Temel WordPress Güvenliği

Temel wordpress Güvenliği
1)Bilgisayar Güvenliğiniz (Kişisel güvenlik):
Her güvenlik önleminin başında kişisel bilgisayar güvenliği gelmektedir. Temel olarak bunlar, sağlıklı ve karmaşık şifreleme yöntemleri, güncel antivirüs programları kullanma, girilen web sitesinin güvenirliği, internet üzerinden indirilen dosyaların taranması ve güvenilir olmayan sitelerden download yapılmaması, dosya alış verişlerini mümkün mertebede yapmamak, ortak kullanılan ağlarda dosya paylaşımlarınıza sınırlandırma getirmek, tanımadığınız kişilerden gelen e-mailleri açarken veya okurken daha dikkatli olmak-mümkünse bu tip maillere hiç bakmamak  – başlıca kişisel güvenlik için alınabilecek

tedbirlerdendir. Bu konuda ayrıntılı bilgi edinmek için Cyber-Warrior Forumlarında arama yapabilir, dökümanlar kısmında güvenlik ile ilgili makaleleri
okuyabilirsiniz.
2)Yönetici, Sunucu, Domain Vs. Şifre Mahremiyeti:
-Sunucu Güvenliği
Kullanmakta olduğunuz hosting sağlayıcının güvenlik ile ilgili uygulamaları hakkında bilgi isteyin. Güvenliğinden emin olmadığınız, adı sanı duyulmamış
kıyı köşe hosting firmalarını tercih etmeyiniz.
-Domain Güvenliği
Mevcut domainizi korumak için domaini kayıt yaptırdığınız e-mailinizi, accountlarınızı ve şifrelerinizi başka bir web sitesinde, forumda vs. yerde kullanmamaya dikkat ediniz. Çünkü, sizlerin de bildiği gibi sosyal mühendisliğin sınırları yok. :) Ayrıntılı bilgiye yine Cyber-Warrior forumlarından
ulaşabilirsiniz.

-Şifre Mahremiyeti

Yönetici-administrator,domain, ftp, host vs. şifrelerinizi kimse ile paylaşmayınız. Kişisel güvenliğinize dikkat ediniz.

3)Güvenlik Açığı Olan wordpress Sürümleri Ya Da Eklentileri – Güncellemeler:
Eski wordpress sürümlerinde güvenlik açığı olabilir. Örneğin; (wordpress 2.6.1 sürümü için 2008-09-07 tarihinde yayınlanmış sql sütun kesintisi açığı ayrıntı için: http://www.onuryilmaz.info/Icerik/12-sql-sutun-kesintisi-aciklari.aspx ) Bu sebepten, daima güncel wordpress sürümünü kullanmak sizin
için avantajlıdır. Güncelleştirmeler ile ilgili uyarılar zaten wordpress admin alanında sizin karşınıza çıkmaktadır.
Kullandığınız wordpress eklentisinin ya da temanın açığı olabilir. Bu yüzden, wordpress sürümü kadar, eklentilerinizi de güncel tutmaya özen gösterin.
Açık olup olmadığını wordpress geliştiricilerinin sitelerinden takip edin.
wordpress eklenti dizinine ( wp-content/plugins/ ) oluşturduğunuz index dosyasını atarak, mevcut eklentilerin ve ya eski eklentilerin görüntülenmesini
engelleyiniz yada sitenizin kullanıcı panelinden, hosting ayarlarından, (permission-chmod ayarlamalarını yapınız.) wordpress, normal dizinleri için chmod 755, configirasyon dosyaları için 644 yeterli olacaktır.
(burada yazan needed chmod yazanlar gerekli izinlerdir)
Eğer eski bir wordpress sürümü kullanıyorsanız, header dosyalarında yer alan ve wordpressin sürümünü gösteren kodu
“<meta name=”generator” content=”wordpress <?php bloginfo(’version’); ?>” />”temanızdan siliniz.
Neden olduğunu bilirsiniz, genellikle google searchden arama yapılıyor ;)
4)Yedekleme:

wordpressinizi belirli peryotlarla yedekleyiniz. Bu yedeği phpmyadmin’den db yedeği alarak yapabilirsiniz. Eğer, phpmyadmine erişim hakkınız yoksa -ki
düşük bir seçenktir, bazı hostlar bunu kısıtlar- teknik destek yetkililerinden database yedeğinizi alınız.
Bazı Notlar:
* wp-admin klasörünün güvenliği için eklentiler mevcuttur.Örneğin Login Lockdown eklentisi ile şifre deneme sayısını sınırlandırabilir,
AskApache Password Protect eklentisi ile ikinci bir şifreleme kullanabilirsiniz.
* wp-admin dizinin altına .htaccess dosyası oluşturak belli iplerin girişlerine izin verebilirsiniz
Örnek .htaccess dosyası içeriği;
“AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 64.233.169.99
# whitelist work IP address
allow from 69.147.114.210
allow from 199.239.136.200
# IP while in Kentucky; delete when back
allow from 128.163.2.27″
(Allow from yazan ipler izin verilen ipler.)
* Kendinize yeni bir kullanıcı hesabı açıp, ona administrator yetkisi verin, admin rümuzunun yetkilerini alın.
Bu konu hakkında bilgilerinizi paylaşabilir, konuyu çeşitlendirip, görüşlerinizi bilgilerinizle konuyu destekleyebilirsiniz.

Saygılar..

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Temel WordPress Güvenliği GÃ¶nderim ZamanÄ±: 24-08-2009 Saat 00:43
	Temel wordpress Güvenliği 1)Bilgisayar Güvenliğiniz (Kişisel güvenlik): Her güvenlik önleminin başında kişisel bilgisayar güvenliği gelmektedir. Temel olarak bunlar, sağlıklı ve karmaşık şifreleme yöntemleri, güncel antivirüs programları kullanma, girilen web sitesinin güvenirliği, internet üzerinden indirilen dosyaların taranması ve güvenilir olmayan sitelerden download yapılmaması, dosya alış verişlerini mümkün mertebede yapmamak, ortak kullanılan ağlarda dosya paylaşımlarınıza sınırlandırma getirmek, tanımadığınız kişilerden gelen e-mailleri açarken veya okurken daha dikkatli olmak-mümkünse bu tip maillere hiç bakmamak – başlıca kişisel güvenlik için alınabilecek tedbirlerdendir. Bu konuda ayrıntılı bilgi edinmek için Cyber-Warrior Forumlarında arama yapabilir, dökümanlar kısmında güvenlik ile ilgili makaleleri okuyabilirsiniz. 2)Yönetici, Sunucu, Domain Vs. Şifre Mahremiyeti: -Sunucu Güvenliği Kullanmakta olduğunuz hosting sağlayıcının güvenlik ile ilgili uygulamaları hakkında bilgi isteyin. Güvenliğinden emin olmadığınız, adı sanı duyulmamış kıyı köşe hosting firmalarını tercih etmeyiniz. -Domain Güvenliği Mevcut domainizi korumak için domaini kayıt yaptırdığınız e-mailinizi, accountlarınızı ve şifrelerinizi başka bir web sitesinde, forumda vs. yerde kullanmamaya dikkat ediniz. Çünkü, sizlerin de bildiği gibi sosyal mühendisliğin sınırları yok. :) Ayrıntılı bilgiye yine Cyber-Warrior forumlarından ulaşabilirsiniz. -Şifre Mahremiyeti Yönetici-administrator,domain, ftp, host vs. şifrelerinizi kimse ile paylaşmayınız. Kişisel güvenliğinize dikkat ediniz. 3)Güvenlik Açığı Olan wordpress Sürümleri Ya Da Eklentileri – Güncellemeler: Eski wordpress sürümlerinde güvenlik açığı olabilir. Örneğin; (wordpress 2.6.1 sürümü için 2008-09-07 tarihinde yayınlanmış sql sütun kesintisi açığı ayrıntı için: http://www.onuryilmaz.info/Icerik/12-sql-sutun-kesintisi-aciklari.aspx ) Bu sebepten, daima güncel wordpress sürümünü kullanmak sizin için avantajlıdır. Güncelleştirmeler ile ilgili uyarılar zaten wordpress admin alanında sizin karşınıza çıkmaktadır. Kullandığınız wordpress eklentisinin ya da temanın açığı olabilir. Bu yüzden, wordpress sürümü kadar, eklentilerinizi de güncel tutmaya özen gösterin. Açık olup olmadığını wordpress geliştiricilerinin sitelerinden takip edin. wordpress eklenti dizinine ( wp-content/plugins/ ) oluşturduğunuz index dosyasını atarak, mevcut eklentilerin ve ya eski eklentilerin görüntülenmesini engelleyiniz yada sitenizin kullanıcı panelinden, hosting ayarlarından, (permission-chmod ayarlamalarını yapınız.) wordpress, normal dizinleri için chmod 755, configirasyon dosyaları için 644 yeterli olacaktır. (burada yazan needed chmod yazanlar gerekli izinlerdir) Eğer eski bir wordpress sürümü kullanıyorsanız, header dosyalarında yer alan ve wordpressin sürümünü gösteren kodu “<meta name=”generator” content=”wordpress <?php bloginfo(’version’); ?>” />”temanızdan siliniz. Neden olduğunu bilirsiniz, genellikle google searchden arama yapılıyor ;) 4)Yedekleme: wordpressinizi belirli peryotlarla yedekleyiniz. Bu yedeği phpmyadmin’den db yedeği alarak yapabilirsiniz. Eğer, phpmyadmine erişim hakkınız yoksa -ki düşük bir seçenktir, bazı hostlar bunu kısıtlar- teknik destek yetkililerinden database yedeğinizi alınız. Bazı Notlar: * wp-admin klasörünün güvenliği için eklentiler mevcuttur.Örneğin Login Lockdown eklentisi ile şifre deneme sayısını sınırlandırabilir, AskApache Password Protect eklentisi ile ikinci bir şifreleme kullanabilirsiniz. * wp-admin dizinin altına .htaccess dosyası oluşturak belli iplerin girişlerine izin verebilirsiniz Örnek .htaccess dosyası içeriği; “AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all # whitelist home IP address allow from 64.233.169.99 # whitelist work IP address allow from 69.147.114.210 allow from 199.239.136.200 # IP while in Kentucky; delete when back allow from 128.163.2.27″ (Allow from yazan ipler izin verilen ipler.) * Kendinize yeni bir kullanıcı hesabı açıp, ona administrator yetkisi verin, admin rümuzunun yetkilerini alın. Bu konu hakkında bilgilerinizi paylaşabilir, konuyu çeşitlendirip, görüşlerinizi bilgilerinizle konuyu destekleyebilirsiniz. Saygılar..