Çoğumuzun günlüğünün altyapısını oluşturan WordPress gerçekten son yılların en meşhur yazılımı. Tabi bu şöhretin bir de ciddi dezavantajı var ki o da yaygın kullanımı sonucu hackerların ilgi odağı olması. Bir çok kötü niyetli kişi bu sistem üzerinde yoğunlaşınca doğal olarak açıklarımızı bulabiliyor, bir şekilde sistemlerimize sızabiliyorlar. İşte bu gibi durumlara karşı mutlaka tedbir almalı ve işimizi şansa bırakmamalıyız. Bu yazı dizisinde WordPress’inizi nasıl daha güvenilir hale getirebileceğinizi anlatmaya çalışacağım. Yazı dizisinin başlıklarını da ilerde güncelleyebilirim ama şimdilik şu şekilde olmasını planlıyorum;
- WordPress Güvenlik Tedbirleri – Kurulum
- WordPress Güvenlik Tedbirleri – Dosyalar
- WordPress Güvenlik Tedbirleri – Eklentiler
- WordPress Güvenlik Tedbirleri – Sunucu
- WordPress Güvenlik Tedbirleri – Genel
Alanında uzman kişilere sadece 10 liradan başlayan fiyatlarla wordpress sitenizi yaptırabilirsiniz. SadeceON sizin için en profesyonel hizmet verenleri bir araya getiriyor. Ekonomik wordpress site ücretleri ile SadeceON güvencesinde içiniz rahat bir şekilde sitenizi yaptırmanın tadını çıkarın! Kaliteli hizmet ve güvenli alışveriş için siz de hemen Sadeceon.com ile wordpress uzmanı bul sayfasını ziyaret edebilir ve hızlıca bu yeteneklere ulaşabilirsiniz.
Kurulacak paket
Öncelikle sitenize kuracağınız WordPress paketinin gerçek olduğundan yani WordPress tarafından dağıtılmış orjinal paket olduğundan emin olun. Bundan emin olmak için WordPress’i sadece WordPress.org sitesinden indirin. Türkçe dil dosyasını ise WordPress-tr.com adresinden indireceğiniz pakette bulabilirsiniz.
Kuracağınız paketin gerçek WordPress sürümü olduğu kadar, WordPress’in son sürümü olması da önemli. Buna da özellikle dikkat edin. Tabi mevcut sürümünüz eskiyse mutlaka güncelleyin.
Veritabanı ismi, kullanıcı adı ve parolası seçme
WordPress sisteminizi kurmadan önce veritabanı oluşturursunuz. Bu veritabanının hem isminin, hem kullanıcı adının, hem de parolasının kolay kolay tahimin edilemeyecek veya kırılamayacak kelimeler olmasına dikkat edin. Örneğin veritabanı adınız blog olmasın veya parolanızı kesinlikle erhan321 gibi sade ve anlaşılır seçmeyin.
Bununla birlikte WordPress günlüğünüzde kullanacağınız veritabanı ve kullanıcı bilgisini başka sitelerinizde kullanmayınız. Yani günlüğünüze özgü bir veritabanı, kullanıcı adı ve parolanız olsun.
define(‘DB_NAME’, ‘isim_xTerHcc_er’);
define(‘DB_USER’, ‘isim_tyDDqSw’);
define(‘DB_PASSWORD’, ‘QKglre61./u+ZZ-&|]-]*[a[d’);
Not: Sunucuda alınacak güvenlik tedbirlerini başka bir yazıda anlatacağım ama konusu açılmışken burada değinmekte fayda var. Sunucu yöneticinizle mutlaka konuşun ve MySQL sunucunuza 3306 portundan uzaktan erişimi kapatmasını söyleyin. Böylece dışardan yapılan sorgulara karşı emniyet almış olursunuz.
Farklı bir veritabanı ön eki kullanma
Kurulumda dikkat edeceğiniz diğer bir husus ise wp-config.php dosyasında bulunan veritabanı ön ekini mutlaka değiştirmeniz. Standart olarak wp_ şeklinde gelen ön eki nXscc_ gibi bir şey yapabilirsiniz. Yeter ki bu standart ön eki değiştirin.
$table_prefix = ‘Styy33_’;
Not: Benim gibi günlüğünüz çok eski ve ilk kurulumda dikkat etmediğiniz için veritabanındaki tablolarınız wp_ öne ekine sahipse (ben değiştirdim :) ), bunu değiştirmek için eklentilerden faydalanabilirsiniz. Bu konuyu WordPress Güvenlik Tedbirleri – Eklentiler başlığında anlatacağım.
Eşsiz doğrulama anahtarı oluşturma
Eşsiz doğrulama anahtarları WordPress’in kullanıcı parolalarının ve çerezlerinin (cookie) daha güvenilir olması için gereken kelimelerdir. Bu nedenle wp-config.php dosyasında bulunan eşsiz doğrulama anahtarlarını mutlaka doldurun. Burayı en güvenli şekilde doldurmak için de ilgili siteyi kullanmaktan çekinmeyin.
Not: Şifrelemelerde kullanılan “anahtar” kavramını önceden yazmış olduğum “Şifreleme Nedir? Nasıl Yapılır?” başlıklı makalemi okuyarak daha iyi anlayabilirsiniz.
define(‘AUTH_KEY’, ‘erpf65easdf3k95WCIg’);
define(‘SECURE_AUTH_KEY’, ‘yu6f34k93Wslj56kCIg’);
define(‘LOGGED_IN_KEY’, ‘ojdfR39rpf833k9WdsCIg’);
define(‘NONCE_KEY’, ‘qw65ytıtuıf37kdf9WCIg’);
define(‘AUTH_SALT’, ‘xda7fdsf3k9Wdfs6dCIg’);
define(‘SECURE_AUTH_SALT’, ‘vbpf2343k93dWaCsdIg’);
define(‘LOGGED_IN_SALT’, ‘gtpfd234asd3k9WaCIg’);
define(‘NONCE_SALT’, ‘mk34pfas3d3k9WCIg’);
Yönetici kullanıcı adı ve parolası seçme
Kurulum başladığında sizden kullanıcı adı (3.0’dan sonra) ve parola isteyecektir. Kullanıcı adınızı isminiz veya admin gibi tahmin edilebilir şeyler yapmayın. Eğer zaten admin şeklinde bir kullanıcı adınız var ise yeni bir yönetici hesabı yaratın, admin hesabını silin ve tüm yazıları yeni yönetici hesabına aktarın.
Not: Kurulum tamamlandıktan sonra profil hesabınıza girip Herkes tarafından görülecek ad hanesini değiştirmeyi unutmayın. Buradaki isim ile kullanıcı adınız farklı olmalı. Kısacası insanlar sizin kullanıcı adınızı bilmemeliler.
Şifre için de olabildiğince sizinle alakasız ve anlamsız bir şifre seçin. Bu konuda dilerseniz strongpasswordgenerator.com gibi sitelerden veya Rastgele Kelime ve Sayı Üreteci yazımdaki gibi kodlardan faydalanabilirsiniz. Bu şifreyi sadece günlüğünüzde kullanın ve diğer sitelerde ve başka bilgisayarlarda kullanmaktan kaçının.
Sizin Tavsiyeleriniz
Sizin de tavsiyelerinizle çok daha güvenli WordPress günlüklere sahip olabiliriz. Lütfen düşündüklerinizi, benim gözümden kaçanları yorumlarınızda belirtmekten çekinmeyiniz. Bu yazıya yapacağınız yorumlarda Kurulum aşamasındaki tedbirlerden bahsederseniz sevinirim. Her tedbiri ilgili yazısında tartışalım.
