WordPress Güvenlik Önlemleri

Bu yazıyı 18 dakikada okuyabiliriniz.
18 Nisan 2019


WordPress güvenlik önlemleri sayesinde, web sitenizi saldırganlardan kolaylıkla koruyabilirsiniz. Sizin için, tam 42 adımdan oluşan bir rehber hazırladım. Yorumlarınızı ve sorularınızı bekliyorum. İyi okumalar!



İçindekiler

En Önemlisi: Kişisel Güvenlik

En önemli ve olmazsa olmaz güvenlik adımı, kişisel verilerinizin güvenliğidir. Eğer ki blogunuza eriştiğiniz cihazda virüs varsa, herkese açık ve güvenli olmayan bir ağ kullanıyorsanız ve/veya cPanel, hosting, blog şifreleriniz güvende değilse, WordPress güvenlik önlemleri hiçbir işe yaramazlar. Bunun için, öncelikle WordPress’e eriştiğiniz cihazın, kullandığınız ağın ve şifrelerinizin tamamen güvende olduğundan emin olun.

Hosting (barındırma hizmeti)

Kullandığınız barındırma hizmeti, yalnızca web sitenizin güvenliği için değil; kayıt olurken ve ödeme yaparken verdiğiniz bilgilerin güvenliği, sorunlarınızı çözecek müşteri temsilcileri, web sitesinin hızı, sunucuların güvenliği ve erişilebilirliği gibi kritik alanlarda çok büyük önem arz etmektedir. Bu yüzden, mutlaka ve mutlaka kaliteli bir hosting firması ile çalışın. 5-10 TL kâr etmek için emeklerinizi çöpe atmayın. Webmaster forumlarında sıkça adından bahsedilen, tercihen uluslararası hizmet veren, Godaddy gibi büyük firmalardan hizmet almaya özen gösterin. Ucuz ve kalitesiz hostinglerde, hosting firmasındaki bir sitenin hacklenmesi sonucunda, sizin web siteniz de kolaylıkla hacklenebilir. Acemilik tecrübesidir, benden söylemesi… Hosting hesabınızın güvenliğini almayı ve mutlaka iki adımlı doğrulamayı etkinleştirmeyi unutmayın.

Güncellemeler

Güncellemeler, yalnızca WordPress için değil, internete bağlı olan her ürün ve servis için çok büyük önem arz etmektedir. Bu yüzden, WordPress’in ve onun içinde bulunan temalar ile eklentilerin daima güncel olması gerekmektedir. Ayrıca, PHP’nin de en güncel sürümünü kullanmanızı tavsiye ederim.

WordPress’in otomatik olarak güncellenmesini istiyorsanız, aşağıdaki kodu “wp-config.php” dosyasının en alt kısmına ekleyin:

Temaların otomatik olarak güncellenmesini istiyorsanız, aşağıdaki kodu “functions.php” dosyasının en alt kısmına ekleyin:

Eklentilerin otomatik olarak güncellenmesini istiyorsanız, aşağıdaki kodu “functions.php” dosyasının en alt kısmına ekleyin:

“admin” Kullanıcı adını kullanmayın

Bilindik kullanıcı adı ve şifreler her zaman tehlikelidir. Brute-froce saldırıları, çok kullanılan kullanıcı adı ve şifrelerini deneyerek gerçekleştirilmektedir. Kullanıcı adı ve şifreniz ne kadar özgün olursa, güvenliği de o kadar artar. Kullanıcı adınızı nasıl değiştireceğinizi bilmiyorsanız, WordPress kullanıcı adını değiştirme yazımızı okuyabilirsiniz.

Kullanıcı adınızı gizleyin

Sisteme giriş yaparken kullandığınız kullanıcı adının, herkes tarafından görünebiliyor olması çok risklidir. Brute-force saldırılarında, saldırganların işini kolaylaştırmış olursunuz. Şimdi, kullanıcı adını nasıl gizleyeceğimize bakalım:

  1. WordPress’ e giriş yapın.
  2. Soldaki menüden “Kullanıcılar” bölümüne, oradan da “Profiliniz” sayfasına gelin.
  3. Ad, soyad veya “Kullanıcı adı (gerekli) ” bölümlerinden herhangi birisini veya istediklerini doldurun.
  4. “Herkes tarafından görülecek ad” kısmında, giriş yaparken kullandığınız kullanıcı adı hariç, herhangi birisini seçin.
  5. Şimdi, cPanel’e ve ardından da phpMyAdmin’e giriş yapın.
  6. WordPress’e ait veritabanını açın.
  7. ” wp-users” tablosuna gelin. (Ön ekini değiştirmiş olabilirsiniz.)
  8. Burada, “user_login” sizin giriş yaparken kullanacağınız kullanıcı adınızdır. “user_nicename” ise, yazar url’sini oluşturmaktadır.
  9. “user_nicename” tablosunu istediğiniz bir şey yapabilirsiniz
  10. “siteadresiniz.com/author/user_nicename_kullanici_adiniz” bağlantısını takip ederek, kullanıcı adınızı test edebilirsiniz.

Şifre güvenliği

Güvenli şifreler kullanmak, internet ortamındaki birinci kuraldır. Şimdi gelin, nasıl güvenli bir şifre oluşturacağınıza bakalım:

  • Herkes tarafından kullanılan, kolay ve tahmin edilebilir şifreleri kullanmayın. (Örnek: 123456, password, qwert vb…)
  • Şifrenizde kişisel bilgileriniz bulunmasın. TC kimlik numaranız, ilkokul numaranız, adınız gibi bilgileri şifrelerinizde kullanmayın. Bu tür özel bilgilerinize başkaları erişebilir ve şifrelerinizi tahmin edebilirler.
  • Uzun şifreler kullanın. Şifreniz ne kadar kısa olursa, tahmin edilebilir olması o kadar kolaylaşır.
  • Büyük harfler, küçük harfler, rakamlar ve özel sembolleri mutlaka kullanın.
  • Her web sitesinde veya uygulamada farklı şifreler kullanın.
  • Şifrelerinizi, kesinlikle güvensiz bir biçimde saklamayın (Şifreler.txt).
  • Güvenli bir şifre yöneticisi kullanın. Güvenliğini sağlayabileceğinizi düşünüyorsanız, mutlaka bir şifre yöneticisi kullanın. “Güvenliğini sağlayabileceğinizi düşünüyorsanız” dedim, çünkü şifre yöneticinizin güvenliğini sağlayamazsanız tüm hesaplarınız, hiç olmadığı kadar kolaylıkla çalınabilir. Şifre yöneticisinin açık kaynak kodlu olmasına ve iki adımlı doğrulama kullanmaya mutlaka özen göstermenizi tavsiye ederim. Güvenli bir şifre yöneticisi arıyorsanız buraya göz atabilirsiniz.
  • Hızlıca, güvenli şifreler oluşturmak için, kendi hazırladığımız şifre oluşturma aracını kullanabilirsiniz.

Kullanmadığınız WordPress hesaplarını silmeyi unutmayın

Kullanmadığınız WordPress hesaplarını silmeyi unutmayın. Gerekli olmadığı takdirde, özeliikle de yeni bir yönetici hesabı oluşturmamaya dikkat edin. Ayrıca, yukarıda anlattığımız kullanıcı adı gizlemeyi ve güvenli şifre oluşturmayı, yönetici rolündeki diğer hesaplarınıza uygulamayı da unutmayın.

Kullanmadığınız temaları ve eklentileri silin

Kullanmadığınız temaları ve eklentileri silmeyi unutmayın. Bu eklentiler, devre dışı olsa bile, oluşabilecek herhangi bir açıkta sitenizi tehdit etmektedirler.

Bir editör hesabı kullanın

Yalnızca içerik yayınlamak için kullanacağınız yeni bir editör hesabı oluşturabilir, gerekmedikçe yönetici hesabını kullanmamayı tercih edebilirsiniz. Bu size, kullanıcı bilgileriniz çalınması durumunda güvenlik sağlayacaktır.

Kullanıcı izinlerini kontrol edin

Oluşturduğunuz her kullanıcının izinlerini mutlaka kontrol edin. Kullanıcı rollerini geliştirmek için User Role Editor eklentisini kullanabilirsiniz.

Düzenli yedek alın

Düzenli yedek almayı ihmal etmeyin. Arıca, düzenli yedekleme hizmeti sunan hosting servisleri kullanmayı da düşünebilirsiniz. Düzenli yedek almak, hem olası bir saldırı, hem de olası bir hata durumunda sizi kurtaracaktır. Yedekleme için cPanel’i veya çeşitli WordPress eklentilerini kullanabilirsiniz. Yedeklerinizin güvenliğini sağlamayı kesinlikle ihmal etmeyin. Unutmayın, yedekleriniz, web sitenize ait tüm bilgileri (wordpress kullanıcılar, mysql şifresi vb…) içermektedir. Yedekleri bulundurduğunuz e-posta adresinin veya cihazınızın güvenli olduğuna ve yedekleme arşivinizin güvenli bir şifre ile korunduğundan emin olun. Korunmaz ise, aldığınız wordpress güvenlik önlemleri bile hacklenmiş olacak!

Eşsiz doğrulama anahtarlarını değiştirin

wp-config.php dosyasına göz attıysanız, aşağıda yer alan satırları görmüşsünüzdür. (Buradaki bilgileri lütfen kullanmayın!)

Bu, çerezlerin şifrelenmesi gibi alanlarda kullanılıyor. Yeni doğrulama anahtarları almak için,
https://api.wordpress.org/secret-key/1.1/salt adresini ziyaret edebilir ve burada verilen eşsiz anahtarları, wp-config.php dosyasındakiler ile değiştirebilirisiniz. Bunları değiştirdiğiniz zaman tekrar giriş yapmanız gerekecek.

Bilinmeyen kaynaklardan eklenti veya tema yüklemeyin

Bilmediğiniz, güvenilir olmayan kaynaklardan indirdiğiniz eklentileri ve temaları yüklemeyin. Yalnızca wordpress.org üzerinden, veya ThemeForest gibi sitelerden indirdiğiniz eklenti ve temaları yükleyin. Bu tür bir yükleme yapmak zorundaysanız da, mutlaka tema veya eklenti dosyalarının içeriğini kontrol edin. Hatırlatmakta fayda var: WordPress’i de yalnızca wordpress.org adresinden indirin.

Ücretli tema ve eklentileri ücretsiz olarak kullanmayın (Nulled/Warez’den uzak durun!)

Hiç kimse, ücretli bir şeyi satın alıp, ardından kodlarını değiştirmeye vakit ayırıp, bunu sizinle bedavaya paylaşmaz. Bu tür tema, eklenti, program, script, oyun gibi her dosyanın içinde yüksek ihtimalle virüs olmaktadır. Bu tür tema ve eklentilerden kesinlikle uzak durun. Bununla ilgili, bu bağlantıda yer alan yazıya göz atmanızı mutlaka tavsiye ederim.

Giriş hata mesajlarını gizleyin

Giriş yaparken görünen hata mesajları (kullanıcı adı yanlış, şifre yanlış), kullanıcı adı ve şifrenizin bulunmasını kolaylaştırabilir. Aşağıdaki kodu, temanızın functions.php dosyasına eklerseniz, giriş yaparken bir hata oluşursa, detaylarını vermeden yalnızca “Bir hata oluştu!” mesajı görünecektir.

Dizin taramayı devre dışı bırakın

Dizin tarama, web sitenizdeki tüm dosyaların, rahatça listelenerek görünebilmesini sağlar. Bu, çoğu zaman web siteleri için tehlikeli olmaktadır. Örnek: dizin tarama kullanılarak, WordPress’de yüklü eklentileriniz taranabilir ve bu eklentilerin de açıkları kullanılarak web sitenize yetkisiz erişimler sağlanabilir. Bunu kapatmak için, “.htaccess” dosyanıza aşağıdaki kodu eklemelisiniz.

XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress’i özellikle de mobil cihazlarınızda kullanmak için, otomatik olarak aktif bulunmaktadır (Android ve IOS için WordPress uygulamalarının çıkmasından itibaren). Bu dosya, WordPress’e giriş yapmaya yaramaktadır. Bu da, brute force saldırılarının önünü açmaktadır. XML-RPC’yi devre dışı bırakmanızı kesinlikle öneririm.

XML-RPC’yi devre dışı bırakmak için, aşağıdaki kodu temanızın “.htaccess” dosyasına ekleyin.

XML-RPC servisini kullanmak için, belirli IP adreslerine izin verebilirsiniz. Bunun için, “</Files>” kodundan önceki satıra “allow from 1.1.1.1” kodunu eklemelisiniz. (1.1.1.1 yerine kendi IP adresinizi yazmalısınız.)

Bazı dizinlerde .php çalışmasını engellemek

Çeşitli açıklar yüzünden web sitenize dosya yüklenebilir. Bazı eklenti açıkları, daha önce de görüldüğü üzere, wp-content/uploads klasörüne dosya yüklemeye izin verebiliyor. Bu durumlarda, web sitenize yüklenen bir php dosyası (shell) ile, tüm dosyalarınıza, veritabanına erişilebilir ve web siteniz hacklenebilir. Bunu engellemek için /wp-includes/, wp-content/uploads/ ve wp-content dizininde “.htaccess” dosyası oluşturun (her üç klasörde de) ve içine aşağıdakileri yazın:

Dosya düzenlemeyi devre dışı bırakmak

Dosya düzenlemeyi devre dışı bırakırsanız, WordPress panelinizde eklentilerin ve temaların kodlarını düzenleyemezsiniz. Bunun yerine FTP kullanabilirsiniz. Bunu yapmak, hesabınızın çalınması durumunda fazlasıyla faydalı olacaktır.

wp-config.php dosyasına, aşağıdaki kodu ekleyerek dosya düzenlemeyi devre dışı bırakabilirsiniz.

wp-config.php güvenliği

wp-config.php, kimsenin erişmemesi gereken, içinde veritabanı bilgilerinizin bulunduğu, WordPress’in olmazsa olmaz dosyasıdır. Bu dosyanın güvenliği = WordPress’in güvenliği desek yanlış olmaz. Bu dosyayı korumak için 2 önemli, 1 de isteğe bağlı yol bulunuyor.

1-) Chmod değeri

wp-config.php dosyasının güvenliği için tavsiye edilen chmod değeri 400’dür. Bunu, cPanel’de bulunan dosya yöneticisinden ayarlamanız daha sağlıklıdır.

2-) .htaccess ile erişimi engellemek

wp-config.php dosyasına erişimi engellemek için, ana dizinde bulunan .htaccess dosyasına aşağıdaki kodları ekleyin:

3-) wp-config.php dosyasını şifrelemek (isteğe bağlı)

wp-config.php dosyasını şifrelemek, onu korumanın gerçekten çok iyi bir yoludur. Bunun için ionCube kullanmanızı tavsiye ederim. Ücretli ancak en güvenlisidir. (Hosting’in ionCube destekli olması gerekir.) Detaylar için https://www.ioncube.com/ sayfasını ziyaret edebilirsiniz.

.htaccess dosyasının güvenliği

Aşağıdaki kodu kullanarak, “.htaccess” dosyasına erişimleri engelleyebilirsiniz. Kullanmak için, bu kodu .htaccess dosyasına ekleyin.

WordPress sürüm numarasını gizleyin

WordPress sürümünüzü güncel tutmaya özen göstermelisiniz. Bu, özellikle de WordPress’in güvenliği açısından çok önemlidir. Önceki sürümde bulunan bir açık ile web sitenize zarar verilebilir. Bizim ekleyeceğimiz kod da tam olarak burada devreye giriyor. Hackerlar, saldıracakları web sitelerini belirlemek için çeşitli dorklar kullanabilmektedirler. Örnek verelim: siz, web sitenizde 5.0 sürümlü WordPress’i kullanıyor olun. WordPress’in 5.0 sürümünde çok önemli bir açık keşfedildi ve siz de WordPress’i güncellemediniz, ayrıca kullandığınız WordPress sürümünün 5.0 olduğu da herkes tarafından görünebiliyor (özellikle de arama motorlarında). Bu durumda, web sitenizin saldırganlar tarafından hedef alınması çok yüksek bir ihtimaldir. Bu ekleyeceğimiz kod sayesinde, sürüm numaranızı kolaylıkla gizleyebilirsiniz.

Veritabanının ve veritabanı kullanıcısının güvenliği

Veritabanının ve bu veritabanına eklediğiniz kullanıcının güvenli şifreler kullanıyor olmasına dikkat edin. cPanel’den şifreleri değiştirdikten sonra, wp-config.php dosyasındaki şifreleri güncellemeyi de unutmayın.

Veritabanı tablo ön ekini değiştirin

Varsayılan olarak kullanılan “wp_” ön ekini mutlaka değiştirin. Bunun için phpMyAdmin’i veya Change Table Prefix eklentisini kullanabilirsiniz.

Captcha (güvenlik sorusu) kullanın

Yorum ve iletişim formunda spamı, giriş yapma sayfasında da brute force saldırıları engellemek için bir captcha eklentisi kullanabilirsiniz. Bunun için, sizlere tavsiyem Google Invisible reCaptcha eklentisidir. Google’ın invisible recaptcha’sı ile hem gerçek ziyaretçilerinizi trafik lambalarından büyük ölçüde kurtarır, hem de botları başarıyla engelleyebilirsiniz.

SSL kullanın

Web sitenizdeki çerezlerin güvenilirliğini sağlamak, kullanıcılara güven vermek ve SEO optimizasyonu için mutlaka SSL kullanın. cPanel’den veya Cloudflare’den ücretsiz SSL alabilirsiniz. SSL’i aktifleştirdikten sonra, gerekli yönlendirmeleri yapmayı unutmayın. Bunun için Really Simple SSL eklentisini tavsiye ederim. Ayrıca, aşağıdaki kodu wp-config.php dosyasına ekleyerek, SSL kullanımını zorunlu kılabilirsiniz:

Giriş yapma adresini gizleyin

Eğer ki üyelik sistemi olan bir web siteniz yoksa, mutlaka wp-login.php dosyasının adresini değiştirin. Bunu yapmak için WPS Hide Login eklentisini kullanabilirsiniz. Eklentiyi kurduktan sonra, menüden Ayarlar>Genel sayfasının en alt kısmına bakın. “WPS Hide Login” başlıklı formu göreceksiniz. “Login url”, yeni giriş yapma adresinizi oluşturacaktır. Bunu, istediğiniz her şey yapabilirsiniz. (gris-yap veya giris gibi tahmin edilebilir veya admin paneli tarayıcılar ile bulunabilir adresler oluşturmamaya özen gösterin. Tıpkı bir şifre gibi tahmin edilemez olsun.)

İki adımlı doğrulama kullanmak

Eğer ki WordPress güvenliğini daha da arttırmak istiyorsanız, kullanıcı girişleri için iki adımlı doğrulamayı zorunlu kılan eklentileri kullanmayı düşünebilirsiniz.

FTP yerine SFTP kullanabilirsiniz

Web sitemizi düzenlerken, birçoğumuz varsayılan olarak FTP kullanıyoruz. SFTP, FTP’den farklı olarak, SSH aracılığıyla güvenli aktarım yapabilmenizi sağlar. “wp-config.php” gibi kritik dosyaları aktardığımızı düşünürsek, SFTP kullanmak çok daha mantıklı oluyor. Bunun için gerekli yapılandırmayı cPanel’de bulabilir veya hosting firmanıza danışarak elde edebilirsiniz. Unutmadan şunu da söyleyeyim: Bildiğiniz gibi, cihazlarımızda sildiğimiz hiçbir dosya kalıcı olarak silinmiyor. Bu da demek oluyor ki, örneğin wp-config.php dosyanızı düzenlediniz ve aktardıktan sonra da sildiniz. Bu dosya veya aktardığınız diğer dosyalar kolaylıkla geri getirilebilir. Bunu engellemek için, CCleaner veya BleachBit (Açık kaynak kodlu & ücretsiz) gibi yazılımlar ile boş disk alanını silebilirsiniz.

Giriş yapma denemelerini kontrol altına alın

Brute force saldırıları, art arda giriş yapmayı deneyerek, kullanıcı adı ve şifreyi bulmayı amaçlar. Limit Login Attempts Reloaded gibi eklentiler kullanarak, giriş yapma denemeleri için bir limit belirleyebilirsiniz. Belirlediğiniz limiti aşarak, çok fazla giriş yapmayı deneyen kullanıcılar için giriş yapmayı bir süre askıya alabilir veya IP adreslerini engelleyebilirsiniz.

Robots.txt ve güvenlik

Robots.txt dosyası, doğru kullanıldığı zaman işlevsel, yanlış kullanıldığında da çok zararlı olmaktadır. Bu dosya, kısaca, Google Search Bot gibi robotlara talimat vermektedir (hangi dizinleri indexleyeceği, sitemap dosyasının nerede bulunduğu gibi). Ben, kullanmanızı tavsiye ettiğim robots.txt kodlarını paylaşacağım. Bunun haricinde bir şey eklemek isterseniz dikkatli olmalısınız. Birazcık bilgisi olan birçok hacker, her şeyden önce sizin web sitenizdeki Robots.txt dosyasına bakar. İşte tam da burada, ihmal etmemeniz gereken bir şey var: Siz, google’da görünmesin diye tüm önemli dizinleri ve dosyaları buraya yazarsanız, saldırganlara bizzat kendiniz hedef göstermiş, kolaylık sağlamış olursunuz. Mesela, wp-admin klasörünü gizlediyseniz, yeni admin paneli url’sini buraya yazmamalısınız. Bunun kontrolü için, düzenli olarak, her webmaster’in ve/veya blog sahibinin yapması gerektiği gibi, düzenli olarak Google’da veya diğer arama motorlarında sitenize ait indexleri takip edin. (Google’a , site:isimsizblog.com yazdığınız zaman, isimsizblog.com alan adındaki tüm indexler görünmektedir. İstemediğiniz url’leri kaldırmak için Google Webmaster Tools’u kullanabilirsiniz.) Benim kullandığım robots.txt dosyasına bakmak için buraya tıklayabilirsiniz.

Eklentiler

WordPress için bir kural vardır: ne kadar az eklenti; o kadar hız ve güvenlik. Olabildiğince az eklenti kullanmaya özen göstermeli, kullanmadığınız eklentileri mutlaka silmelisiniz. Bilginiz olsun, birçok WordPress sitesi, kullanılan eklentilerin yarattığı açıklar yüzünden hackleniyor.
Ben de bu yüzden, en azından bu yazıda güvenlik eklentilerine pek yer vermedim. Sağlam bir hosting + Cloudflare + bu makaledeki ve öğrendiğiniz diğer güvenlik önlemleri ile, yeterli seviyede WordPress güvenliğini sağlayabileceğinizi düşünüyorum.

Dosya ve klasör izinleri

Dosya ve klasör izinleri (chmod), dosyalarına olan erişimi denetler. Aşağıdaki dosya izinleri, tavsiye edilen değerlerdir. wp-config.php için 0400 değerini de uygulayabilirsiniz.

Dosya/KlasörYetki
Ana dizin (public_html)0755
wp-includes/0755
.htaccess
0644
wp-admin/index.php0644
wp-admin/js/0755
wp-content/themes/0755
wp-content/plugins/0755
wp-admin/0755
wp-content/
0755
wp-config.php0444

Kötücül sorguları engelleyin

Web sitenize sızmak için kullanılan kötücül sorguları (SQL injection, eval base64 vb…) engellemeniz yararlı olacaktır. Bunun için üç yöntem bulunuyor: Birincisi .htaccess ile, ikincisi eklenti ile, üçüncüsü de functions.php dosyasına ekleme yaparak kötü sorguları engelleme. Eklenti kullanmak istiyorsanız BBQ: Block Bad Queries‘i tavsiye edebilirim. Diğer engelleme seçenekleri için kaynaklara ulaşmak için WordPress Protect Against Malicious URL araması yapabilirsiniz.

Yazar taramasını devre dışı bırakmak

WordPress kullanıcılarının baş belası olan WPScan’in yazar taraması ile, web sitenizdeki yazarların kullanıcı adları bulunabilmektedir. Bunu engellemek için, .htaccess dosyasına şu kodları ekleyin:

İstenmeyen Header’i gizleyin

Aşağıdaki kod, yine WpScan gibi yazılımlara karşı koruma sağlayacak. Bu kodu, temanızın functions.php dosyasına ekleyin.

RSD link(EditURI) kodunu kaldırın

XML-RPC ile içerik yayınlamak amacıyla bulunan bir koddur. Kaldırmak için, temanızın functions.php dosyasına ekleyin:

wlwmanifest_link kodunu kaldırın

Windows Live Writer için bulunan bir koddur. Kaldırmak için, temanızın functions.php dosyasına ekleyin:

JSON REST API’yi devre dışı bırakın

Kullanmıyorsanız bunu da kaldırabilirsiniz. Yoğun kaynak kullanımına neden olabiliyor ve DDOS saldırılarına neden olabiliyor. Kaldırmak için, temanızın functions.php dosyasına ekleyin:

Security Headers ayarlama

Eğer Security Headers hakkında bilgiye sahip değilseniz,https://www.medianova.com/tr-blog/2018/12/14/security-header bu bağlantıdaki içeriğe göz atabilirsiniz.
Security Headers’ı ayarlamak için, aşağıdaki kodları “.htaccess” dosyasına ekleyin:

Security Headers’i buradan test edebilirsiniz https://securityheaders.com/

Hata raporlamayı devre dışı bırakmak

Web sitenizdeki hataların herkes tarafından görünebilmesi çok ciddi bir güvenlik açığıdır. Bu hatalardan faydalanarak web sitenize zarar verilebilir. Bunu kapatmak için, aşağıdaki kodları, wp-config.php dosyasına ekleyin:

WordPress hata ayıklamasını kapatmak için:

PHP hata raporlamasını kapatmak için:

wp-load.php dosyasının güvenliği

wp-load.php dosyasına doğrudan erişimi engellemek için aşağıdaki kodları “.htaccess” dosyasına ekleyin:

WordPress güvenlik önlemleri şimdilik bu kadar. Daha fazla WordPress içeriğine ulaşmak için lütfen takipte kalın!


BUNU PAYLAŞIN: