WordPress sitenizi WP-Config ile nasıl güvenli hale getirirsiniz?
· Время на чтение: 6min · tarafından · Yayınlanan · GüncellenmişHer WordPress sitesi "wp-config.php" adlı bir dosya içerir.. Bu özel WordPress yapılandırma dosyası, en önemli WordPress dosyalarından biridir. Dosya, site güvenliğini artırmak için değiştirebileceğiniz birçok yapılandırma ayarı içerir. Bu yazıda, WordPress sitenizi bir WordPress yapılandırma dosyasıyla nasıl güvenli hale getireceğinizi göstereceğim.
Makalenin içeriği:
- 1. Veritabanı ön ekini değiştirin
- 2. Tema/eklenti dosyalarını düzenlemeyi devre dışı bırakın
- 3. Kullanıcıların eklentileri ve temaları yüklemesini veya güncellemesini önleyin
- 4. Güvenlik için FTP'yi Zorlayın
- 5. Güvenlik anahtarlarınızı değiştirin
- 6. "wp-config.php" dosyasını gizleyin
- 7. wp-config.php dosyanızı koruyun
Bir WordPress sitesini wp-config dosyasıyla nasıl güvenli hale getirebilirim?
1. Veritabanı ön ekini değiştirin
WordPress veritabanı tablolarınızı hiç gördünüz mü? (Bunlara web barındırma hesabınız aracılığıyla erişebilirsiniz) Veritabanında varsayılan olarak on bir tablo bulunur. Her tablonun belirli bir işlevi vardır. Örneğin, wp_posts gönderilerden, sayfalardan ve gezinme menülerinden gelen bilgileri depolar. Her tablonun işlevleri önceden tanımlandığından, bilgisayar korsanı web sitesi verilerinizin nerede saklandığını bilir. Örneğin sitenizin kullanıcılarını kullanmak istiyorlarsa "wp_users" tablosunu hedefleyebilirler.
WordPress, varsayılan olarak tüm tablolar için "wp_" önekini kullanır. Bu öneki benzersiz olarak değiştirmek, tablo adlarını gizlemeye ve WordPress sitenizi güvenli hale getirmeye yardımcı olabilir. Bunu yapmak için "wp-config" dosyasını açın.
Aşama 1: wp-config.php'ye erişmek için web barındırma hesabınızı açın ve barındırma kontrol panelinize gidin. "Dosya Yöneticisi"ni seçin ve şuna benzer bir sayfaya yönlendirileceksiniz:
Adım 2. Sol tarafta bir public_html klasörü var. Bu klasörde wp-config.php dosyasını bulacaksınız.
wp-config dosyasında aşağıdaki satırı değiştirin:
$table_prefix = ‘wp_’;
Bunu rastgele bir şeye değiştirmeniz gerekir:
$table_prefix = ‘gibrid_’;
Bu, veritabanındaki tabloların adını "wp_users" yerine "hybrid_users", "wp_posts" - "hybrid_posts" vb. olarak değiştirir.
2. Tema/eklenti dosyalarını düzenlemeyi devre dışı bırakın
WordPress kontrol paneli, eklenti/tema dosyasını düzenleme yeteneğine sahiptir. Bu, araç çubuğuna erişim ve yeterli izinler ile herkesin temalarınızı veya eklentilerinizi düzenleyebileceği anlamına gelir.
Bu kullanışlı bir araç olsa da, herhangi bir eklentiyi yeniden yapılandırmak isterseniz, bir bilgisayar korsanının elinde tehlikeli hale gelir. Örneğin, bir bilgisayar korsanının bir açıktan yararlanma yoluyla web sitenize girmeyi başardığını varsayalım. Mevcut bir eklentiye veya temaya kötü amaçlı yazılım eklemek onlar için kolaydır. Daha sonra istedikleri zaman sitenize erişmek için kullanabilecekleri bir arka kapıyı gizleyebilirler. Bu dosyaları düzenleme özelliğini devre dışı bırakarak bunu önleyebilir ve WordPress sitenizi koruyabilirsiniz. Aşağıdaki kodu WordPress yapılandırma dosyanıza koymanız yeterlidir:
define(‘DISALLOW_FILE_EDIT’,true);
3. Kullanıcıların eklentileri ve temaları yüklemesini veya güncellemesini önleyin
Kullanıcıların bu dosyaları düzenlemesini engellemek, yalnızca bir güvenlik düzeyi sunar. Bu, bilgisayar korsanlarının web sitenizi ele geçirmek için kullanabilecekleri kötü amaçlı bir eklenti yüklemelerini engellemez. Kullanıcı haklarıyla birlikte yönetici paneline erişim sağlayarak, hileli bir tema veya eklenti yükleyebilirler. Sık sık eklenti yüklemezseniz, WordPress yapılandırma dosyanıza aşağıdaki kodu ekleyerek bu seçeneği devre dışı bırakabilirsiniz:
define(‘DISALLOW_FILE_MODS’,true);
4. "FTP"nin zorunlu kullanımı
Kullanıcıların eklentileri ve temaları yüklemesini ve güncellemesini engellemek, oldukça sık eklenti yükleyen siteler için kısıtlayıcı ve hatta pratik olmayabilir. Ayrıca tema ve eklentilerin güncellenmesi site güvenliği açısından oldukça önemlidir. Eklentilerin geçerli bir kullanıcı tarafından yüklendiğinden emin olmanın alternatif bir yöntemi, kullanıcıları "FTP" verileri sağlamaya zorlamaktır. Yönetici panelinizin güvenliği ihlal edilmiş olsa bile, bilgisayar korsanları FTP kimlik bilgilerinize sahip değillerse hileli bir eklenti yükleyemezler.
Aşağıdaki satırları "wp-config.php" dosyanıza eklemeniz yeterlidir:
define(‘FS_METHOD’, ‘ftpext’);
Web barındırıcınız veya sunucunuz FTPS'yi destekliyorsa, yapılandırma dosyasına aşağıdaki satırları ekleyin:
define(‘FTP_SSL’, true);
Web barındırıcınız veya sunucunuz "SFTP"yi destekliyorsa, aşağıdaki satırları ekleyin:
define(‘FS_METHOD’, ‘ssh2’);
5. Güvenlik Anahtarlarını Değiştirin
Sitenize her giriş yapmanız gerektiğinde kimlik bilgilerinizi girmeniz gerekmez. Tarayıcınızın bu kimlik bilgilerini nasıl sakladığını hiç merak ettiniz mi? Hesabınıza giriş yaptıktan sonra, giriş bilgileriniz şifrelenmiş olarak bir tarayıcı tanımlama bilgisinde saklanır. Güvenlik anahtarları, bu şifrelemeyi geliştirmeye yardımcı olan rastgele değişkenlerdir. Siteniz saldırıya uğrarsa, gizli anahtarların değiştirilmesi çerezleri geçersiz kılar ve her aktif kullanıcıyı otomatik olarak çıkış yapmaya zorlar. Sıfırlamadan sonra bilgisayar korsanı, WordPress yöneticinize erişimini kaybeder. Yeni bir güvenlik anahtarı seti oluşturabilir ve bunları "wp-config" dosyasına yerleştirebilirsiniz. Bu, WordPress sitenizin güvenliğini sağlamaya yardımcı olacaktır.
6. "wp-config.php" dosyasını gizleyin
Herhangi bir WordPress sitesinde, wp-config dosyası varsayılan bir konuma sahiptir. Bu nedenle, dosyanın konumunu değiştirmek, bilgisayar korsanlarının eline geçmesini engelleyebilir. Neyse ki WordPress, "wp-config" klasörünün WordPress kurulumunuzun dışında kalmasına izin verir. Örneğin, WordPress'iniz public_html klasörüne kuruluysa, yapılandırma dosyası varsayılan olarak public_html klasöründe bulunur. Ancak wp-config'i public_html klasörünün dışına taşıyabilirsiniz ve yine de çalışır.
7. wp-config.php dosyasını koruyun
Konfigürasyon saldırılara karşı savunmasızdır ve güvenliğini sağlamayı zorunlu kılar. Bunu yapmanın bir yolu, bilgisayar korsanlarının onu varsayılan konumda bulamaması için konumunu değiştirmektir. Bazı geliştiriciler buna itiraz etse de birçok kişi bunun iyi bir fikir olduğunu düşünüyor.
Alabileceğiniz bir diğer güvenlik önlemi de dosya izinlerini kısıtlamaktır. Dosya izinlerini 600 olarak ayarlayın, böylece yalnızca orijinal sahipler wp-config.php dosyasını düzenleyebilir. wp-config dosyasının iznini değiştirmek için dosyayı seçin ve ardından İzin seçeneğini seçin.
Ardından, bilgisayar korsanlarının wp-config dosyasını doğrudan tarayıcıdan yüklemesini önlemek için .htaccess dosyanıza aşağıdaki satırları eklemeniz gerekir.
#, wpconfig.php'yi korur sipariş ver, reddet, hepsini reddet
Nihayet
Burası, WordPress sitenizi bir wp-config dosyasıyla nasıl güvence altına alacağınızı anlattığım yer, ancak bu, sitenizin güvenliğini artırmanın birçok yolundan yalnızca biri. Alabileceğiniz diğer bazı güvenlik önlemleri arasında güvenlik eklentisi kullanmak, SSL sertifikası kullanmak, benzersiz ve güçlü bir kullanıcı adı ve parola kullanmak, HTTP kimlik doğrulaması ve iki faktörlü kimlik doğrulama uygulamak yer alır. Ancak bu yöntemlerden herhangi birini uygulamadan önce sitenizin yedeğini almalısınız. Bir şeyler ters giderse, yedeğinizi geri yükleyebilir ve sitemizi hızlı bir şekilde çalışır duruma getirebilirsiniz.
Bu makaleyi okumak:
- Siteler arası komut dosyası çalıştırma nasıl engellenir?
- WordPress Pharma Hack nedir ve Nasıl Temizlenir?
Okuduğunuz için teşekkürler: SEO YARDIMI | NICOLA.ÜST