Son zamanlarda Wordpess kullanan tüm sitelere global anlamda bir saldırılar yapılmaktadır. Bu saldırılardan dolayı gerek web sayfalarında sorun olmakla beraber sunucular üzerinde yavaşlamalar yaşanmaktadır bu saldırıların nedeni genelde wordpess üzerinde kullanılan SEO amaçlı tasarlanmış Social media eklentileri ve witget modülleridir bu tür modüller sayfanızı yavaşlatacağı gibi aynı zamanda saldırılarada karşı sizi korumasız bırakmaktadır.
Bu saldırları önlemek için öncelikle kullandığınız sürümü son süreme güncellemeniz ve bazı dizin ve güvenlik ayarlarını mutlaka yapmalısınız. Gereksiz hiç bir modülü kullanmayınız Wordpess kurumunun kendi yayınladığı ve güvenli olarak işaretlediği modüller dışında modül kullanmayınız çünkü içerisinde ne gibi bir kod yapısı olduğunu bilemezsiniz sayfanızda sizde habersiz link ekleyebilir hatta veritabanınıza erişebilir zarar verbilirler sayfanız üzerinden başka sitelere saldırı dahi gerçekleştirilebilirler.
Aşağıda verdiğimiz yönergeleri mutlaka ugulayınız.
WordPress Security Plugin kurmalısınız.
http://wordpress.org/extend/plugins/better-wp-security/
http://wordpress.org/extend/plugins/better-wp-security/installation/
Bu plugin de yapmanız gereken birçok güvenlik ayarını görebilir ve plugin yardımı ile açıklarınızı kapatabilirsiniz.
Diğer Bir Security Pluginni ise Wordfance
https://wordpress.org/plugins/wordfence/
wordfance programında scan özelliği ile tema ve eklentilerinizdeki zararlı içerikleri görebilirsiniz.
Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.
http://codex.wordpress.org/Hardening_WordPress
wp-includes klasörünü güvenli hale getirin.
.htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
<files wp-config.php>
order allow,deny
deny from all
</files>
wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.
define('DISALLOW_FILE_EDIT', true);
gereksiz olarak hiç bir dizine chmod 777 yapmayınız.
Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 444 yapınız.
Teşekkürler çok işime yaradı .
Hocam tşkürler.Böyle bir kaynak arıyordum.
WordPress konusu çok detaylı bir konu olduğunu düşünüyorum. WordPress için 2 çeşit ayarlamalar mevcut 1.si sunucu ayarlarıdır. 2.si ise yazılım ile alakalı olan ayarlardır. Hostmana ile çalışıyorsanız zaten 1.ci seçenek’te sorun yok demektir. Yazılım ile alakalı bölümde bir çok sıkıntı durumlar söz konusu olabilir. Özellikle her önümüze gelen temanın eklentinin kullanılması, yazılımda açıklara sebep olabiliyor. Eklenti ve tema seçimleri çok önemli bence. Ayrıca default ayarlarda gelen bazı ayarların değiştirilmesi gayet önemlidir. Bu konuda detaylı bir şekilde bilgi sunmuşsunuz. Yazı için teşekkürler eksik olduğumuz konuları tamamlamak adına güzel bir makale olduğunu düşünüyorum. Hostmana’yı takip etmeye devam edeceğim.