Güvenlik / Security Makaleleri - Blog ve Websitesi Nasıl Güvenli Hale Getirilir

WordPress Blogu Nasıl Güvenli Hale Getirilir?

Öncelikle şunu söyleyeyim.Wordpress diğer scriptlere göre çok daha güvenlidir.Tabi güvenlik açıkları da bulunmuyor değil.Wordpress kullanırken mutlaka son sürümünü kullandığınızdan emin olun.Wordpress’in

kendisi değil ama kullanılan eklentiler büyük güvenlik tehlikesi arz eder.Genelde bloglar bu eklenti açıklarından hacklenmektedir.Dünyanın en büyük exploit sitesinden biri olan Milw0rm de arama bölümüne “Wordpress” yazarak bu durumu görebilirsiniz.Peki bu durumdan nasıl korunulur.Öncelikle Php dilini iyi biliyorsanız bu scriptlerdeki Rfi,Sql Injeksiyon gibi açıkları kendiniz giderebilirsiniz.Ancak bilmiyorsanız yapılacaklar şunlardır:

* Az ve öz eklenti kullanmaya çalışın
* wp-content/plugins dizininin görüntülenmesine izin vermeyin.İçine boş bir index.html sayfası atabilirsiniz
* Eklentilerin en son sürümünü kullanmaya dikkat edin ve fazla popüler olmayan eklentilerden kaçının

Peki Wordpress’in kendisinde bulunan açıklardan nasıl korunabiliriz.İlk söyleyeceğim şey xss,crsf ve trojan saldırılarından korunmak için İNTERNET EXPLORER’DAN VAZGEÇİN. Onun yerine çok daha güvenli bir tarayıcı olan Firefox‘u kullanabilirsiniz.Eğer mümkünse Firefox’la birlikte NoScript eklentisini de kurarsanız bu tür saldırıların %99′undan kurtulabilirsiniz.Eğer wordpress’inizde xss açığı bulunmasından korkuyorsanız Html Prufied
eklentisini kurabilirsiniz ama bence gerek yok.

Wordpress admin şifresini mutlaka güçlü yapın.İçinde büyük harf,küçük harf,sayı,sembol gibi bütün karekterleri içersin ve minumum 10 karakter olsun.

Spam ve Flood saldırılarına karşı mutlaka Akismet eklentisini etken hale getirin.Eğer Mysql’nize çok yük bindiriyorsa arama bölümünü de kaldırabilir yerine google araması koyabilirsiniz.Yorum bölgesine de bir güvenlik kodu eklentisi olan Math Comment eklentisini kurabilirsiniz.

Sunucu Nasıl Güvenli Hale Getirilir?

Sunucu güvenliği çok kapsamlı bir konudur.Windows,Linux,Bsd vs. çeşitleri vardır ama ben sunucunuzun Linux olduğunu varsayarak anlatıyorum.Öncelikle tabiki hosting seçimi çok önemli.Büyük ve kaliteli şirketlerden host alırsanız DreamHost gibi sunucu güvenliği sorununuz %98 ortadan kaybolur.Şayet Türk bir firmadan almayı düşünüyorsanız kesinlikle yine büyük ve adını duyurmuş yerleri tercih ediniz.Çünkü heryer vergisini ödemeyen çöplük hostçularla dolu.

Şimdi şundan bahsedeyim.Bilgisayar Korsanları yaptı da sunucunuza girmeyi başardı ve sizin dizininize ulaştı.Bu tür bir saldırıdan zarar görmemek için dosyaların yazma izinleri çok önemli.Yazma izinlerinizi şu şekilde ayarlarsanız güzel olur

Klasörler için: 755
Dosyalar için: 644

Bu izinleri nasıl verebilirim diyorsanız Ftp programlarında iznini değiştirmek istediğiniz dosyaya ya da klasöre sağ tıklarsınız “file” seçeneğinden “Change Attributes ya da Properties / CHMOD” seçeneklerinden düzenleriz.Tabi eğer saldırganlar sunucuda root olmayı başarabilirse bu önlemlerin bir anlamı kalmaz.O yüzden tekrar söylüyorum kaliteli bir firmadan host alınız.

Ftp,Mysql,Cpanel gibi şifrelerinizi yukarıda da dediğim gibi güçlü yapın ve hepsi aynı olmasın farklı olsun

Alan Adı Nasıl Güvenli Hale Getirilir?

Günümüzde artık alan adları da eskisi kadar güvende değil.O yüzden onun da güvenliğine dikkat etmek gerekir.İlk olarak tabiki şifrelerinizi güçlü yapın diyeceğim.Alan adları genelde alan adı şirketlerinde bulunan crsf açıklarından yararlanarak hackleniyor.Bundan korunmak için tekrar söylüyorum İnternet Explorer’dan kurtulun.Yerine daha güvenli bir tarayıcı kullanın ve birde şu önemli ki alan adınıza giriş yapıp işinizi bitirdikten sonra mutlaka çıkış yapın yani cookielerinizi temizleyin.Bu şekilde xss ve crsf saldırılarından korunabilirsiniz