Kurulumdan sonra WordPress güvenliğini ayarlama. WordPress’i kendi ellerimizle kırıyor ve koruyoruz. Kurulu bileşenlerin belirlenmesi

Bugün Nulled'da WordPress'te web sitesi güvenliğini artırma hakkında oldukça güzel bir makale okudum. Nulled'daki metin yalnızca belirli sayıda gönderisi olan kayıtlı kullanıcılar tarafından görülebildiğinden, makaleyi blogumda herkesin kullanımına sunacağım 😉 Genel olarak herkesi de okumaya ve kendi öneri ve düzeltmelerini yapmaya davet ediyorum (varsa, elbette var).

1. Kurulumdan önce;
2. Kurulumdan sonra;
3. Periyodik kontroller ve güncellemeler.

1. Kurulumdan önce

1.1. Gereksiz tüm dosyaları siliyoruz:
benioku.html, lisans.txt, hello.php, gereksiz temalar ve eklentiler.

1.2. wp-config.php dosyasını doğru şekilde düzenleyelim:

define("DB_NAME", "wpdb"); // "wpdb" yerine güçlü bir ad bulmanız gerekir, örneğin wp433Fd6HW
define("DB_USER", "wpuser"); // Örneğin, UserFB56SKl
define("DB_PASSWORD", "güçlüşifre"); // Güçlü bir şifre olmalı, örneğin 'FE876!8e#fh#9fDfds9f'
define("DB_HOST", "localhost"); // Vakaların %99'unda bu değerin değiştirilmesine gerek yoktur
define("DB_CHARSET", "utf8"); define("DB_COLLATE", "");

Gizli anahtarı varsayılandan değiştirin:

define("AUTH_KEY", "tek bir parçaya izin verin");
define("SECURE_AUTH_KEY", "tek bir şifreye izin verin");
define("LOGGED_IN_KEY", "tek bir parçaya izin verin");
define("NONCE_KEY", "tek bir parçaya izin verin");

hizmeti kullanarak oluşturulan kişiye

define("AUTH_KEY", "M.uFL(R) Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
define("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Tabloları daha güvenli hale getirme:

$table_prefix = "wp_4i32aK_"; // table_prefix'inizi benzersiz kılmak için yalnızca harf, sayı ve alt çizgi kullanın. En azından bu sizi bazı kamu istismarlarından koruyacaktır.

1.3. MySQL konsolunda blog için bir kullanıcı ve veritabanı oluşturun:
Öncelikle root olarak giriş yapın ve blog için bir veritabanı oluşturun:

$ mysql -u root
mysql> CREATE veritabanı wpdb;

$ mysql -u root
mysql> CREATE veritabanı wp433Fd6HW;
Sorgu tamam, 1 satır etkilendi (0,00 sn)

Daha sonra bir kullanıcı oluşturuyoruz: bu hesabın yalnızca WordPress veritabanına erişimi olacak. Ayrıca kullanıcıya uzaktan değil, yalnızca yerel sunucudan erişildiğinden de emin olabiliriz.

mysql>
-> wpdb'de.*
-> "wpuser"@"localhost" İÇİN
-> "güçlüşifre" İLE TANIMLANMIŞTIR; Sorgu Tamam, 0 satır etkilendi (0,01 sn)

Örneğimizde şöyle görünecek:

mysql> HİBE SEÇ, EKLEY, GÜNCELLE, SİL, OLUŞTUR, BIRAK
-> wp433Fd6HW AÇIK.*
-> "UserFB56SKl"@"localhost" İÇİN
-> "FE876!8e#fh#9fDfds9f" İLE TANIMLANMIŞTIR;
Sorgu Tamam, 0 satır etkilendi (0,01 sn)

1.4. Meta bloğunu tema kodunuzdan kaldırın
Standart temada meta bloğun görüntülenmesinden sorumlu bir kod parçası:

  • Meta





    • Geçerli XHTML

    • XFN

    • ">WordPress



    • 2. Kurulumdan sonra

    2.1. Varsayılan Yönetici şifresini değiştirme
    Kurulum sırasında oluşturulan Yönetici şifresini değiştirin

    2.2. WordPress sürümünü kaldırma

    Remove_action("wp_head", "wp_generator");

    Temanızın bulunduğu klasördeki başlık.php dosyasındaki satırı silin:

    " />

    WordPress sürüm 2.8.4 için get_the_generator($type) işlevinin uygulamasını bulun ve değiştirin:

    function get_the_generator($tip) (
    $gen = "";
    return application_filters("get_the_generator_($type)", $gen, $type);
    }

    2.3. index.php'yi boşalt
    Boş bir index.php dosyasını wp-includes/, wp-content/, /plugins/ klasörlerine yerleştirin

    2.4. Yönetici kullanıcı adını daha belirgin olmayan bir şeyle değiştirmek
    Adı MySQL konsolu aracılığıyla değiştirin:

    wp $ mysql -u UserFB56SKl –p
    mysql> wp'yi kullanın;
    GÜNCELLEME wp_users SET user_login = "adm" burada user_login = "admin";

    Örneğimizde şöyle görünecek:

    wp $ mysql -u wpuser –p
    mysql> wp433Fd6HW kullanın;
    GÜNCELLEME wp_4i32aK_users SET user_login = "adm234Df" burada user_login = "admin";
    Sorgu Tamam, 1 satır etkilendi (0,01 sn) Eşleşen satırlar: 1 Değiştirildi: 1 Uyarılar: 0

    Veya sorgularla uğraşmak istemiyorsanız aşağıdakileri yapabilirsiniz:

    1. Yeni bir hesap oluşturun. Kullanıcı adı benzersiz olmalıdır;
    2. Yeni kullanıcıya Yönetici rolünü atayın;
    3. Yeni Yönetici olarak yeniden oturum açın;
    4. Eski Yönetici hesabını silin.

    2.5. Yeni kullanıcı rolleri oluşturma
    Bunu yapmak için öncelikle blogunuza bir eklenti yüklemelisiniz. Bu eklenti size kullanıcı haklarını dikkatli ve kesin bir şekilde ayarlama fırsatı verecektir. Eklentiyi aktif hale getirdikten sonra öncelikle kendinize bir kullanıcı oluşturmanız gerekmektedir. Tüm kullanıcı haklarını kaldırın ve ardından yalnızca günlük etkinlik için ihtiyacınız olan hakları (yazı yazma, yorumları denetleme vb.) dikkatlice seçin. Eklentileri etkinleştirme/devre dışı bırakma, dosya yükleme, seçenekleri yönetme, temaları değiştirme, içe aktarma vb. ayrıcalıklara yalnızca yönetici hesabının sahip olduğundan emin olun.
    Blogunuz çok kullanıcılı olacaksa kullanıcıların gerçekte hangi haklara ihtiyaç duyduğunu düşünmeniz ve buna göre kendi rollerinizi oluşturmanız gerekir.
    Rolleri oluştururken, kullanıcılara dosya yükleme, eklenti kaynak kodunu düzenleme erişimi, eklentileri etkinleştirme, dosyaları/gönderileri/sayfaları düzenleme, içe aktarma, filtrelenmemiş HTML gibi haklar verirken dikkatli olun; çünkü bu roller kullanıcılara daha fazla güç verir.

    2.6. wp-content ve wp-includes klasörlerine erişimi kısıtlama
    .htaccess dosyasını ve özel kuralları kullanarak resim, CSS ve JavaScript istekleri dışında her şeyi yasaklayacağız. .htaccess dosyalarının uygun dizinlere yerleştirilmesi gerekir.

    Sipariş İzin Ver, Reddet
    Herkesten reddet

    Tümünden izin ver

    Ayrıca belirli şablonlar ve eklentiler için belirli PHP dosyaları da ekleyebilirsiniz.

    2.7. wp-content dizinini gizleme
    WordPress 2.6'dan itibaren wp-content dizinini taşımak mümkün hale geldi.
    wp-settings.php dosyasındaki satırları değiştirin:

    define("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
    define("WP_CONTENT_URL", "http://domain.ru/blog/wp-content");

    Eklentilerle ilgili sorunlardan kaçınmak için:

    define("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
    define("WP_PLUGIN_URL", "http://domain.ru/blog/wp-conten/plugins");

    2.8. wp-admin klasörüne erişimi kısıtlama
    Statik IP’niz varsa
    Bu adım, tek kullanıcılı bir blog için kolaydır ancak çok kullanıcılı bir blog için gerçek bir baş ağrısı olabilir. Bu numara yalnızca statik bir IP'niz varsa işe yarar. Wp-admin dizini için .htaccess dosyası aşağıdaki kuralları içermelidir:

    AuthUserFile /dev/null
    AuthGroupDosyası /dev/null
    AuthName "Örnek Erişim Kontrolü"
    AuthType Temel

    sipariş reddet, izin ver
    herkesten inkar et
    a.b.c.d'den izin ver #Statik IP'niz

    Dosyayı wp-admin dizinine yerleştirin ve bu klasöre bir proxy aracılığıyla erişmeyi deneyin. Her şey düzgün çalışıyorsa erişim reddedilecektir. Bundan sonra IP'nizden giriş yapmayı deneyin.

    Erişimi şifreyle kısıtlama
    Wp-admin klasörüne şifre ile ulaşmak tercih edilebilir. Bu, yönetici paneline her yerden erişebileceğiniz anlamına gelir. Dinamik bir IP'niz varsa bu da bir seçenektir.
    Wp-admin dizini için .htaccess dosyası aşağıdaki kuralları içermelidir:

    #file.htpasswd blogunuzun kök dizininin dışında bulunur

    ErrorDocument 401 varsayılanı
    AuthUserFile /srv/www/user1/.htpasswd
    AuthType Temel
    AuthName "WordPress Kontrol Paneli"

    kullanıcı gerektirir adminuser #Güvenli bir kullanıcı adı oluşturun


    geçerli kullanıcı gerektirir

    Komutla bir şifre oluşturun:

    $ htpasswd -cm .htpasswd yönetici kullanıcı

    Veya bir şifre oluşturmak için hizmeti kullanın. İşte kullanıcı için bir örnek: admin , şifre: test

    admin:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

    .htpasswd dosyasını blog kökünün üzerindeki bir dizine yerleştirmek daha iyidir.

    2.9. wp-config.php dosyası
    Birinci seçenek: Verilerinizi korumak için yukarıdaki klasöre taşımanız gerekir; WordPress, kökünde wp-config.php dosyasını bulamazsa otomatik olarak yukarıdaki dizini kontrol edecektir.
    Herhangi bir nedenle yukarıda anlatılanları yapamıyorsanız, başka bir seçenek daha vardır. Yani wp-config.php dosyanızı .htaccess kullanarak koruyun:

    # wpconfig.php'yi koruyun

    Siparişi reddet, izin ver
    herkesten inkar et

    2.10. Dosya ve klasörler için doğru izinleri ayarlama
    Temel kural:

    1. Dosyalar için - 644
    2. Klasörler için - 755

    Kabuktan bu işlemler aşağıdakiler kullanılarak yapılabilir:

    CD
    (yolunuzu) bulun -type d -exec chmod 755 '()' \
    (yolunuzu) bulun -type f -exec chmod 644 '()' \

    2.11. Yöneticiler için SSL
    Sunucunuz SSL'yi destekliyorsa yönetici paneline erişimi güvenli hale getirmek daha iyidir. Bunu yapmak için wp-config.php dosyasında satırdaki yorumları kaldırın:

    define('FORCE_SSL_ADMIN', true);

    2.12. WordPress Günlük Çıkışını Kaldır
    Temanızın bulunduğu klasördeki Function.php dosyasına şu satırı ekleyin:

    add_filter("login_errors",create_function("$a", "return null;"));

    2.13. Robots.txt kullanarak indekslemeyi yasaklıyoruz
    Doğruluğunu şu adresten kontrol edebilirsiniz:

    2.14. Güvenliğiniz için eklentiler
    Giriş Kilitleme- Yanlış oturum açma sayısını ayarlayın
    Bunun için ve eklentileri şeklinde iki çözüm var. Eklenti etkinleştirildikten sonra tüm giriş denemelerini kaydeder. Eklenti, ziyaretçinin şifresini birkaç kez yanlış girmesinden sonra ziyaretçinin giriş yapmasını belirli bir süre yasaklamanıza olanak tanır.

    Belavir– Anahtar php dosyalarındaki değişiklikleri izleme

    WPID'ler– Uygulama işaretlerini belirliyoruz

    WordPress Çevrimiçi Güvenlik Tarayıcısı– Blogun güvenlik açıklarına karşı taranması

    Akismit– AIDS ve SPAM ile Mücadele

    SpamBam– İstemcinin geçerli bir tarayıcı kullanıp kullanmadığını belirleyin

    3. Periyodik kontroller ve güncellemeler

    3.1. WordPress'i güncel tutun
    3.2. Eklentileri güncel tutun
    3.3. Güvenlik güncellemeleri için bizi takip etmeye devam edin

    3.4. Eklemek istediğiniz tema ve eklentilerin kodlarında sızıntı olup olmadığını kontrol edin
    3.5. Spam'le mücadele
    3.6. Blog veritabanınızın düzenli olarak tam yedeğini alın
    3.7. Geliştirme bloglarını okuyun
    Küçük liste:

    Çoğu kişi, WordPress web sitelerinin, hacklenmeye değer herhangi bir içeriğe sahip olmaması nedeniyle güvenli olduğunu düşünüyor. Maalesef öyle değil. Web siteleri genellikle, örneğin spam dağıtmak amacıyla saldırıya uğrar. Veya çekirdek ve tema dosyaları, site ziyaretçinizin bilgisayarlarına bulaşıp hacklemek için kötü amaçlı kodlarla doldurulur. Hasarı ancak Google veya Yandex sitenizi zaten işaretlediğinde veya dizinden kaldırdığında fark etmiş olabilirsiniz. Bunun olmasına izin vermeyin ve mükemmel wp-config.php için ipuçlarımı dikkate alın.

    WordPress web sitenizi hacklenmeye karşı korumanın birçok yolu vardır. Optimizasyon, iyi bir güvenlik stratejisinin önemli bir parçası olarak düşünülebilir. Site elbette bankaya dönüşmeyecek ama hackerların işini biraz zorlaştırdınız.

    wp-config.php'yi optimize etmek için sabitler kullanılır. WordPress'in kullanılabilecek birçok sabiti vardır. Peki sabit nedir? PHP.net sabitleri şu şekilde tanımlar:

    Sabit, basit bir değer için bir tanımlayıcıdır (isim). Adından da anlaşılacağı gibi, bu değer betiğin yürütülmesi sırasında değişemez (aslında sabitlerden başka bir şey olmayan sihirli sabitler için). Sabit, varsayılan olarak büyük/küçük harfe duyarlıdır. Geleneksel olarak kalıcı tanımlayıcılar her zaman büyük harfle yazılır.PHP.net

    Sabitler define() fonksiyonlarının içine yerleştirilmiştir ve şu şekilde görünürler: define("NAME_OF_THE_CONSTANT", value);

    wp-config.php, WordPress için bir kontrol dosyasıdır. WordPress'in bir veritabanı bağlantısı kurması gerektiğinden diğer tüm dosyalardan önce yüklenir. Gerekli bilgiler konfigürasyon dosyasında bulunmaktadır. Bir sabitin değerini değiştirdiğinizde veya bir sabit eklediğinizde WordPress'in davranışını da değiştirebilirsiniz.

    Çalışmadan önce: lütfen wp-config.php dosyasının yedek bir kopyasını oluşturun

    wp-config.php dosyasını düzenlemeye başlamadan önce şunu oluşturun: yedek kopya bu dosya. Yanlış veya eksik girişler durumunda siteniz çalışmayacaktır.

    Önemli: WordPress'i ve eklentileri her zaman güncelleyin

    Muhtemelen bunu zaten birkaç kez duymuşsunuzdur. Ancak bu husus o kadar önemli ki, bunu yeterince sık tekrarlayamam. WordPress veya eklentiler güncellenmediği için tonlarca site saldırıya uğradı. Güncellemeler bilgisayar korsanlığına karşı en iyi sigortadır!

    Güvenlik durumu:

    Güvenlik uzmanları Sucuri artık WordPress için popüler Jetpack eklentisindeki bir güvenlik açığı konusunda uyarılıyor. Kötü amaçlı kod, kısa kod yerleştirme işlevi kullanılarak uygulanabilir. Automattic gerçekten de yakında yanıt verecek ve yeni bir sürüm yayınlayacak.

    Şimdilik güvenlik açığı nasıl kapatılır:

    Kullanırsanız tehlikede değilsiniz. Bu tür saldırıları savuşturabilecek büyük bir 6G güvenlik duvarı var.

    Hazırlık:

    Sonraki tüm çalışmalar için programa ve bir HTML düzenleyiciye ihtiyacınız olacak. wp-config.php masaüstüne indirilir, bir HTML düzenleyicide düzenlenir ve sunucuya geri yüklenir.

    1 – Güvenlik anahtarlarını kullanın

    WordPress'teki güvenlik anahtarları, çerezlerdeki oturum açma bilgileri gibi şeylerin şifrelenmesi gibi kritik öneme sahiptir. Senin içinde olsa bile wp-config.php Zaten var olanların bir süre sonra değiştirilmesinin zararı olmaz. Anahtarlar değiştiğinde tüm kullanıcıların sitelerindeki oturumları kapatılır. Daha sonra kullanıcı adınızı ve şifrenizi kullanarak tekrar giriş yapabileceksiniz.

    Ancak site zaten saldırıya uğradıysa öncelikle kötü amaçlı kodu sitenizden kaldırmalısınız. Bu konuyla ilgili rehberlik, bu husustaki ek bilgilerde bulunabilir. Bundan sonra WordPress güvenlik anahtarı oluşturucuyu ziyaret edin ve yeni seti kopyalayın. Eski parçayı yenileriyle değiştirin - ekran görüntüsünü görüntüleyin:

    Henüz güvenlik anahtarlarını uygulamadıysanız şimdi bunu yapmanın tam zamanı.

    Ek Bilgiler:

    2 – HTTPS'nin zorunlu kullanımı

    SSL sertifikası, siteniz ile ziyaretçi tarayıcıları arasındaki bağlantıyı şifreler. HTTPS, bilgisayar korsanlarının kişisel verileri yakalayıp çalmasını imkansız hale getirir. Siteniz için zaten bir SSL sertifikanız varsa sitenizi HTTP yerine HTTPS kullanmaya zorlayabilirsiniz. Bu sitenizin güvenliğini önemli ölçüde artırır. SSL sertifikanız yoksa yine de kullanmayı ciddi olarak düşünmelisiniz.

    Büyük harcamalardan korkmanıza gerek yok çünkü...

    Siteniz zaten SSL kullanıyorsa aşağıdaki girişler kullanılmalıdır. Üstteki giriş güvenli giriş içindir, alttaki ise tarayıcıyı yalnızca SSL kullanmaya zorlar.

    Her WordPress kurulumunda temayı ve eklenti dosyalarını doğrudan yönetici alanında düzenleyebilirsiniz. “Görünüm” ve “Eklentiler” menü öğelerinde her dosyaya karşılık gelen düzenleyiciyi bulacaksınız. Bu editör bilgisayar korsanlarının eline geçerse çok tehlikelidir. Veriler yok edilebilir ve virüsler, truva atları, spam ve diğer kötü amaçlı yazılımlar eklenebilir. Ancak editör de web sitesi yöneticisi için önemlidir. Tek hata, bir noktalı virgülün eksik olması, meşhur beyaz sayfaların ortaya çıkması için gereken tek şeydir ve başka hiçbir şey işe yaramaz.

    3 – Veritabanı önekini değiştirme

    Veritabanı öneki aynı zamanda tablo öneki olarak da bilinir. Bu önek, WordPress tarafından oluşturulan her veritabanı tablosunun uzantısı olarak kullanılır. İşte standart wp_. Bu standardın başka bir şeyle değiştirilmesi gerekiyor. Ne kadar gizemli olursa o kadar iyi. Merak etme; Buraya ne girdiğinizi hatırlamanıza gerek yok. Bu değer bir kez yerleştirilir.

    Bunu düşünmek SQL enjeksiyon olasılığını sıfıra indirir. Ama bu mümkün. Bu nedenle WordPress’i kurmadan önce değeri değiştirin. Gibi bir şey kullanın fdf2a7r_, Örneğin.

    Dikkat: Mevcut bir WordPress kurulumunun değerini değiştirirseniz web sitesine erişilemez!

    Mevcut bir WordPress sitesinin tablo önekini değiştirmek istiyorsanız Acunetix WP Security eklentisi size yardımcı olabilir. Değeri kolayca değiştirmenize olanak tanır ve tek yapmanız gereken tekrar giriş yapmaktır. Ancak yine de önceden bir yedekleme oluşturmalısınız.

    4 – Eklenti düzenleyicilerini ve temalarını kapatın

    Tema veya eklenti dosyalarındaki değişiklikler genellikle (S)FTP kullanılarak yapılır çünkü çok daha güvenlidir. Bu yüzden editörlerin kapatılması gerekiyor. Her iki düzenleyiciyi de güvenli bir şekilde devre dışı bırakmak için wp-config.php dosyasındaki bir satır yeterlidir:

    5 – wp-config.php’yi taşıyın

    wp-config.php web sitenizin kalbidir. Veritabanı şifreleri de dahil olmak üzere ilgili tüm veriler buraya girilir. Bu nedenle bu dosyayı mümkün olduğunca güvenli tutmak son derece önemlidir. Bunun için iki yaklaşım var. .htaccess dosyasını kullanan ilk erişim bloğu. İkinci yaklaşım, dosyayı bilgisayar korsanının beklemeyeceği başka bir konuma taşır.

    • Site bir alt alan adındaysa ve ucuz paylaşımlı barındırma kullanıyorsanız, bunu taşımak sorunlu olabilir.
    • Kullanıcı dizinlerinde çok sayıda web siteniz varsa bu durum zorlaşabilir. Bu noktalardan hiçbiri sizin için geçerli değilse dosyayı taşıyabilirsiniz.
    WP-config.php yolunu doğru şekilde yapılandırdıysanız siteniz çalışmalıdır.

    6 – FTPS kullanımını zorlar

    Web barındırıcınız Güvenli Dosya Aktarım Protokolü'nü (FTPS) etkinleştirmişse, dosya aktarımları için FTPS kullanımını zorunlu kılabilirsiniz. Ziyaretçi ile sunucu arasındaki iletişimi şifreleyecektir. Artık güvenli olmayan bir protokolden sunucudaki verilere erişmek imkansızdır. Bilgiye erişim sunucuya şifrelenmemiş biçimde iletildiğinden FTP güvenli değildir. Bu nedenle mümkünse yalnızca FTPS aracılığıyla güvenli bir bağlantı kullanın. Web sunucunuz size bir FTPS bağlantısının mümkün olup olmadığını söyleyebilir.

    FTPS kullanımını zorlamak basittir:

    7 – SFTP'nin zorunlu kullanımı

    Bazı barındırıcılar, veri aktarımı için FTPS protokolü yerine SFTP protokolünü etkinleştirmiştir. Burada FTP kullanıcı programı ile sunucu arasındaki iletişim de şifrelenir. Aşağıdaki kod satırı SFTP kullanımını zorlamanıza olanak tanır:

    8 – Hata ayıklama modunu devre dışı bırakın

    Geliştirme amacıyla WordPress hata ayıklama modunu etkinleştirdiyseniz, onu kapatmak hayati önem taşır. Bazı durumlarda aktif hata ayıklama modu, bilgisayar korsanlarının işlerini yapmalarına yardımcı olabilecek hassas verileri iletebilir. Bu nedenle hata ayıklama modu canlı bir sistemde son derece tehlikelidir. Bu küçük, aptalca hatayı yaptım; insanlar her şeyi çabuk unuturlar. Bu yüzden kontrol etmek için hızlı bir şekilde harekete geçmelisiniz. Hata ayıklama modunu devre dışı bırakın:

    9 – PHP hata göstergesini kapatın

    Herhangi bir nedenle hata ayıklama modunun etkinleştirilmesine ihtiyacınız varsa, hata mesajlarının genel gösterimini kapatmanızı öneririm. İlgili hata mesajları, genel erişime açık olmayan bir günlüğe de yazılabilir. Bu çok daha güvenli ve daha zarif bir seçenektir. Bu sabit, WordPress hata modundan çıkmak ve ayrıca hatanın üçüncü taraflara gösterilmesini önlemek için gereklidir:

    10 – Otomatik güncelleme özelliğini etkinleştirin

    Daha önce de belirttiğim gibi, WordPress çekirdeğinizi ve tüm eklentileri hemen güncellemek, sisteminizi güvende tutmak için kritik öneme sahiptir. WordPress'in her yeni sürümü piyasaya sürüldüğünde, önceki sürümlerin güvenlik açıkları internette açığa çıkıyor. Bu, bilgisayar korsanına sitenizi hackleyebilmesi için güçlü bir temel sağlar. Bu nedenle bu eksikliklerin en kısa sürede giderilmesi gerekmektedir.

    WordPress sürüm 3.7 gibi, daha küçük güvenlik güncellemeleri vardır ve otomatik olarak gerçekleştirilir. Ancak büyük güncellemelerin ilk sürümleri için durum böyle değil. Ana sürümlerin hala manuel olarak güncellenmesi gerekiyor. Ancak WP'nin tüm sürümleri için otomatik güncellemeleri etkinleştirmek çok kolaydır:

    Bu arada, bu eklentiler kullanılarak otomatik olarak da güncellenebilir. Ancak biraz çalışma gerektiriyor. Bu bir eklenti oluşturmayı gerektirir:

    Bu eklenti klasöre taşınmalıdır /wp-content/mu-eklentileri/. Klasör mevcut değilse, oluşturmanız yeterlidir. /mu-plugins/ klasörü “kullanılmış” eklentileri içerir. İçeriği herkes tarafından diğer eklentilerle yüklenir.

    Otomatik tema güncelleme işlemi de aynı şekilde yapılabilir. Bunu yapmak için eklentinin aşağıdaki satırla genişletilmesi gerekir:

    Lütfen bu otomatik eklentiler hakkında önceden bilgi alın ve kodu yalnızca tam olarak ne işe yaradığını biliyorsanız kullanın. Elbette iki filtre şu ana kadar yalnızca resmi WordPress sürümünden gelen eklentileri ve temaları destekleyebiliyor. Başka bir kaynaktan alınan temalar ve eklentiler elbette güncellenmeyecektir.

    Ek Bilgiler:

    Çözüm

    Tüm bu hususlar birlikte WordPress'inizin güvenliğini büyük ölçüde artıracaktır ve iyi bir güvenlik stratejisinin parçası olmalıdır. WordPress'in dünyanın en popüler içerik yönetim sistemi olması birçok bilgisayar korsanının ilgisini çekmektedir. Durum bir Windows işletim sistemi bilgisayarına benzetilebilir. Windows işletim sistemine antivirüs yazılımı yükleyin; WordPress biraz manuel çalışma gerektirir. Ancak güvenlik kazancı kesinlikle buna değer.

    • Tercüme

    Herhangi bir web uygulamasının yönetim alanı uzun süredir bilgisayar korsanlarının favori hedefi olmuştur ve güvenliği geliştiriciler için büyük endişe kaynağıdır. Bu aynı zamanda WordPress için de geçerlidir - yeni bir blog yüklerken sistem, gerçek zamanlı olarak rastgele oluşturulmuş benzersiz bir şifreye sahip bir yönetici hesabı oluşturur; bu, herkesin sistem ayarlarına erişimini engeller ve yetkilendirme sayfasını kullanarak onu kontrol eder.

    Bu makale, WordPress'in güvenliğini (hem yönetici paneli hem de blog ayarları, yani klasörün tüm içeriği) güçlendirmeye odaklanmıştır. "wp-admin" yalnızca görüntülenen yetkilendirmeden sonra. " ifadesini bilinçli olarak vurguladık. yetkilendirmeden sonra" - "kötü bilgisayar korsanını" tüm blogunuzun veya web sitenizin yöneticisinden yalnızca tek bir basit isteğin ayırdığını açıkça anlamalısınız! Ve ikincisi yalnızca seçtiğiniz şifre kadar güçlü bir şekilde korunur.

    Bilgisayar korsanlarının işini daha da zorlaştırmak için manuel olarak gerçekleştirebileceğiniz bir dizi işlem sunuyoruz. Bu çözümler %100 korumayı garanti etmez, ancak onların yardımıyla blogunuzun güvenliğini önemli ölçüde artıracaksınız.

    1. WordPress klasörünü yeniden adlandırın.

    Sürüm 2.6'dan bu yana klasör yolunu değiştirmek mümkün hale geldi wp içeriği. Ne yazık ki bu hala klasör için geçerli değil wp-admin. Güvenlik bilincine sahip blog yazarları bunu kabul etti ve bunun gelecek sürümlerde mümkün olabileceğini ummaya başladı. Bu gerçekleşene kadar, soruna aşağıdaki alternatif çözümü kullanmanızı öneririz. Arşivi WordPress dosyalarıyla açtıktan sonra, “WordPress” klasörünü göreceksiniz - klasörü yeniden adlandırın (ideal olarak belirsiz bir adla) " wordpress_live_Ts6K" ) ve ardından dosyayı uygun şekilde yapılandırın wp-config.php, kök dizinde bulunur.
    Bu değişiklik bize ne kazandıracak?
    • Öncelikle tüm WordPress dosyaları sitenin kökündeki diğer dosyalarla karıştırılmayacak, böylece kök seviyesinin netliği artacaktır.
    • İkincisi, WordPress'in birden fazla kopyası farklı adlara sahip klasörlere paralel olarak kurulabilir, böylece etkileşimleri ortadan kaldırılır ve bu da WordPress'i test için ideal hale getirir.
    • Üçüncü avantaj doğrudan güvenlikle ilgilidir: yönetim alanı (ve bir bütün olarak blogun tamamı) artık kök klasörde yer almıyor ve herhangi bir bilgisayar korsanlığı eylemi gerçekleştirmek için önce onu bulmanız gerekecek. Bu insanlar için sorunludur ancak botlar için bu an meselesidir.

    Kök dizinde birkaç kurulu sürüm var - bu mümkün!

    Not: WordPress sistem dosyaları artık kök dizinde değilse ve kurulum klasörünün adı yukarıda açıklanan önerilere göre değiştirilirse, blog şu adreste hala mevcut olacaktır: wp-config.ru. Neden? Blogunuzun “Genel ayarlar” bölümüne gidin ve örnekte gösterildiği gibi “WordPress adresi (URL)” alanına sunucudaki gerçek blog adresini girin:

    Blog adresi güzel ve göze çarpmayan olmalı

    Bu, blogun güzel bir sanal adreste görüntülenmesini sağlayacaktır.

    2. wp-config.php dosyasını iyileştirin

    WordPress Yapılandırma Dosyası wp-config.php veritabanına erişim için bazı site ayarları ve bilgileri içerir. Ayrıca güvenlikle ilgili başka ayarlar da vardır (bunlar aşağıdaki listede sunulmaktadır). Bu dosyada bu tür değerler yoksa veya yalnızca varsayılan değerler varsa, bunları uygun şekilde eklemeniz veya değiştirmeniz gerekir:
    • Güvenlik Anahtarları: Sürüm 2.7'den itibaren WordPress'in doğru ayarlanması gereken dört güvenlik anahtarı vardır. WordPress sizi bu satırları otomatik olarak bulma zorunluluğunuzdan kurtarır üreten Güvenlik açısından doğru anahtarlar. Anahtarları dosyanın uygun satırlarına yapıştırmanız yeterlidir. wp-config.php. Bu anahtarlar zorunlu Blogunuzun güvenliğini sağlamak için.
    • Yeni yüklenen bir WordPress blogunun tablo öneki standart olmamalıdır "wp_"Önek değeri ne kadar karmaşık olursa, MySQL veritabanınızdaki tablolara yetkisiz erişimin gerçekleşme olasılığı da o kadar az olur. Kötü: $table_prefix = "wp_"; . Çok daha iyi: $table_prefix = "wp4FZ52Y_"; Bu değeri unutmaktan korkmayın; yalnızca bir kez girmeniz yeterli, bir daha ihtiyacınız olmayacak.
    • Sunucunuzda mevcutsa SSL şifreleme idari bölgeyi korumak için etkinleştirilmesi önerilir. Bu, wp-config.php dosyasına aşağıdaki komutu ekleyerek yapılabilir: define("FORCE_SSL_ADMIN", true);
    Yapılandırma dosyasında diğer sistem ayarlarını da yapabilirsiniz. Sayfada mevcut ayarların açık ve kapsamlı bir listesi mevcuttur Kod

    Doğru güvenlik anahtarlarını kurmayı ihmal etmeyin!

    3. wp-config.php dosyasını taşıyın

    Ayrıca sürüm 2.6'dan beri WordPress bir dosyayı taşımanıza izin veriyor wp-config.php en üst seviyeye. Bu dosya diğerlerinden çok daha önemli bilgiler içerdiğinden ve sunucunun kök klasörüne erişim her zaman çok daha zor olduğundan, onu diğer dosyalardan farklı bir dizinde saklamak mantıklıdır. WortdPress bir dosyayı ararken otomatik olarak en yüksek klasöre bakacaktır wp-config.php. Kullanıcıların yolu kendileri yapılandırmaya yönelik girişimleri işe yaramaz.

    4. wp-config.php dosyasını koruyun

    Tüm ISP sunucuları, verileri kök dizinden daha yüksek seviyelere aktarmanıza izin vermez. Başka bir deyişle, herkes bir önceki adımı tamamlamak için yeterli haklara sahip değildir. Veya başka nedenlerden dolayı: örneğin, belirli bir klasör yapısına sahip birden fazla blogunuz varsa, tüm dosyaları kök dizine koyamazsınız çünkü adları her blog için aynı olacaktır. Bu durumda dosyaya erişimi reddedebiliriz. wp-config.php harici olarak bir dosya kullanarak .htaccess. İşte bunun kodu:

    # wpconfig.php'yi koruyun
    Reddetme emri ver, herkesin reddetmesine izin ver

    Dosyanın olduğundan emin olmak çok önemlidir. .htaccess dosyayla aynı dizinde wp-config.php.

    5. Yönetici hesabını kaldırın.

    Kurulum işlemi sırasında WordPress, varsayılan olarak “admin” kullanıcı adına sahip bir yönetici hesabı oluşturur. Bir yandan bu oldukça mantıklı, diğer yandan tanınmış bir takma adı olan bir kullanıcı, yani. Yönetici haklarına sahip olan ID - 1, şifre tahmin programları ile bilgisayar korsanları için tamamen öngörülebilir bir hedeftir. Bu bizim tavsiyemiz:
    • Yönetici haklarına ve takma adınıza sahip başka bir kullanıcı oluşturun.
    • Çalışma oturumunuzu sonlandırın.
    • Yeni bir hesapla oturum açın.
    • Hesabını sil" yönetici".
    Yeni bir blogunuz yoksa ve hesabınız altındaysa yönetici Zaten gönderi veya yorum yayınladıysanız, silme sırasında önerilen seçeneklerden "Tüm gönderileri ve bağlantıları şuraya bağla:" seçeneğini seçin ve yeni kullanıcının adını seçin:

    Not:İdeal olarak, yeni kullanıcının oturum açma bilgilerinin gönderilerde görüntülenen kullanıcı adından farklı olması arzu edilir, böylece hiç kimse oturum açma bilgilerinizi tanıyamaz.

    6. Güçlü bir şifre seçin.

    Potansiyel saldırıların olasılığı ve sıklığı doğrudan blogun popülaritesine bağlıdır. Ve bu ana kadar sitenizde güvenlik zincirinde hiçbir zayıf halkanın kalmadığından emin olmanız tavsiye edilir.

    Çoğu zaman şifreler bu zincirin en zayıf halkasıdır. Neden? Çoğu kullanıcının şifre seçme şekli genellikle düşüncesiz ve dikkatsizdir. Birçok çalışma, şifrelerin çoğunun, tahmin edilmesi zor olmayan, küçük harflerle yazılan tek heceli mevcut kelimelerden oluştuğunu göstermiştir. Şifre tahmin programlarında en sık kullanılan şifrelerin listesi bile bulunur.

    WordPress, yazdığınız şifrenin gücüne ilişkin, karmaşıklık düzeyini renkli olarak gösteren sezgisel bir gösterge uyguladı:

    7. “wp-admin” klasörünü koruyun.

    "İki kafa bir kafadan iyidir" atasözünü takip ederek idari alanın güvenliğini iki katına çıkarmanın bir yolu var. Güvenlik dosyayla düzenlenir .htaccess, klasörde olması gereken "wp-admin" dosyayla birlikte .htpasswd Kullanıcının kullanıcı adını ve şifresini saklayan. Klasöre eriştikten sonra kullanıcı adınızı ve şifrenizi girmeniz gerekecektir, ancak aradaki fark, bu durumda yetkilendirmenin WordPress tarafından değil, sunucu tarafında kontrol edilmesidir.

    Kolayca ve hızlı bir şekilde dosya oluşturmak için .htaccess Ve .htpasswd, kullanmak bu servis .

    8. Oturum açma sayfasında hataların görüntülenmesini devre dışı bırakın.

    WordPress giriş sayfası, blogunuzun hatasız doğrulama sonrasında erişilebilen yönetim alanına açılan kapıdır. Her kullanıcının sonsuz sayıda oturum açma denemesi vardır ve her seferinde varsayılan olarak yardımcı WordPress, hatanın tam olarak ne olduğunu gösterir. Yani, girilen giriş bilgilerinin yanlış olduğu ortaya çıkarsa WordPress bunu söyleyecektir. Bu kullanıcı için olduğu kadar hacker için de uygundur.

    Sistem tam olarak neyin yanlış girildiğini gösterdiğinde, kullanıcı adı/şifre kombinasyonunu seçme olasılığının ne kadar hızlı azaldığını tahmin etmek kolaydır. Basit bir kod satırı bu sorunu çözmeye yardımcı olacaktır; bunu dosyaya eklemeniz yeterli işlevler.php konunuz:

    Add_filter("login_errors",create_function("$a", "return null;"));

    Giriş sayfasının orijinal/değiştirilmiş görünümü.

    9. Başarısız oturum açma denemelerinin sayısını sınırlayın.

    WordPress, hem başarılı hem de başarısız olan yetkilendirmelere ilişkin istatistikleri tutmaz. Bu, yönetici için çok sakıncalıdır, çünkü yetkisiz erişim girişimlerinin olup olmadığını, daha sık hale gelmesi durumunda herhangi bir önlem almak için görmenin bir yolu yoktur. İki çözüm sunuyoruz: eklentiler

    Son zamanlarda güvenlik ayarları, tehdit ve virüslerin ortadan kaldırılmasıyla ilgili daha az talep aldığımı belirtmek isterim. Forumlarda daha az benzer konu oluşturuldu.

    Ya kodun kalitesi istikrara kavuştu ya da site sahipleri sorumluluklarını artırdı. Umarım her iki faktör de rol oynamıştır.

    Ancak enfeksiyon tehdidi her zaman mevcuttur, bu nedenle sitenizin korunmasına gereken özen gösterilmelidir.

    Pratikte hacklemenin nedenleri iki şeye bağlıdır:

    • terk edilmiş ve desteklenmeyen eklentiler- her zaman güncellemeleri yüklemeniz gerekir;
    • şifreler ve haklarla ilgili— bir kez doğru şekilde ayarlamanız ve buna bağlı kalmanız gerekir;

    Her web sitesi hacklenmeye karşı hassastır, bu nedenle kendinizi gerçekten korumanın tek yolu bir yedek oluşturmaktır.

    Cidden.

    Yedekleme oluşturmayı ayarlayın! Belki bir eklenti kullanarak veya doğrudan hostinginizde ..

    Kelimenin tam anlamıyla, yakın zamanda aptalca deneyler sonucunda medya dosyalarımı kırdım, ancak mevcut bir kopyayla veritabanını birkaç dakika içinde geri yüklemeyi başardım.

    Bir programın nasıl ayarlanacağı, özellikle sitenizde neyin ve ne sıklıkta değiştiğine bağlıdır.

    Gereksiz kod eklemeyin

    WordPress son derece esnek ve genişletilebilir. Bu harika bir fırsat. Ancak öte yandan, girişimci ve teknoloji konusunda pek bilgili olmayan web sitesi sahipleri, web sitelerine çok hızlı bir şekilde gereksiz kodla aşırı yükleme yapabilirler.

    İlk olarak, bu site performansına bir darbedir. .
    İkincisi, koyar Sitenizin güvenliği risk altında virüs enfeksiyonu ve hacklenme olasılığını artırır.
    Üçüncüsü, sadece ihtiyacınız var yönetimi ve desteği için daha fazla zaman. Bir tema için yeni bir eklenti veya işlevsellik yüklediğinizde onun gerçek ihtiyacını değerlendirin.

    İyi sorular şunlar olabilir:

    • Bu yeni eklentiden nasıl vazgeçebilirim? Belki alternatif seçenekler göreceksiniz veya hiç kullanmanıza gerek kalmayacaktır.
    • Bu eklentiye aslında ne için ihtiyacım var? Bunu kullanmaktan ne gibi faydalar elde edeceğim?

    Tamamen işlevsel bir web sitesi için, en gerekli eklentilerden yaklaşık on tanesine sahip olmak yeterlidir (bunlar arasında bir SEO eklentisi, bir site koruma eklentisi, bir önbellek eklentisi, antispam, bir iletişim formu bulunur ve yapıya yönelik birkaç özel eklenti olabilir) sitenizin veya içeriğinin)
    Sitenizde 30-50 eklenti yüklüyse, o zaman açıkça yanlış yapıyorsunuz demektir.

    Ayrıca kullanılmayan eklentileri devre dışı bırakmak yeterli değildir; bunları tamamen kaldırmak en iyisidir. Kullanılmayan temalarla birlikte.

    Basit ama etkili bir prensibi izleyin:

    Daha az kod, daha az sorun.

    Diğer katılımcılara sorumluluklarını aşan haklar vermeyin

    Bunu açıklığa kavuşturalım. Hiç kimse sitenizin güvenliğinden sizin kadar sorumlu değildir.
    Hesaplarınızı veya yönetici rollerinizi güvendiğiniz birine verirseniz sitenizin güvenliğini önemli ölçüde tehlikeye atmış olursunuz. Yükseltilmiş haklar verdiğiniz bir kişinin sitenizi memnuniyetle hackleyeceğini söylemiyorum, ancak bunu herhangi bir kasıt olmadan kolaylaştırabilir. Onun bilgisayarının sizinki kadar korunmayabileceğini (örneğin, çalışan bir antivirüs kurulu değil) ve siteyi korumaya yönelik tüm çabalarınızın boşa gideceğini düşünün.

    İnsanlara verdiğiniz rolleri sınırlayın. Bir kişinin yalnızca makale yayınlamasını istiyorsanız yönetici hesabına ihtiyacınız yoktur.
    Ancak gerçekten tüm hakları vermeniz gereken zamanlar vardır. Örneğin, bir serbest çalışandan sitedeki kodu değiştirmesini istediniz.
    Bu durumda, işi bitirdikten hemen sonra yeni bir güçlü şifre oluşturun ve ayrıca çalışan çerezleri tamamen temizlemek için WordPress için yeni bir gizli anahtar oluşturun.

    Sitenizi ve eklentilerinizi güncelleyin

    Bu makalenin başında bu sorunun sitenin işleyişine yönelik ana tehdit kaynağı olduğunu zaten belirtmiştim.

    Her gün milyonlarca web sitesi saldırıya uğruyor. Bu, geliştiricilerin tehlikeli güvenlik açıklarını hızlı bir şekilde bulmasına ve bunları gelecekteki güncellemelerde düzeltmesine olanak tanır. Ancak bu kuralı göz ardı ederseniz her an bilgisayar korsanlığının kurbanı olabilirsiniz.
    Çoğu durumda güncellemeler sorunsuz bir şekilde gerçekleşir; yazarın iyileştirmeler, hata düzeltmeleri ve güvenlik açıklarına ilişkin bazı önemli notları belirtebileceği değişiklik sayfasına bakmanız yeterlidir.

    Yüklü 30-50'den fazla eklentiniz varsa, güncelleme işlemi fazla zaman almaz ve genellikle ayda 2-3 kez gerçekleşir. İyi bir gece uykusu için uygun fiyat.

    Tembel acemi geliştiricilerin eklenti dosyalarını doğrudan düzenlediği ve bunları güncellemenin zorlaştığı görülür. Ancak bu öyle ya da böyle önlenemez.

    Aynı sorun, Görsel besteci, Devrim kaydırıcısı, Katman kaydırıcısı vb. gibi ek premium eklentileri içeren premium temalarda da ortaya çıkar.

    Sahipler siteyi özelleştirir, istedikleri şekilde çalışmasını sağlar ve anlaşılır bir şekilde siteyi güncellemekten korkarlar.
    Uygulamada, altı ay veya bir yıl sonra bu tür siteler dağılmaya başlar: bir şey güncellendi, bir şey güncellenmedi, çatışmalar ortaya çıktı, frenler vb.

    Bu yaygın bir durumdur, bu nedenle iki şeye dikkat edin:

    • çocuk teması yap— birkaç dakika içinde, ancak gelecekte kolayca güncellenmeye yardımcı olur;
    • Elinden gelenin en iyisini dene temadaki çok fazla kodu düzenlemeyin— eğer bu gerekliyse, ek işlevsellik yazmak daha iyi olabilir mi?

    Kodu doğrudan temanın içinde düzeltmek elbette daha kolaydır, ancak güncellemelerde kaybedersiniz. Bu bakımdan kendinizi korumak daha yüksek bir önceliktir.

    Güçlü şifreler belirleyin

    Güçlü parolalar, birinin parolanızı tahmin etmesi anlamına gelen kaba kuvvet saldırısından kaçınmanıza yardımcı olur. Şifreniz yalnızca 3-4 karakter içeriyorsa ve oturum açmayı kullanıyorsanız yönetici, siteniz 1 dakikadan kısa sürede saldırıya uğrayabilir! Bunu düşün.

    Bir şifrede 5-6 karakter de yeterli değildir, iyi bir şifre 8 karakterle başlar. Ayrıca sözlükteki basit kelimeleri değil, farklı durumdaki harfleri, sayıları, noktalama işaretlerini ve özel karakterleri bir arada kullanmak çok önemlidir.

    Elbette böyle bir şifreyi bulmak, hatırlamak ve kullanmak hiç de kolay değil. Burada otomatik uygulamalar yardımınıza koşacaktır: 1password, keepass, lastpass. Birini seçin ve şifrelerinizi saklama işini onların üstlenmesine izin verin.

    Güvenilir kaynakları kullanın

    Üçüncü taraf sitelerden, özellikle her türlü wareznik ve ücretsiz torrent üzerinden eklentiler indirirseniz, sitenizin çalışmasını büyük ölçüde tehlikeye atarsınız.

    İhtiyacınız olan eklentinin veya temanın sayfasını ziyaret etseniz ve yazarına güvenebileceğinizi düşünseniz bile aslında durum böyle değil. Neden?

    Çünkü bu eklentinin kodu, https://wordpress.org/plugins/ sitesinde geliştirme ekibi ve topluluk tarafından yapıldığı gibi işlevsellik ve güvenlik açıkları açısından hiçbir şekilde test edilmemiştir ve büyük olasılıkla riskli kod içerebilir. yazarının herhangi bir niyeti olmasa bile.

    WordPress güvenliğini iyileştirmeye yönelik bir önlem olarak Resmi depodan veya bütünlüğüne ve itibarına güvendiğiniz çok büyük şirketlerin depolarından eklentileri ve temaları yükleyin.

    Bilgisayarınızda antivirüsü etkinleştirin

    İyi bir antivirüs olmadan, bilgisayarda güvenli çalışma muhtemelen düşünülemez. Bunlardan birini tavsiye etmeyeceğim, ancak iyi bir kural saygın bir marka ve tercihen tam hizmet veren bir marka kullanmaktır.
    İyi bir antivirüs, kodunu ve antivirüs veritabanlarını bağımsız olarak günceller, böylece çalışmasını izlemenize neredeyse gerek kalmaz.

    Halka açık Wi-Fi alanlarına şifre girmeyin

    Wi-Fi bulunan halka açık yerlerde herkes trafiğe müdahale edebilir ve eğer şifrelenmemişse bir saldırgan bilgilerinizi kolaylıkla ele geçirebilir.

    Şifreli bir iletim yöntemi kullanın. Web siteniz için SSL sertifikaları oluşturun ve yapılandırın, web sitenizi ve kullanıcılarınızın verilerini koruduğunuzu bilmenin rahatlığını yaşayacaksınız.

    Korumalı dosyalar ve sistem dizinleri

    • Dosya ve dizinlerde doğru izinler

    İzinleri dosyalar için 644'e ve dizinler için 755'e ayarlayın, yani giriş yalnızca sahibine, yani siz tarafından kullanılabilir. Bu, özellikle paylaşılan barındırmada potansiyel tehdit riskini azaltır.
    Hakları barındırma kontrol panelinden veya bir ftp istemcisinden manuel olarak değiştirebilirsiniz.

    Kabuk erişiminiz varsa iki komutu kullanarak izinleri atayabilirsiniz.

    Kataloglar için:

    /wordpress_klasörünüzün_yolunu bulun/ -type d -exec chmod 755 () ;

    Dosyalar için:

    /wordpress_klasörünüzün_yolunu/ -type f -exec chmod 644 () öğesini bulun;

    • Önemli dosya ve dizinleri koruma - (wp-admin/, wp-config.php, wp-login.php, wp-includes)

    /wp-admin/'i koruyun.
    Sitenizin yönetim konsolu bu adreste açılır.

    Bazı barındırma sitelerinde, bu klasör için doğrudan kontrol panelinden bir şifre oluşturabilirsiniz.

    Veya bunu manuel olarak da yapabilirsiniz.
    Bunu yapmak için htpasswd dosya oluşturucuyu kullanmanız, ardından ortaya çıkan dosyayı sunucunuza, örneğin wordpress kurulumunuzun üzerindeki dizine kopyalamanız gerekir.

    Son adım, sitenizin kök klasöründe bir .htaccess dosyası oluşturmak veya açmak ve bu dosyaya aşağıdaki kodu girmektir:

    AuthName "Wordpress Konsolu" AuthUserFile /path_to_your_file/htpasswd AuthGroupFile /dev/null AuthType temel kullanıcı adı gerektirir

    Gerekli değerleri değiştirin.

    wp-login.php dosyasını koruma.

    Oturum açmayı IP adreslerine göre kısıtlamanız gerekiyorsa .htacesss dosyasına aşağıdaki yönergeleri girin:

    Siparişi reddet, izin ver Tümünden reddet xxx.xxx.xxx.xxx'den izin ver

    Böylece önce tüm kaynaklardan erişimi reddedersiniz, ardından yalnızca belirli ips'ler için erişimi açarsınız. Sıra önemlidir.

    wp-config.php dosyasını koruma.

    Bu dosyayı wordpress kök klasörünüzden daha yüksek bir klasöre taşıyın. Dosya izinlerini 400 veya 440 olarak ayarlayın, böylece siz ve sunucunuz için yalnızca okuma izinleri kullanılabilir.

    Dosyayı aktaramıyorsanız, .htaccess'in en üstüne aşağıdaki kodu ekleyin; bu, wp-config.php'ye erişimi tamamen devre dışı bırakacaktır:

    İzin ver, reddet, hepsinden reddet

    Koruma wp-içerir/.

    WordPress güvenliğini daha da geliştirmek için yürütmeyi kısıtlayabilirsiniz
    wp-includes/ klasöründeki komut dosyaları. .htaccess'e aşağıdaki kodu ekleyin:

    RewriteBase / RewriteRule Üzerinde RewriteEngine ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce/langs/.+ .php - RewriteRule ^wp-includes/theme-compat/ -

    Çoklu bölge modunuz varsa satırı yorumlayın

    "RewriteRule ^wp-includes/[^/]+.php$ - "

    Arama robotlarının hizmet sayfalarını işlemesine izin verme

    robots.txt dosyanızı kontrol edin.

    Kullanıcı aracısı: * İzin verme: /feed/ İzin verme: /trackback/ İzin verme: /wp-admin/ İzin verme: /wp-content/ İzin verme: /wp-includes/ İzin verme: /xmlrpc.php İzin verme: /wp-

    Bunların tümü, arama motorunun dizine eklememesi gereken WordPress hizmet klasörleridir.

    WordPress sürümünüzü potansiyel bilgisayar korsanlarından gizleyin

    Sürüm bilgisi başlıkta ve RSS beslemelerinde bulunur:

    Buradan kaldırmak için aktif temanın function.php dosyasına aşağıdaki kodu eklemeniz gerekir:

    Function wp_remove_version() ( return ""; ) add_filter("the_generator", "wp_remove_version");

    Yönetici hesabı adını değiştirme

    Varsayılan olarak WordPress bu ad altında bir hesap oluşturur yönetici Bu, kaba kuvvet saldırısı kullanarak hacklenmeyi kolaylaştırır. Kesinlikle değiştirmeniz gerekiyor.

    Bunu yapmak için uygulamayı kullanarak veritabanınıza gidin phpmyadmin, masayı bul wp_users(önek değişebilir), kimlik bilgilerine sahip girişler olacaktır. Düzenleme için yönetici kullanıcı hesabını açın.

    Tarlada Kullanıcı Girişi değeri değiştir yönetici yeni tercih ettiğiniz giriş bilgilerine gidin ve tıklayın Gitmek.

    Veritabanı önekini değiştirme

    CMS'yi barındırma kontrol panelinizden yüklediyseniz, sitenin zaten değiştirilmiş bir öneke sahip olma ihtimali yüksektir. Bunun için hazır eklentiler de mevcut ancak bunu manuel olarak da yapabilirsiniz.

    1. Phpmyadmin'i kullanarak veritabanınızın yedeğini alın;
    2. Dosyayı basit bir metin düzenleyicide açın ve "wp_" önekini yeni önekinizin değeriyle değiştirin;
    3. Tüm eklentilerinizi devre dışı bırakın;
    4. Eski veritabanını silin ve yeni önekle olanı içe aktarın;
    5. Yeni öneki kullanmak için wp-config.php dosyasındaki veritabanı ayarlarını değiştirin;
    6. Gerekli eklentileri etkinleştirin;
    7. CNC/Kalıcı Bağlantıları güncelleyin.

    Sitenizde SSL'yi etkinleştirin

    SSL sertifikası aldıysanız wp-file'da SSL desteğini etkinleştirin
    config.php:

    Define("FORCE_SSL_LOGIN", true); define("FORCE_SSL_ADMIN", true);

    Bu sitenin Cloudflare'den ücretsiz olarak verilen bir sertifikası var, ancak bu hizmeti bağlamanız ve yapılandırmanız gerekiyor.

    Giriş denemelerinin sayısını sınırlayın

    Sunucu günlüklerinizde aktif bir kaba kuvvet saldırısı fark ederseniz, Giriş Denemelerini Sınırla eklentisini kullanarak giriş denemelerinin sayısını sınırlayarak bunu önleyebilirsiniz.

    Eklenti 2 yıldır güncellenmedi, ancak bir milyon kurulumdan geçti ve WordPress'in güncel sürümleri de dahil olmak üzere performansına ilişkin iyi değerlendirmeler aldı.

    Yönetim konsolunda eklenti ve tema dosyalarının düzenlenmesini önleyin

    Yönetici panelinden dosya düzenlemeyi kullanmıyorsanız site güvenliğini artırmak için bu işlevi devre dışı bırakabilirsiniz. wp-config.php dosyasına aşağıdaki satırı yazın:

    Define("DISALLOW_FILE_EDIT", true);

    Siteniz saldırıya uğradıysa

    1. Siteyi devre dışı bırak
    2. Servis sağlayıcınıza haber verin, diğer sitelere virüs bulaşmış olabilir
    3. Sitenin yedeğini alın
    4. wp-config.php dosyasındaki tüm şifreleri değiştirin
    5. WordPress'i yeniden yükleyin; bu, motor dosyalarını yeni kopyalarla değiştirecektir
    6. Geride kötü amaçlı kod kalmadığından emin olmak için temaları ve eklentileri yeniden yükleyin.
    7. Potansiyel kötü amaçlı kodları aramak için mevcut eklentileri de kullanabilirsiniz.

    Unutmayın, eğer bilgisayar korsanları şifrenizi çalıp siteye girdiyse, siz şifreyi değiştirdikten sonra bile çalışan çerezler etkin olduğu için sistemde kalmaya devam edebilirler. Bunları devre dışı bırakmak için yeni bir gizli anahtar oluşturmanız gerekir. Açık

    WordPress güvenlik sorunları her zaman üzerinde düşünülecek çok şey olmuştur. Her ne kadar bu CMS'de yapılan son güncellemelerin çoğu güvenlikle ilgili olsa da, eklentiler olmadan bile teknik açıdan en az bilgili kullanıcıların bile kullanabileceği güvenliği artırmanın birçok yolu vardır.

    Bir WordPress sitesi için bilgi güvenliğinin nasıl artırılacağına dair bazı öneriler.

    Platform geliştiricileri, aşina olmanızı tavsiye ettiğimiz WordPress sitelerinin korunmasını sağlamak için kendi önlem listelerini sunuyor. Elbette bu önerilerin bazıları aşağıda tekrarlanacaktır, ancak veri güvenliği söz konusu olduğunda birkaç ekstra pratik ipucu ve talimatın zararı olmaz.

    Editör haklarına sahip ayrı bir hesap oluşturun

    Blog yazıları yazarken veya düzenlerken, yazıdaki yazar adının üzerine geldiğinizde tarayıcının sol alt köşesinde "yazar adı" görünür. Yazar adınız yönetici adınızla aynıysa, bilgisayar korsanlarının sitenizi başarıyla hacklemesi için gereken işin yarısını yapmışsınız demektir.

    Çözümü basit: Yalnızca editör haklarına sahip yeni bir kullanıcı oluşturun ve blogda bir şey yayınlayacağınız veya düzenleyeceğiniz zaman bu adla oturum açın. Bu ad tüm gönderilerinizde görünecek; ve bilgisayar korsanları, sözde yönetici haklarına sahip bir kullanıcı adı altında blogunuzu hacklemeye çalışırken çok fazla zaman harcayacaklardır; bu, aslında yalnızca yazı yazmanıza ve düzenlemenize izin verir.

    Ek olarak, WordPress için özel güvenlik eklentileri, siteye belirli bir oturum açma adı altında erişme girişimlerini sınırlandırır ve belirli bir e-postaya yetkisiz giriş girişimlerini bildirir. Bu sayede gerçek yönetici girişi kullanılarak hackleme girişimlerinin yapılıp yapılmadığını öğrenecek ve saldırganlar şifreyi tahmin etmeden önce WordPress sitesinin güvenliğine dikkat edebileceksiniz.

    Basit şifreler kullanmayın

    Basit MAHKEME kelimesini hatırlayın - Karmaşık, Benzersiz, Uzun. Bu noktada 1Password veya LastPass gibi araçlar devreye girerek belirlediğiniz uzunlukta şifreler oluşturur. İstediğiniz koruma düzeyine bağlı olarak, şifre uzunluğunu karakter cinsinden seçin (genellikle 20 karakter yeterlidir) ve # veya * gibi nadiren kullanılan karakterleri ekleyin.

    "123456" bir şifre değildir. “qwerty”, PIN kodunu bir banka kartına yazmaya eşdeğerdir. Hatta “starwars” bile 2015 yılının en yaygın 25 şifresi arasında yer aldı. Unutmayın, düşündüğünüz kadar eşsiz değilsiniz.

    İki faktörlü kimlik doğrulama ekleyin

    Admin kullanıcı adını kullanmasanız ve güçlü, rastgele oluşturulmuş bir şifre belirlemeseniz bile kaba kuvvet saldırıları sorun olmaya devam eder. Bu tür izinsiz giriş riskini azaltmak için iki faktörlü kimlik doğrulama gibi yöntemler çok önemlidir.

    Evet, iki faktörlü kimlik doğrulama bir güçlüktür. Ama artık burası senin Fort Knox'un. Bir WordPress sitesini korumanın özü, adından da anlaşılacağı gibi iki yetkilendirme biçiminde yatmaktadır. Günümüzde erişim noktalarınızın güvenliğini artıran bir standarttır. Gmail ve Paypal için zaten iki faktörlü kimlik doğrulamayı kullanıyorsunuz (en azından kullanmalısınız). Peki neden WordPress'i listeye eklemiyorsunuz?

    Aracı uygulamak için özel bir Google Authenticator eklentisi vardır. Biraz farklı bir yaklaşıma sahip ve aynı sonucu veren alternatif bir seçenek Rublon Eklentisidir.

    En az ayrıcalık ilkesini kullanın
    WordPress.org ekibi, WordPress kodunda Kullanıcı Rolleri ve İzinlerini düzenleyen mükemmel bir makale hazırladı. Bu adımı doğrudan ele alan bu belgeyi mutlaka okuyun.

    En az ayrıcalık ilkesi çok basittir; yalnızca aşağıdakilere erişim izni verin:

    - ihtiyacı olanlar;

    - Ihtiyacın olduğunda;

    - ihtiyaç duyulan süre boyunca.

    Birisinin bir yapılandırmayı değiştirmek için yönetici haklarına ihtiyacı varsa, ona izin verin, ancak görevi tamamladıktan hemen sonra erişimi reddedin.

    İyi haber şu ki bu adımlar fazla zamanınızı almayacak.

    Yaygın inanışın aksine, WordPress sitenize erişen her kullanıcıya yönetici hakları verilmesi gerekmez. İnsanlara görevlerini yerine getirmeleri için yeterli erişim hakları verin; WordPress sitenizin güvenlik riskini büyük ölçüde azaltacaksınız.

    Bu tür bir kurulum için wordpress güvenliği bir eklenti var: Google Kimlik Doğrulayıcı. Aynı amaç için biraz farklı bir yaklaşım kullanan bir alternatif ise eklentidir.

    wp-config.php ve .htaccess dosyalarını gizle

    Bunu yapmak nispeten kolaydır, ancak prosedürdeki hatalar sitenizi erişilemez hale getirebilir. Bir yedek kopya oluşturun ve ancak bundan sonra değişikliklere devam edin.

    .htaccess dosyasını düzenlemek için Araçlar => Dosya Düzenleyici'ye gidin. wp-cnofig.php dosyasının güvenlik ve koruma düzeyini artırmak için .htaccess dosyasına aşağıdaki kodu eklemeniz gerekir:

    wp-config.php dosyasına yetkisiz erişimi engelleyecektir. .htaccess dosyasının kendisini korumak için benzer kod kullanılabilir: izin ver, reddet, hepsinden reddet

    Bu değişiklikleri kendiniz yapabilirsiniz, burada karmaşık bir şey yok.

    Kimlik doğrulama için WordPress güvenlik anahtarlarını kullanın

    Kimlik doğrulama anahtarları ve tuz anahtarları, tarayıcınız ile web sunucusu arasında veri aktarımı sırasında çerezlerinizi ve şifrelerinizi korumak için birbirleriyle birlikte çalışır. Bu kimlik doğrulama anahtarları bir dizi rastgele değişken üzerine kuruludur. Çerezlerdeki bilgilerin güvenliğini (şifrelenmesini) artırırlar.

    Bunları wp-config.php dosyasında değiştirmek için buradan yeni bir anahtar seti almanız yeterlidir - https://api.wordpress.org/secret-key/1.1/salt/ - ve bunu dosyaya ekleyin. Belirtilen sayfayı yenilediğinizde tuşlar değişir, böylece her seferinde yeni bir set alırsınız.

    Dosya düzenlemeyi devre dışı bırak

    Dosyalarınızı değiştirmenin en kolay yolu WordPress menü öğesi “Görünüm => Düzenleyici”ye erişmektir. Koruma seviyenizi arttırmak için ihtiyacınız olan devre dışı bırakmak Konsol aracılığıyla dosyaları düzenleme yeteneği. wp-config.php dosyasını açın ve satırı ekleyin

    Define("DISALLOW_FILE_EDIT", true);

    FTP erişimi aracılığıyla şablonlarda değişiklik yapmaya devam edebileceksiniz ancak artık hiç kimse WordPress konsolundaki araçları kullanarak bunları değiştiremeyecek.

    Giriş denemelerinin sayısını sınırlayın

    Anahtar tahmin saldırılarının hedefi sitedeki giriş formudur. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı eklentisi, bu giriş formunun varsayılan yolunu (/wp-admin/) değiştirmenize olanak tanır. Ayrıca özel eklentiler kullanarak belirli bir IP adresinden yapılan giriş denemelerinin sayısını sınırlayabilirsiniz.

    XML-RPC arayüzünün seçici kullanımı

    XML-RPC, her yerde kullanılan bir uygulama programlama arayüzüdür (API). Çok sayıda eklenti ve tema tarafından erişilir, bu nedenle daha az teknik kullanıcının bu araçla denemeler yaparken özellikle dikkatli olması gerekir.

    Pratik bir adım olmasına rağmen XML-RPC'yi devre dışı bırakmak maliyetli olabilir. Bu nedenle tamamen devre dışı bırakılması önerilmez, ancak hangi programların bu arayüze erişmeye çalıştığına ve nasıl olduğuna daha fazla dikkat edilmesi önerilir. XML-RPC'nin seçici olarak uygulanmasına ve devre dışı bırakılmasına yardımcı olan birçok eklenti vardır.

    WordPress Barındırma ve Güvenlik

    Web sitesi sahipleri genellikle barındırma şirketlerinin web sitelerini hacklenmeye karşı korumaya yardımcı olmadığından veya WordPress platformunda web sitelerinin güvenliğini sağlama konusunda hiçbir şey anlamadıklarından şikayet ederler.

    Hosting şirketleri sitenizi farklı görüyor. WordPress barındırma seçimine ilişkin net kurallar yoktur, ancak yetkisiz erişime karşı korumayı iyileştirmeye yönelik önlemler söz konusu olduğunda bu gerçekten önemlidir.

    Kelimenin tam anlamıyla, bir barındırma seçimiyle ilgili her makale, ucuzun en iyisi anlamına gelmediği sözleriyle başlar. En ucuz tarife planları hacker saldırılarından korunmanıza yardımcı olmaz. Bu tür paketler, önceden yüklenmiş bir web sitesi güvenlik duvarı gibi minimum kaynak korumasını içerir.

    Paylaşımlı barındırma, kaynağınızın bulunduğu sunucunun aynı zamanda diğer sitelere de ev sahipliği yapması anlamına gelir. Sitenizin güvenliğini etkileyen kendi güvenlik sorunları olabilir.

    burada WordPress güvenliği , muhtemelen barındırma şirketlerinin özel WordPress planlarında sunduğu ana avantajlardan biridir.

    Bu genellikle yedeklemeleri, yedek güvenlik duvarını, kötü amaçlı yazılımlara karşı dosya taramayı, karşı korumayı ve otomatik WordPress güncellemelerini içerir. Üstelik tüm bunlar kural olarak çok makul bir maliyetle sunuluyor.

    Hosting hesabınızı unutmayın

    En büyük barındırma sorunlarından biri site sahibinin hesap yapılandırmasıyla ilgilidir. Kullanıcı istediği kadar site kurup yapılandırabilir, bu da sistem ortamında kötü amaçlı yazılımlar için "ücretsiz bir kantinin" ortaya çıkmasına katkıda bulunur.

    Sorun önemlidir çünkü birçok durumda bir web kaynağı, saldırı vektörünün komşu bir site olduğu, siteler arası enfeksiyon olarak bilinen bir yöntem kullanılarak saldırıya uğrayabilir. Saldırgan kuzeyin korumasını aşar ve ardından bu sunucuda bulunan komşu sitelere sızmaya başlar.

    Bu tür bilgisayar korsanlığına karşı korunmanın en iyi yolu iki hesap oluşturmaktır. Bunlardan birini çalışma ortamı olarak kullanıyorsunuz ve üzerinde yalnızca aktif siteleri barındırıyorsunuz, ikincisini ise diğer her şeyi depoladığınız bir ara ortam olarak kullanıyorsunuz.

    En son güncellemelerden haberdar olun

    İşleri taze tutmaktan bahsetmek kolaydır. Ancak web sitesi sahipleri için bu, günlük özenli çalışma anlamına gelir. Web sitelerimiz karmaşık yaratıklardır. Herhangi bir zamanda onlar üzerinde düzinelerce olay meydana gelir, bu nedenle bazen anında değişiklik yapmak zor olabilir.

    Son araştırmalar, WordPress kurulumlarının %56'sının platformun eski sürümlerini kullandığını gösterdi.

    Güncellemeler yalnızca platformun çekirdeğini ilgilendirmemelidir. Söz konusu çalışma aynı zamanda çok sayıda hacker saldırısının, eklentilerin eski, savunmasız sürümlerini kullandığını da belirtiyor.

    WordPress için Güvenli Eklentiler ve Temalar Nasıl Seçilir

    Çoğu kullanıcı, web sitelerine ayrım gözetmeksizin eklentiler ve temalar yüklemeyi tercih eder. Yalnızca belirli bir temanın veya eklentinin işlevselliğini test etmek amacıyla bir test sunucusuna yükleme yapmadığınız sürece bu aptalca bir durumdur.

    Çoğu eklenti ve birçok tema ücretsizdir. Ve eğer yazarlar ürünlerini ciddi bir iş modelinin parçası olarak değil de eğlence için destekliyorlarsa, bu ürünlerin güvenlik açıklarını ve güvenliklerini kontrol etmek için çok fazla zaman harcamaları pek olası değildir.

    WordPress için doğru eklenti nasıl seçilir

    Yukarıda belirtildiği gibi ücretsiz temalar ve eklentiler web sitesi güvenliği için potansiyel bir tehdittir. Bu öğeleri sitenize eklerken, örneğin WordPress.org'daki derecelendirmelerini kontrol ettiğinizden emin olun.

    Ancak sadece beş yıldız, eklentinin güvenilirliği hakkında hiçbir şey söylemeyecektir; nişe bağlı olarak belirli sayıda incelemeye sahip olması gerekir. Yeterli sayıda kişi bunun harika bir ürün olduğunu düşünürse ve değerlendirmeye zaman ayırırsa, bunu kendi sitenizde deneyebilirsiniz.

    Kontrol etmeniz gereken başka bir şey de eklentinin veya temanın alaka düzeyidir. Son iki yılda herhangi bir güncelleme yapılmadıysa WordPress bunu rapor edecektir. Güncellemelerin olmaması eklentinin mutlaka kötü olduğu anlamına gelmez.

    Belki de yazarın çalışma programında düzeltmeler yapması gerekmemiştir. Ancak uzun süredir güncellenmeyen eklentilerin kurulması önerilmez. Derecelendirme size seçilen öğenin performansı ve WordPress'in mevcut sürümüyle uyumluluğu hakkında bilgi verecektir. Tüm bu bilgileri WordPress.org'daki eklenti sayfasında görebilirsiniz.

    Çözüm

    Bu makaleyi sonuna kadar okuduysanız WordPress sitenizi korumak için ek önlemler almanız gerekir. Kaynağınızın güvenliğini kontrol etmeyi günlük eylemler listenize ekleyin. Yeni yayınların ve sayfaların düzenli olarak eklenmesi, herhangi bir web sitesi sahibinin aynı günlük rutini haline gelmelidir.

    Platformun birçok güvenilir eklentiye sahip olduğu düzenli yedeklemeler oluşturmayı unutmayın. Doğru, bunlar bilgi güvenliği politikasının bir parçası değil; bunlar daha ziyade idari ve hizmet görevleridir.

    Sitenizi bilgisayar korsanlığından korumak için neler yapılabileceğine dair tam bir listeden çok uzak bir liste sunduk. Ancak pratik tavsiyelerimizin, kaynağınız için en azından birinci düzeyde bilgi güvenliği sağlamaya yardımcı olacağını umuyoruz.

    Hatırlamak WordPress güvenliği asla mutlak değildir.

    Bu nedenle, bilgisayar korsanlarının hayatını zorlaştırmak web sitesi sahiplerinin görevidir.



    Okumanızı öneririz