Wordpress Güvenlik Kontrol Listesi

Giriş Ekranı

  • Ek güvenlik önlemi için 2FA kullanılması gerekmektedir. Bunun için Two-Factor kullanabilirsiniz.
  • Parolalar 60 günde bir rutin olarak değiştirin.
  • Kullanılmıyorsa, giriş sayfalarına yapılan yönlendirmeleri site üzerinden kaldırın
  • Standart giriş sayfasında değişikliğe gidin URL’leri değiştirin. Bu değişikliği yapmak için Shield Security: Protection with Smarter Automation veya iThemes Security (formerly Better WP Security) kullanabilirsiniz.
  • Yapabiliyorsanız kullanıcı giriş alanlarına IP kısıtlaması ekleyin.
  • Wordpress’de kullanılan REST API’yi kısıtlayın. Bunun için Disable REST API eklentisini kullanabilirsiniz.
  • Hata mesajlarını giriş sayfasında göstermeyin ve kapatın.

Yönetimsel Alanlar

  • Wordpress devamlı güncel tutun
  • Kullanıcı adı “admin” olan bir hesap oluşturmayın. Mümkünse yeni bir yönetici hesabı oluşturun ve eskisini kaldırın.
  • Bir editör hesabınız olsun ve yalnızca içerik yayınlamak için kullanın
  • Wordpress’de bütün alanlar için SSL/TLS kullanın
  • Wordpress içerisinde .php li dosyaları ve klasörleri koruyun, erişime kapatın
  • Dosya değişikliklerini kontrol edin( Shield Security: Protection with Smarter Automation veya iThemes Security (formerly Better WP Security) )
  • Virüsler, kötü amaçlı yazılımlar ve güvenlik ihlalleri için antivirüs kullanın

Eklentiler

  • Tüm eklentileri güncel tutun
  • Kullanılmayan eklentileri etkisiz hale getirip silin
  • Eklentileri yalnızca bilinen kaynaklarından indirin
  • Eski eklentilerinizi yeni alternatifleri ile değiştirin
  • Bir sürü eklenti kurmaktan kaçının

Tema

  • Temayı güncel tutun
  • Kullanılmayan temaları etkisiz hale getirip silin
  • Wordpress sürümünü temanızdan kaldırın
  • Temaları bilinen kaynaktan indirin, illegal kullanımdan kaçının

Veritabanı

  • Varsayılan tablo ön ekini kullanmayın ve değiştirin
  • Veritabanınızın yedeklemesini haftalık ve aylık olarak zamanlayın
  • Veritabanı kullanıcısı ve parolası için tahmin edilmesi güç kombinasyonlar kullanın(passwordgenerator)
  • Veritabanı optimizasyonlarını aylık olarak gerçekleştirin. (WP-Optimize)

Sağlayıcı

  • Güvenilirliği kanıtlanmış alt yapı sağlayıcılarını kullanın.
  • Yalnızca SSH veya SFTP üzerinden bağlanın.
  • SSH bağlantısını parola ile değil key ile yapın.
  • Klasör izinleriniz 755 dosya izinleriniz 644 olmalı, 777 olarak ayarlanmış izinleri değiştirin.
  • wp-config.php dosyasının erişilebilir olmadığından emin olun.
  • Wordpress üzerinden dosya düzenlemeyi devre dışı bırakın.
  • Mümkünse yönetim panelsiz çözümleri tercih edin.
  • Kullanılmayan dosya ve klasörlerden kurtulun.
  • PHP hata mesajlarını kapatın.
  • Her şeyi kayıt altına almak için detaylı log tutun.
  • Mümkünse VPS veya Dedicated çözümleri tercih edin.

Bu makalede yaptıklarınız size %100 güvenlik sağlamaz, bilinmeyen güvenlik açıkları(0-Day) sizi her zaman etkileyebilir.

Bilinmeyen Tema, Eklenti kullanımına dikkat ediniz.

Sistem Uzmanı, Linux Hacısı, El-Kernel

Yorum yapın