Word Press, yönetim paneli çok kolay olan, son derece insancıl geliştirmeye ve değiştirmeye elverişli bir hazır scrip sistemiydi.
Adı üzerinde Word ve Press kelimesi vardı. Word yazı, kelime, Press ise basın idi. Gazetemiz de bir e gazete türü basın olduğundan dolayı yine word presi tercih ettik.
Osman Atabey’in güvenlik önerileri:
– Aşağıdaki eklentiyi indirelim
http://wordpress.org/extend/plugins/wp-security-scan/
– Zip ‘li dosyayı açalım.
– Açtığımız wp-security-scan dosyasını /wp-content/plugins/ içine gönderelim.
– WordPress ‘e giriş yapalım ve Eklentiler menüsünden wp-security-scan ‘ı etkinleştirelim.
– WordPress üst menüsünden Security kısmından gerekli ayarları yapmaya başlayalım.
– WordPress Version Kontrol : Bu bölümde wordpress versionu kontrol ediliyor eğer eskiyse wordpress ‘in yeni sürümünü yükleyebilirsiniz.
WordPress version sürümü eskiyse veya versionu manual olarak değiştirmişseniz aşağıdaki uyarıyı alırsınız.
WordPress version: 2.5.0 ( veya sizin versionunuz ) You need version 2.5.1. Please upgrade immediately.
WordPress version sürümü güncel ise aşağıdaki uyarıyı alırsınız bu şekilde herhangi bir şey yapmanıza gerek yoktur.
WordPress version: 2.5.1 You have the latest stable version of WordPress.
– WordPress kurulumunda default olarak gelen admin kullanıcı adını değiştirmek için yapmanız gerekenler
Eğer wordpress kullanıcı isminiz ” admin ” ise wp-security-scan eklentisi şu hatayı göstericektir -> “admin” user exists
Bunu değiştirmek için phpMyAdmin ‘e girerek wordpress için oluşturduğumuz veritabanını seçelim. wp_users bölümünde “gözat” kutucuğunu seçerek giriş yapalım
“düzenle” (kalem) işaretini tıklayarak ilgili tablomuzu açalım. Bu tablo içinde user_login = admin kısmını istediğimiz bir kullanıcı adı ile değiştirelim. user_nicename = admin kısmını aynı şekilde veya değişik bir isim ile değiştirebilirsiniz. En son olarak “Git” butonunu tıklayarak değişiklikleri kayıt edelim.
WordPress Security kısmından uyarı mesajlarına baktığımızda “admin” user exists yerine No user “admin”. uyarısı görülecektir. Böylece default admin kullanıcı adı değiştirilmiş oldu.
– WordPress versionunu META Tag içinden silmek
WordPress için kullandığınız tema dosyaları içinde header.php dosyasını açarak wordpress version kısmını silebilirsiniz.
Header.php içinde meta tagları arasında aşağıdaki bölümü bulun ve WordPress <?php bloginfo(’version’); ?> bölümünü silin.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats –>
Eğer isterseniz content bölümünü content=”isminiz soyadınız” şeklinde değiştirebilirsiniz.
Tabiki bu şekilde tam bir version gizlenemiyor. WordPress version sürümünü tamamen gizlemek için wp-includes/version.php dosyasını açarak $wp_version = ‘2.5.1′; kısmını $wp_version = ‘benim version numaram veya benim versionum yok sekilde bir yazı yazabilirsiniz’;
Bu şekilde yaptığınızda Wp Security Scan eklentisinin mesajı WordPress version: ( sizin version sürümünüz ) You need version 2.5.1. Please upgrade immediately
şeklinde olacaktır ve wordpress güncelleme uyarısı vericektir. Bu mesaj sizi rahatsız ediyorsa eklentiyi tüm değişiklikleri yaptıktan sonra kapatabilirsiniz.
– WordPress wp-admin/.htaccess hatası
” The file .htaccess does not exist in wp-admin/. ” wp-security-scan wp-admin klasörü için bu hatayı gösteriyorsa wp-admin klasorü herkese açıktır ve herkes ulaşabilir demek istiyordur. wp-admin dizini altında .htaccess dosyası oluşturun ve bu bölümü sadece sizin kullanabileceğiniz bir şekilde kapatın. Bunu yapamıyorsanız wp-admin kısmını şifreleyen askapache gibi eklentiler mevcut.
wp-admin içinde .htaccess ekli ise veya eklendiyse wp-security-scan eklentisinin mesajı ” .htaccess exists in wp-admin/ ” şeklinde olacaktır.
– WordPress tablo yapısını değiştirmek
Önemli Not: Bu bölümdeki değişiklikleri yapmadan önce veritabanı yedeğinizi alın.
WordPress kurulumunda tablo yapısı wp_ ile başlar ve bu default olarak gelir. Wp Security Scan eklentisinin bunun için verdiği hata şu şekildedir -> ” Your table prefix should not be wp_. Click here to change it. ”
Bunu değiştirmek için hata üzerine tıklayalım ve Database bölümüne geçelim. İlk önce wordpress dosyalarımız arasında bulunan wp-config.php dosyasına yazma izni verelim bunun için chmod 777 wp-config.php veya kullandığınız Cpanel veya FTP programı yardımıyla dosyanın chmod değerini 777 yapalım. Tekrar Wp Security Scan eklenti menüsünden Database bölümüne dönerek ” Change the current: ” ile başlayan yerin yanındaki kutucuğa yeni wordpress tablosunun ismini yazabiliriz. Örnek tablo ismi : bu23BeN546imtablom_ tablo ismi bitiminde kesinlikle _ işareti olmalıdır. Tablo ismini yazdıktan sonra ” Start Renaming ” butonunu tıklayarak tablo ismini değiştirelim. PhpMyAdmin üzerinden tekrar wordpress tablonuza baktığınızda isimlerin değiştiğini görüceksiniz. Wp Security Scan mesajı ise ” Your table prefix is not wp_. ” şeklinde değişecektir. wp-config.php dosyasının iznini eski hale getirelim chmod 644 wp-config.php kısacası chmod izin değeri 644 olucak. Yeni veritabanı yedeğinizi almayı unutmayın.
En son olarak wp-security-scan eklentisini ” wordpress / eklentiler ” bölümünden tekrar kullanıncaya kadar kapatabilirsiniz.
– WordPress Giriş şifresinin zorluk derecesini belirlemek
Wp Security Scan eklentisinin şifre bölümüne girelim. ” Security / Password Tool ”
Type password ‘un yanındaki kutuya kullandığınız şifreyi yazın ve şifre zorluk derecesine bakın. Eğer Strongest değilse şifrenizi Strongest durumuna getirene kadar değiştirin. Örnek password : Busifrecokmu3000Zormus
Wordpress Kullanıcılar bölümüne girerek eski şifrenizi yenisiyle değiştirebilirsiniz.
– WordPress üzerinde paranoyak derecede güvenlik ayarı yapmak istiyorsanız yukarıda yaptığınız ayarlara aşağıdakileride ekleyebilirsiniz.
– WordPress üye kayıt sistemini kullanmıyorsanız kapatın. Üyelik vermek istediğinizde wordpress içindeki menüden ” Kullanıcılar / Yeni üye ekle ” bölümünü kullanabilirsiniz.
– WordPress üzerinde yazdığınız konulara cevap gönderilen comments bölümünü kapatabilirsiniz.
– WordPress için yüklemiş olduğunuz eklentileri devamlı güncelleyin. Eğer wp-security-scan gibi kullanıldıktan sonra kapatılabilen özelliği varsa eklentileri sadece bir dahaki kullanıma kadar kapalı tutun. İndirdiğiniz eklentilerin dosya isimlerini ve dizin yapısını değiştirebiliyorsanız değiştirin. Eklenti dizin yolunu browser üzerinde yazarak eklentiyle ilgili bir dosyanın herkes tarafından görülüp görülmediğini kontrol edin.
Örnek : /wp-content/plugins/wordpress_eklenti_ismi/dosyalar/dizinler/index.php veya eklenti.php şeklindeki uzantıları deneyebilirsiniz.
Kullandığınız wordpress eklentisinin sitenizin kaynak koduna herhangi bir meta tag veya keywords koymasına izin vermeyin. Bu şekilde hangi eklentileri kullandığınız öğrenilebilir.
– WordPress wp-content/plugins dizini altında boş bir index.php veya index.html dosyası oluşturarak kullandığınız eklentileri gizleyin.
– WordPress dosyaları arasında bulunan wp-config.php dosyasının chmod değeri 644 olarak ayarlanmalıdır. Tüm wordpress dosyalarının chmod değeri 644 dizinleri ise chmod 755 şeklinde ayarlanmalıdır. Kullandığınız wordpress temasının chmod değerleride aynı şekilde değiştirilmelidir.
– WordPress için wp-config.php dosyasına yeni eklenen bir özellik olan secret-key blogunuzdaki cookie güvenliğini arttıran bir özelliktir.
Secret-Key özelliğini kullanmak için http://api.wordpress.org/secret-key/1.0/ adresine girin.
Sayfa içinde ” define(’SECRET_KEY’, ‘v$](RHTB^o)Kcpi)~*I #oC@YxRiW*VfB]4EYL{h-OJt)6IY&At[l.(zA@+cXI’); ” buna benzer bir kod ile karşılaşacaksınız. Sayfayı her yenilediğinizde ise secret-key değişmektedir. İstediğiniz secret-key kodunu seçerek aşağıdakileri uygulamaya devam edin.
wp-config.php dosyasını açın ve define(’SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase. yazan bölümü bulun define yazan yerine başına // ekleyin.
Eklemeyi yaptıktan sonra satır şu şekilde olmalı //define(’SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.
Bu şekilde bu satırı iptal etmiş oluruz. Bu iptal ettiğimiz satır altına geçerek yukarıda verdiğim linkten aldığınız secret-key ‘i bu bölüme ekleyin ve wp-config.php dosyasını kayıt ederek secret-key in aktif olmasını sağlayın.
– WordPress için yüklediğiniz temalara ve eklentilere dikkat edin. Eğer kullanmak istediğiniz tema veya eklenti art niyet taşıyan kişiler tarafından yazılmışsa sitenizin dosyalarına eklenmiş veya sonradan eklenecek ufak bir kod parçası ile büyük bir güvenlik sorunu yaşayabilirsiniz. Bu yüzden temalarınızı ve eklentilerinizi wordpress ‘in orjinal sitesinden seçmeye özen gösterin veya biraz css ve php bilgisi ile beğendiğiniz temayı kendiniz de oluşturabilirsiniz. Bu arada zararlı olarak hazırlanan tema ve eklentiler çoğu kişinin kullandığı ve kullanmakta olduğu sitelerdende çıkabilir. Tabiki orjinal haliyle alınmış tema ve eklentileri değiştirip ortalığa yayanlarada bir o kadar dikkat etmeniz gerekiyor. Unutmayın ki wordpress çok popüler bir blog tasarımı ve güvenli bir yazılım olmasına rağmen birçok kişi tarafından kullanılması onu değişik saldırı yöntemlerine maruz bırakmaktadır.
Dökümanı Hazırlayan : Osman Atabey & www.TcpSecurity.com
