadır. Bu yüzden ilk adıma cloudflare koydum kendi güvenlik ayarlarımızı yapmadan önce barındığımız site(sunucuyu) güvene almalıyız. (başka bir cdn hizmetide alabilirsiniz ancak cloudflare ücretsiz ve tavsiyemizdir)

Ek olarak cloudflare DoS/DDoS Saldırılarına karşıda büyük çapta koruma ve sitenizde performans artışına yardımı dokunucaktır.

Cloudflaremizi kurduk,
Artık sunucu açısından güvene aldık diyebiliriz. Hostingde barınıyorsanız güvenli bir firmayı kullandığınızdan emin olun şuan da hizmet veren güvenilir hosting siteleri;
Yöncü, Netkreatif, Alaystr, Güzel Hosting
Yukardaki firmaların hepsi bu anlamda işini en iyi yapanlardır. VDS kullanmayacaksanız yukardaki firmaları hosting için tercih etmenizi tavsiye ederim.
Sitemiz güvenli bir sunucuda barınıyor ve cloudflaremiz mevcut şimdi cloudflare ile sitenize olası brute saldırılarından korunmanız için kural gireceğiz.

Cloudflare'da firewall rules sekmesine aşağıdaki kuralımızı ekliyoruz ;

Kod:
((http.request.uri.path contains "/xmlrpc.php") or (http.request.uri.path contains "/wp-login.php") or (http.request.uri.path contains "/wp-admin/" and not http.request.uri.path contains "/wp-admin/admin-ajax.php" and not http.request.uri.path contains " /wp-admin/theme-editor.php")) and ip.geoip.country ne "TR"
Olarak eklemeyi yapınız. Artık admin paneline bir bot/yazılım ile giriş yapıp denemeler yapamıcaklar robot doğrulaması eklemiş olduk.

Eklenti Kurulumu
İNDİR;


Wordfence sayesinde de olası zararlı yazılım saldırılarına karşı koruma altına almış olursunuz sitenizi. Bu sayede hiçbir şekilde saldırganlar sitenize zararlı yazılım enjekte edemez. (Verileriniz Güvende Kalır.)

İNDİR2;

Jetpack sayesinde sitenizi hızlandırabilir ve login güvenliği sağlayabilirsiniz tek yapmanız gereken kurulumdan sonra saldırganlara karşı koru seçeneğini aktif hale getirmek olacakttır.

TEMA İZİNLERİNİ KAPATIN​

Tema ayarlarınızı tamamen yaptıktan sonra wp-config.php nin en üstüne,

Kod:
define( 'DISALLOW_FILE_EDIT', true );

ekleyerek tema düzenleme ayarlarınızı kapatın güvenlik açısından büyük yardımı olacaktır.

WP-CONFİG.PHP GÜVENLİĞİ​

Bir hostingde barınıyorsanız ne kadar güvenli olsada tedbir güzeldir diyip wp-config.php nizi koruma altına almamız gerekmekte peki neden bu dosyayı koruyacağız?

Saldırganlar wp-config.php deki veritabanı bağlantı bilgileri ile sitenizde yetkili konuma gelebilirler ve bunun için siteniz güvenli olsada aynı sunucuda bulunan başka bir sitede açık bulunması yeterlidir. Bu yüzden bu dosyayı koruma altına almalıyız peki bunu nasıl yapacağız;

İlk olarak random bir dosya oluşturun ben asd.php oluşturacağım ve sitenize ftp olarak bağlanıp wp-config.php deki her şeyi kopyalayıp bu oluşturduğunuz dosyanın (asd.php) nin içine yapıştırıp kaydedip sitenize yükleyin ve wp-config.php nin içerisindeki yazıların/kodların hepsini silin yerine,

Kod:
<?php include('asd.php');
boş wp-config.php ye yukardaki kodu ekleyip kayıt edin. (asd.php olarak oluşturduğum için asd.php yazdım siz hangi isimi kullandıysanız onu ekleyiniz.)

ve son olarak yüklediğimiz dosyayı (asd.php) chmod ayarlarını 600 olarak değiştirin/güncelleyin.

SON OLARAK GÜNCEL KALIN GÜVENDE KALIN​

WordPress/Eklenti güncellemelerinin hepsini düzenli olarak yapınız.