Güvenlik. Bildiğimiz anlamda her zaman düzenin bozulmaması için alınan tedbirlerin tümü olarak değerlendirilebilir.
Güvenlik; toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumudur.
Gerçek hayattan örnekleme ile düşünürsek; mağazanızın kapısına bağlanmış bir dedektör, hırsız alarmı, yangın haber ve söndürme cihazları, daha büyük mekânlarda bulunan bekçi ya da güvenlik görevlileri Bunlar da işte bu hiyerarşik veya dağıtık bir şekilde kurmuş olduğunuz düzenin bozulmaması için aldığınız önlemler.
Bir web sayfası oluşturdunuz, verilerinizi ekliyorsunuz ve verilerinizi, sitenizin tasarımını dinamik olarak yönetiyorsunuz. Kısacası sağlam bir düzen kurdunuz -ki biz bu sistemi WordPress olarak değerlendirip anlatacağız-.
Parolamız: Sisteminizin kullanıcısı siz olabilirsiniz, başkası değil!.. Peki, bunun için önleminizini aldınız mı?
Unutulmamalıdır ki; insanın olduğu her yerde zaafiyet kaçınılmazdır!
1 Sağlam Dostluklar, Güvenilir Hosting
İster WordPress kullanın isterseniz de basit bir HTML web sayfası. Her zaman için güvenilir hosting firmalarını tercih edin. Sağlam dostluklar kurduğunuzdan emin olduğunuz insanlar varsa önce onları tercih edin. Daha sonra ise ihtiyaçlarınızı analiz ederek yetecek seviyede bir hosting planı satın alın. Burada dikkat edilmesi gereken ve tercih sebebi olacak önemli birkaç başlığı sıralayalım;
7/24 destek verebilecek, hızlı geri dönüş sağlayacak ve işinin ehli olan bir hosting firması
Barındığı lokasyon ve bant genişliği limitleri
Güvenlik hususundaki çalışmaları ve yedekleme hizmetinin sunulması
İhtiyaçlarınıza uygun altyapıyı barındırıyor olması
Referanslar, kurumsal kimlik ve sosyal medya (aldatıcı olabilirler, soruşturmakta yarar var)
2 Güncel Kal ve Herşeyden Haberdar Ol
En önemli maddelerden bir tanesi de sisteminizin güncel olmasıdır. Yukarıda da okuduğunuz gibi insanın olduğu heryerde zaafiyetin olacağı düşüncesinden hareketle, her ne kadar büyük bir geliştirici kitlesi olsa da WordPressin de güvenlik açıkları olması doğaldır. Bu sadece WordPress ile sınırlı değil elbette, örneğin yazdığınız ufak bir hesap makinesi uygulaması bile bir açık bulundurabilir.
Yakın geçmişte WordPress ile kurduğu web sayfasının ele geçirilmiş olduğunu gören çok sayıda kişinin olduğunu unutmayalım. Sebebi ise bulunan güvenlik açıkları idi. Eğer ki bu güvenlik açıklarını kapatan güncellemeleri vaktinde yapmazsanız sonunuz yine bu şekilde olabilir.
WordPress geliştiricileri bunun önüne geçebilmek adına, kritik açıklıkları kapattığı 3.7 versiyonu ile beraber Otomatik Güvenlik Güncellemesi sistemini duyurmuştu. Bu sayede güncellemeler çekirdek (core) ve güvenlik seviyesi olarak ayrılmış oldu. Sadece güvenlik değil çekirdek güncellemelerini de geçmenizi şiddetle öneriyoruz.
Dipnot olarak; güncellemelerin change log (değişim kayıtları: Neler değişti? sorusuna cevap veren kayıtlardır) sayfalarını okuyabilirsiniz.
3 Geleneklere Uymayın, Güçlü Parolalar Kullanın
Güvenlik firmaları dünya genelindeki gelişmeleri takip ederek yıl sonlarında veya yeni yılın ilk çeyreğinde raporlar hazırlarlar. SplashData firması 2013 yılında en çok kullanılan şifreler için bir liste yayınladı.
Tahmin var mı?
Söyleyelim. En çok kullanılan şifreler arasında açık ara şampiyonluğunu ilan eden 123456 birinci sırada geliyor
Diğer bazıları ise şu şekilde;
qwerty
iloveyou
1234567
password
000000
Siz siz olun bu geleneklere uymayın ve kendinize sadece sizin hatırlayabileceğiniz güçlü parolalar kullanın. Bunun yanı sıra aynı şifreyi birden fazla yerde hiç değişmeksizin kullanmakta yine hatalı bir davranış olacaktır. Ve elbette ki şifre(leri)nizi aralıklarla değiştirmeyi unutmayın!
4 Varsayılanlarla Kalmayın, Değişim Şart
Yine sadece WordPress ile sınırlı olmayacak şekilde en yüksek rütbeli kullanıcıların isimlerini varsayılan olarak bırakmayın. Çeşitli bilgilerin özellikle sosyal mühendislik yolu ile elde edilebilirliğini ve/veya tahmin edilebildiğini unutmayarak varsayılan kullanıcı isimleri ile çalışmayın.
Bunlara ek olarak login (giriş) ve admin (yönetim) paneli yollarını değiştirebilirsiniz.
5 Kullanıcılarınızı Saklayın
WordPress içerisinde yazarlarınız (yani kullanıcılarınız) varsayılan olarak siteisminiz.com/?author=1 şeklinde gelecektir. Dolayısıyla kullanıcılarınızın benzersiz ID numaraları adres çubuğunda kullanıcı adı da sayfada görünecektir. Bu sayede örneğin bir SQL Injection atağında karşı tarafın ekmeğine yağ sürmüş olursunuz.
6 Giriş Denemelerine Müdahele Edin; Orası Dingonun Ahırı Değil
Sitenizin yönetim paneline girebilmek için kendiniz dahi şifrenizi hatırlayamıyorsanız sürekli deneme yaparsınız. Peki, bunu siz yapmıyorsunuz?
Bu yüzden bazı eklentilerle ya da kendi yazdığınız kodlarla bu girişleri sınırlayın. Örnek bir eklenti için WordPress Login Attempts gözatabilirsiniz.
7 Dosyalarınızı Tarayıcıda Değil, Bilgisayarınızda Düzeltin
Yönetim paneline bağlandınızda tema / eklenti dosyalarınızı tarayıcıyı kullanarak FTP bağlantınız ile güncelleyebilirsiniz. Bu ayarı kapatmanız elbetteki yararınıza olacaktır. Herhangi bir sızma anında bu yolla dosyalarınıza zarar verilebilir, kötü amaçla kullanılabilir.
8 Tema ve Eklentilere Dikkat
En can alıcı noktalardan biri de tema ve eklentilerdir. Basit bir kullanım istiyorsanız herhangi bir tema almadan varsayılan tema ile yola devam edebilirsiniz fakat bir gün bunu da değiştirmek isterseniz, yolunuzu tema sitelerinde arayacaksınızdır. Bunun yanı sıra sisteminize ya da temanıza katmak isteyeceğiniz fonksiyonellik için de eklenti yüklemeniz gerekecektir.
Bilmeniz gerekiyor ki tema ve eklentiler PHP, CSS ve Javascript odaklı kodlanırlar. Bu sayede WordPress alt yapısından tasarımsal değişikliklere gidilir. Dikkat edilmesi gereken nokta ise sitenizin bilgilerinin bir hedefe, sizin haberiniz olmadan gönderilme olasılığıdır ya da tam tersi yasal olmayan bir takım son kullanıcı verilerin toplanması olasılığı.
Tema ve eklentiler için mümkünse para ödeyin Bunun için ThemeForest, CodeCanyon siteleri oldukça işinize yarayacaktır. Genel olarak onaylanmış ve ücretsiz araçları yine WordPressin resmi sayfalarından da bulabilirsiniz.
9 Yedeksiz Sistemin Batması Haktır, Sen Yedek Almazsan Sistem Batmayacaktır
Her önlemi alsanız da takdir hacklenmeniz yönünde ise, kısa sürede geri dönüş yapabilmek için düzenli aralıklarla yedeklerinizi almayı unutmayın!
Son zamanlarda yoğun olarak kullanılan Dropbox, Google Drive, Ubuntu One gibi bulut veri depolama sistemleri ile entegre olabilir, fiziksel olarak bu yedekleri elinizde bulundurabilir ya da hosting hizmeti kullandığınız firmadan destek alabilirsiniz.
Yedekleme yaparken bahsettiğimiz host yedeğiniz tüm herşeyi barındıracağından en güvenilir yöntem olacaktır. Buradaki husus da depolama alanınızın kapasitesi ve içerik yoğunluğunuz ile alakalıdır çünkü, tüm site yedeğinizi aldığınızda e-postalarınız, site kök dizininiz, veritabanı yedeğiniz de alınır.
Ek olarak WordPress yönetim panelinizdeki Araçlar > Dışa Aktar yolunu kullanarak tüm içeriğinizi bir XML dosyaları olarak dışarı aktarabilir; FTP programınız ile tema, eklenti ve uploads klasörlerinizi indirip saklayabilirsiniz.
1. MySQL veri taban ismi
Aslında en büyük açığı siz kendiniz oluşturuyorsunuz. wp-config-sample.php dosyasını düzenlerken ilk olarak cpanel üzerinden bir veri tabanı oluşturuyoruz. Sitenizi hacklemeye çalışan bir arkadaş ilk olarak buraya bakar. Elindeki programlar ile olasılıkları tarıyor. Zaten veritaban isimleri öncelikle site adreslerinizden oluşuyor. Cpanel/FTP kullanıcı adınız her ne ise o öncelikle kullanıcı adınız onunla başlıyor. Site isimleri de genellikle cpanel kullanıcı adları ile aynı şekilde oluşturuluyor. Örneğin benim panel kullanıcı adım animasyon olsun. Oluşturacağım database(db) adı animasyon_deneme şeklinde olacaktır. Buradaki deneme ise seçtiğim db ismidir. İşte tam olarak sorun burada başlıyor. Burayı çok kolay bir şey seçmeyin. Misal olarak 32fAs21fQzP4 şeklinde bir şey seçin. Bunu kendiniz bile zor ezberlersiniz ve hem sayı hemde büyük küçük harften oluştuğu için kırılması zor bir olasılıktır.
2. MySQL kullanıcı adı ve şifresi
İkinci olarak önemli olay burada başlıyor. Yine bu bölümde ftp adınız ile başlayan bir kullanıcı oluşturacaksınız. Çünkü wp kurmak istiyorsanız bunun başka bir yolu yok, öyle veya böyle oluşturulacak bu isim. Bunu yine kolay bir şey seçmeyin. Forum kuracaksanız siteniz_forum diye bir kullanıcı adı seçmeyin. Hele siteniz_wordpress gibi bir şey hiç seçmeyin. Şöyle seçin mesela; siteniz_f4O21r9uM bunun algoritma ile kırılması oldukça zordur ve geldik şifre bölümüne. Veri taban isim ve kullanıcı adında özel karakterler kullanamıyorduk. Bu doğru fakat şifre bölümünde öyle bir sıkıntımız yok. Burada öyle bir şifre seçin ki kendiniz bile zor bulun. Hatta hiç bulamayın. Öyle bir şifre olsun. Özel karakterler kullanın fakat ve karakterlerini kullanmayın. Çünkü php kodlama dilinde bunlar ayraçtır. Kullanırsanız bazı sıkıntılar doğabilir. Yine örnek vereyim şöyle bir şifre seçin; aX+4SazQ85&z_G3%-jK) çok süper bir şifre oldu değil mi? İtici geliyor ama kırılması çok zor.
3. PhpmyAdmin tablo ismi
İlk 2 özellik aslında bütün sitemler için gerekli bir şeydi. Sadece wordpress için değil. 3. adımdan sonra tamamen wp ile ilgili güvenlik önlemlerine geçiyoruz. wp-config.php dosyasını düzenlerken 67. satırda;
$table_prefix = wp_;
Böyle bir kod bulunuyor. Normal bir site için değil, wordpress sistemi için en büyük açık bu tablo adlarındadır. Örneğin bir saldırı alıyorsunuz. Adam zaten sizin phpmyadmin tablo isimlerinizi biliyor. wp_comments wp_tags falan filan. Bu açığı kapatmak için bu tablo adını değiştiriyoruz. Örneğin wp_ değilde Jg3KpQY6_ yapalım. Neden wp_ yapıyoruz ki illa? Veya siz kendi kafanıza göre bir şey yapın fakat özel karakterler kullanmayın. Daha sonra phpmyadmine girdiğiniz zaman wp_ tablolarında değil de farklı belirlediğiniz isimlerle tablolar oluştuğunu göreceksiniz.
4. Eşsiz doğrulama anahtarları
Bir diğer wp-config.php güvenliğimiz bu. WordPress secret key adresine giriyoruz. Karşımıza aşağıda verdiğime benzer bir kod dizini veriyor.
Kod:
define(AUTH_KEY, [)))^oe|aC+Om*`Xc1G]s&@.b6Ub_O%}MC5^i?-m(-Nd.]L}w>EjcOuDoRW$J!+{);
define(SECURE_AUTH_KEY, %(}M%-jEZ`]7t@|Vsb(BB_OV4SzN|0-%# :=/H<22>6tVQ]?nF(}+C-/rH/a?@L6′);
define(LOGGED_IN_KEY, `]eRE};9}]UJhYo_{Pz5&H.+BxJN+vU7HKu,2,oKx1I*vW-{&{T<O|Yzak7|(9Oe);
define(NONCE_KEY, x+8)x?<++LA^|xg*7rwhPY,Dco XQ@EV|MS@K;Tmb#-LDE#g+?xHpc6~?I|T@}i|);
define(AUTH_SALT, SZRV*dPNRlqx%Q%J|&G$S]CHa5#7,P|_|2[1_p=EQ=}+:ieB6BZ~(&!?y!x/V}Y^');
define('SECURE_AUTH_SALT', 'RU0sS0tIoJDia~3l6G;S3+EehArG>_[jS&IP>[-43$ EcUo;2IiS3t.-3j1|+yX|');
define('LOGGED_IN_SALT', 'qg3:_)0-K+,.Vgs(DG.+<R;U2SV#s(8n`1p?|q@|)c]s`b<Y-{9Jl7AzEQQhJ2aJ);
define(NONCE_SALT, i1a[vJFB7pFoC-d!wc;zxYmFSc{8oU23z9}GA0EeTlWI0jtK/o{IA@G+U/%8 !MH);
Siz bu kod dizimini alıyorsunuz wp-config bölümdeki secret key bölümüne kopyalıyorsunuz. Buradaki amaç paneldeki çerezleri kabul etmemektir. Kullanıcılar bir girdiği zaman belirli bir süre sonra tekrar giriş yapmalıdır. Bir kişi admin paneline bağlandı, cafeden giriyor bu kişi. Sonra kalktı gitti. AkınSOFT(sadece bir örnek) çerezleri silmiyor, bilgisayar sıfırlanmıyor. Belki bilgisayar kapatılıp açıldığında DeepFrezee siliyor ama ya kapanmazsa? Bütün bilgileriniz çalınabilir. Onun için bu yöntemi de uygulayın derim.
5. wp-admin yolunu değiştirmek
Bir diğer güvenlik önlemimiz wp-admin yolunu değiştirmek. Bir siteye wordpress kurduğunuz zaman admin paneli wp-admin olur. Bunu webmaster arkadaşlarımız iyi bilir. Ben senin admin panelinin nasıl olduğunu biliyorsam sence ne yaparım? Hele de bir hackersam neler yapabilirim bir düşün. Bu panelin yolunu değiştirmek gerekiyor. Bu hack olayını tamamen engellemez ama bulması için biraz uğraşabilir. Bunun için bize Grepwin programı lazım olacak. Çünkü bir çok dosyada değiştirme işlemi yapacağız. Bunu tek tek yaparsanız 3-5 saatinizi alır. Bu programını Grepwin indir bölümünden indirebilirsiniz. Programın kısa bir anlatımı da mevcut. Ona da bakabilirsiniz. Buradan indirdiğimiz wordpress dosyasını .rar(veya .zip) arşivinden çıkartıyoruz. Çıkarttığımız dosyaya sağ tıklıyoruz ve Grepwin ile açıyoruz. Bunu yapmadan önce siteniz zaten kurulu durumdaysa önce bir yedek alın, sorumluluk kabul etmiyorum. Her şeyi anlattığım gibi yaparsanız bir problem çıkmaz. Çıkarsa da ftpden aldığınız yedeği atarsınız.
Yukarıdaki resimde gördüğün gibi wordpress klasörü açılacak. Ben mustafakirmizi.com olarak değiştirdim adını, onun için yukarıdaki gibi görünüyor. Sizde wordress olarak görünecek.
Search for: wp-admin
Replace with: panelim
Yazacaksınız. Burada Search for kısmı değişmeyecek. Replace with bölümünü siz işte panel adresiniz ne olacaksa o şekilde değiştiriyorsunuz. Ben panelim yazdım. mustafakirmizi.com/panelim olarak gireceğim. Siz atıyorum admin yazarsanız siteniz.com/admin olarak girersiniz. Daha sonra enter tuşuna basmayın. Çünkü value(default) değer olarak Search butonu seçili durumda. Şekilden de görebilirsiniz. Siz burada Replace butonuna tıklayacaksınız. Daha sonra karşınıza küçük bir onay kutucuğu gelecek. Ona yes(evet) deyin geçin. Aşağıda bir liste belirecek, bu dosyalarda şu kadar kısım değiştirildi diye. Bittiği zaman tamam deyip çıkın. Daha sonra ana dizinde bulunan wp-admin.php klasörünün adını değiştireceğiz. Burada panelim yazdığım için ben wp-admin.php dosyasının adını panelim.php dosyası olarak değiştireceğim. Siz admin yaptınız diyelim yolu. admin.php olarak değiştireceksiniz. Artık her ne yaptıysanız ona göre isim vereceksiniz. Daha sonra aşağıda verdiğim alt klasör yollarını bulun ve değiştirin.
/wp-admin
/wp-admin/css/wp-admin.css
/wp-admin/css/wp-admin.dev.css
/wp-admin/css/wp-admin-rtl.css
/wp-admin/css/wp-admin-rtl.dev.css
/wp-includes/class-wp-admin-bar.php
Bu dosyaları bulun ve şu şekilde değiştirin.
/panelim
/panelim/css/panelim.css
/panelim/css/panelim.dev.css
/panelim/css/panelim-rtl.css
/panelim/css/panelim-rtl.dev.css
/wp-includes/class-panelim-bar.php
Daha sonra siteniz.com/panelim bölümünün çalışması gerekiyor. wp-admini değiştirmişken wp-login.php bölümünü de değiştirelim ki bir anlamı olsun. Yine grepwin programı ile wordpress klasörünü açıyoruz. Bu defa;
Search for: wp-login
Replace with: girispanelim
Yazalım veya siz kendiniz bir isim koyun, o şekilde değiştirin. Replace(değiştir) butonuna tıklayın. Ana dizinde bulunan wp-login.php dosyasının adını da girispanelim.php olarak değiştirelim. Kullanıcı kayıtları için de bunu yapmak istiyorsanız bunu; wp-register -> kayit olarak değiştirme işlemi yapacaksınız ve wp-register.php dosyasının adını kayit.php olarak değiştireceksiniz. Bu işlemler sonucunda sitenizi güncelleyin. Bazı eklentiler üzerinde de wp-admin , wp-login bölümleri vardır. Sitenizde hata oluşuyorsa bu dediğim işlemleri wp-content/plugins klasörüne de uygulayın. Problem kalmayacaktır. Problem yaşarsanız bu konu altında bilgi verin, yardımcı olayım.
Not: Bunu her wp güncellemesinde yapmak zorundasınız. Bu adımı uygularsanız eklentilerinizde problem olabilir. Bunun için her eklentide bulunan wp-admin kelimesini grepwin programı ile "panelim" kelimesi olarak değiştirmelisiniz.
6. Hata mesajlarını gizlemek
Diyelim ki wp-login sayfasını güncellediniz ve yine bir şekilde buldular giriş sayfasını. Saldırı yapıyorlar veya şifrenizi kırmaya çalışıyorlar. Kullanıcı adı veya şifrenizi hatalı girdiği zaman login sayfası karşı tarafa, şifre hatalı veya kullanıcı adı hatalı şeklinde mesajlar gösterir. Kullanıcı adını tutturursa şayet(ki yüksek ihtimal tutturacaktır, çoğumuz yazıda yazar linki veriyoruz) şifreniz bölümünü kırmaya geçecektir. Programlar ile bunu belki başarabilir. Siz bu hata mesajını gizlerseniz şifre mi hatalı yoksa kullanıcı adı mı diye şaşırtıp zaman kazanabilirsiniz. Bu mesajları engellemek için ise şunu uyguluyoruz. Kullandığınız tema neyse functions.php dosyasını açıyoruz. <?php bölümünün hemen altına şu kodu ekleyeceksiniz;
add_filter(login_errors,create_function($a, return null;));
7. Sürüm gizlemek
Wordpress sürümleri çıktığı zaman belirli bir süre sonra lamer arkadaşlarımız sürümlere göre açıklar bulurlar. Siz eğer ki kullandığınız sürümü gizlerseniz hack olayını bir nebze engellemiş olursunuz. Sürüm gizlemek için yine temanızın functions.php dosyasını açıyoruz ve aşağıdaki kodu ekliyoruz.
remove_action(wp_head, wp_generator);
8. Admin nickini değiştirmek
Admin panelinin giriş kullanıcı adını kesinlikle admin yapmayın. Çünkü ilk deneyecekleri kullanıcı adı budur. Acemi arkadaşlarımızda genelde bu kullanıcı adını seçer. Diyelim ki bir kaza oldu bu şekilde admin kullanıcı adını seçtiniz. Bunun için öncelikle cpanele bağlanıyorsunuz. PhpMyAdmin sayfasına geçiyorsunuz ve hangi tablo ile kurduysanız tabloadı_users bölümünü açıyorsunuz. Admin yazan bölümü herhangi bir kullanıcı adı ile değiştiriyorsunuz. Normal değerlerde wp_users bölümündedir. Tablo adını değiştirmişseniz ona göre tabloyu bulun. Yok ben bunu yapamam derseniz temanızın header.php dosyasını açın. <?php satırından sonra SQL sorgusu oluşturun ve şu kodu kullanın.
UPDATE wp_users SET user_login = Yeni WHERE user_login = Admin;
Yeni yazan yere ise yeni yetkili kişi rumuzunu girin. Ana sayfanıza girin(siteniz.com olarak). Bir defa F5 tuşuna basın. SQL sorgusunu doğru oluşturduysanız kullanıcı adı güncellenecektir. Ben ilk adımı öneririm.
9. .htaccess dosyasını güvenli hale getirmek
Ana dizinde bulunan .htaccess dosyanızı açın. En üstüne ekleyin;
Kod:
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Bu şekilde .htaccess dosyanız daha güvenli bir hale gelecektir.
10. Dosya izinlerini default değere çekin
Klasörlerin rewrite(tekrar yazma) değerlerini doğru seçmezseniz hack olayı kaçınılmazdır. Muhakkak bir şekilde hack yersiniz. Onun için klasörlerinizi şu özelliklere göre tekrar bir inceleyin. Şu şekilde olmalılar;
Kod:
Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644
11. Eklentileri gizlemek
Kullandığınız herhangi bir eklentide açık olabilir. Kişiler kullandığınız eklentileri bilirse güvenlik açığı oluşur. Bunun için kullandığınız eklentileri gizlemek zorundasınız. Bunun için wp-content/plugins klasörüne girin. index.html adında bir sayfa oluşturun. Boş bir sayfa da olabilir. Bunu plugins(eklentiler) ana dizinine atın. Böylelikle kişiler kullandığınız bütün eklentileri göremeyecekler.
12. wp-config.php dosyasının yerini değiştirmek
Bu da kilit yöntemlerden bir tanesi. Hack olayını çoğunlukla engeller. Herkes veri taban bağlantı dosyanızın yerini bilirse ne olur? Bence hiç hoş olmaz. Bundan dolayı dosyanızı taşıyalım. Örneğin wp-includes klasörünün içine bir klasör açalım. Klasörün adını da veritabani yapalım. wp-config.php dosyasını da buraya taşıyalım. Yani yeni yolumuz; wp-includes/veritabani/wp-config.php olacak. Taşıma işlemi bittikten sonra wp-load.php dosyasını grepwin ile açıyoruz. Search for kısmına wp-config.php yazıyoruz ve Replace bölümüne ise wp-includes/veritabani/wp-config.php yazıyoruz. Replace butonuna tıklıyoruz. Daha sonra bu değişikliği ftpye tekrar gönderiyoruz. Böylelikle artık hiç kimse veri taban dosyamızın yerini bilmiyor. Tabi siz değişik bir yol seçin, ona göre değiştirin.
Güvenlik; toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumudur.
Gerçek hayattan örnekleme ile düşünürsek; mağazanızın kapısına bağlanmış bir dedektör, hırsız alarmı, yangın haber ve söndürme cihazları, daha büyük mekânlarda bulunan bekçi ya da güvenlik görevlileri Bunlar da işte bu hiyerarşik veya dağıtık bir şekilde kurmuş olduğunuz düzenin bozulmaması için aldığınız önlemler.
Bir web sayfası oluşturdunuz, verilerinizi ekliyorsunuz ve verilerinizi, sitenizin tasarımını dinamik olarak yönetiyorsunuz. Kısacası sağlam bir düzen kurdunuz -ki biz bu sistemi WordPress olarak değerlendirip anlatacağız-.
Parolamız: Sisteminizin kullanıcısı siz olabilirsiniz, başkası değil!.. Peki, bunun için önleminizini aldınız mı?
Unutulmamalıdır ki; insanın olduğu her yerde zaafiyet kaçınılmazdır!
1 Sağlam Dostluklar, Güvenilir Hosting
İster WordPress kullanın isterseniz de basit bir HTML web sayfası. Her zaman için güvenilir hosting firmalarını tercih edin. Sağlam dostluklar kurduğunuzdan emin olduğunuz insanlar varsa önce onları tercih edin. Daha sonra ise ihtiyaçlarınızı analiz ederek yetecek seviyede bir hosting planı satın alın. Burada dikkat edilmesi gereken ve tercih sebebi olacak önemli birkaç başlığı sıralayalım;
7/24 destek verebilecek, hızlı geri dönüş sağlayacak ve işinin ehli olan bir hosting firması
Barındığı lokasyon ve bant genişliği limitleri
Güvenlik hususundaki çalışmaları ve yedekleme hizmetinin sunulması
İhtiyaçlarınıza uygun altyapıyı barındırıyor olması
Referanslar, kurumsal kimlik ve sosyal medya (aldatıcı olabilirler, soruşturmakta yarar var)
2 Güncel Kal ve Herşeyden Haberdar Ol
En önemli maddelerden bir tanesi de sisteminizin güncel olmasıdır. Yukarıda da okuduğunuz gibi insanın olduğu heryerde zaafiyetin olacağı düşüncesinden hareketle, her ne kadar büyük bir geliştirici kitlesi olsa da WordPressin de güvenlik açıkları olması doğaldır. Bu sadece WordPress ile sınırlı değil elbette, örneğin yazdığınız ufak bir hesap makinesi uygulaması bile bir açık bulundurabilir.
Yakın geçmişte WordPress ile kurduğu web sayfasının ele geçirilmiş olduğunu gören çok sayıda kişinin olduğunu unutmayalım. Sebebi ise bulunan güvenlik açıkları idi. Eğer ki bu güvenlik açıklarını kapatan güncellemeleri vaktinde yapmazsanız sonunuz yine bu şekilde olabilir.
WordPress geliştiricileri bunun önüne geçebilmek adına, kritik açıklıkları kapattığı 3.7 versiyonu ile beraber Otomatik Güvenlik Güncellemesi sistemini duyurmuştu. Bu sayede güncellemeler çekirdek (core) ve güvenlik seviyesi olarak ayrılmış oldu. Sadece güvenlik değil çekirdek güncellemelerini de geçmenizi şiddetle öneriyoruz.
Dipnot olarak; güncellemelerin change log (değişim kayıtları: Neler değişti? sorusuna cevap veren kayıtlardır) sayfalarını okuyabilirsiniz.
3 Geleneklere Uymayın, Güçlü Parolalar Kullanın
Güvenlik firmaları dünya genelindeki gelişmeleri takip ederek yıl sonlarında veya yeni yılın ilk çeyreğinde raporlar hazırlarlar. SplashData firması 2013 yılında en çok kullanılan şifreler için bir liste yayınladı.
Tahmin var mı?
Söyleyelim. En çok kullanılan şifreler arasında açık ara şampiyonluğunu ilan eden 123456 birinci sırada geliyor
Diğer bazıları ise şu şekilde;qwerty
iloveyou
1234567
password
000000
Siz siz olun bu geleneklere uymayın ve kendinize sadece sizin hatırlayabileceğiniz güçlü parolalar kullanın. Bunun yanı sıra aynı şifreyi birden fazla yerde hiç değişmeksizin kullanmakta yine hatalı bir davranış olacaktır. Ve elbette ki şifre(leri)nizi aralıklarla değiştirmeyi unutmayın!
4 Varsayılanlarla Kalmayın, Değişim Şart
Yine sadece WordPress ile sınırlı olmayacak şekilde en yüksek rütbeli kullanıcıların isimlerini varsayılan olarak bırakmayın. Çeşitli bilgilerin özellikle sosyal mühendislik yolu ile elde edilebilirliğini ve/veya tahmin edilebildiğini unutmayarak varsayılan kullanıcı isimleri ile çalışmayın.
Bunlara ek olarak login (giriş) ve admin (yönetim) paneli yollarını değiştirebilirsiniz.
5 Kullanıcılarınızı Saklayın
WordPress içerisinde yazarlarınız (yani kullanıcılarınız) varsayılan olarak siteisminiz.com/?author=1 şeklinde gelecektir. Dolayısıyla kullanıcılarınızın benzersiz ID numaraları adres çubuğunda kullanıcı adı da sayfada görünecektir. Bu sayede örneğin bir SQL Injection atağında karşı tarafın ekmeğine yağ sürmüş olursunuz.
6 Giriş Denemelerine Müdahele Edin; Orası Dingonun Ahırı Değil
Sitenizin yönetim paneline girebilmek için kendiniz dahi şifrenizi hatırlayamıyorsanız sürekli deneme yaparsınız. Peki, bunu siz yapmıyorsunuz?
Bu yüzden bazı eklentilerle ya da kendi yazdığınız kodlarla bu girişleri sınırlayın. Örnek bir eklenti için WordPress Login Attempts gözatabilirsiniz.
7 Dosyalarınızı Tarayıcıda Değil, Bilgisayarınızda Düzeltin
Yönetim paneline bağlandınızda tema / eklenti dosyalarınızı tarayıcıyı kullanarak FTP bağlantınız ile güncelleyebilirsiniz. Bu ayarı kapatmanız elbetteki yararınıza olacaktır. Herhangi bir sızma anında bu yolla dosyalarınıza zarar verilebilir, kötü amaçla kullanılabilir.
8 Tema ve Eklentilere Dikkat
En can alıcı noktalardan biri de tema ve eklentilerdir. Basit bir kullanım istiyorsanız herhangi bir tema almadan varsayılan tema ile yola devam edebilirsiniz fakat bir gün bunu da değiştirmek isterseniz, yolunuzu tema sitelerinde arayacaksınızdır. Bunun yanı sıra sisteminize ya da temanıza katmak isteyeceğiniz fonksiyonellik için de eklenti yüklemeniz gerekecektir.
Bilmeniz gerekiyor ki tema ve eklentiler PHP, CSS ve Javascript odaklı kodlanırlar. Bu sayede WordPress alt yapısından tasarımsal değişikliklere gidilir. Dikkat edilmesi gereken nokta ise sitenizin bilgilerinin bir hedefe, sizin haberiniz olmadan gönderilme olasılığıdır ya da tam tersi yasal olmayan bir takım son kullanıcı verilerin toplanması olasılığı.
Tema ve eklentiler için mümkünse para ödeyin
Bunun için ThemeForest, CodeCanyon siteleri oldukça işinize yarayacaktır. Genel olarak onaylanmış ve ücretsiz araçları yine WordPressin resmi sayfalarından da bulabilirsiniz.9 Yedeksiz Sistemin Batması Haktır, Sen Yedek Almazsan Sistem Batmayacaktır
Her önlemi alsanız da takdir hacklenmeniz yönünde ise, kısa sürede geri dönüş yapabilmek için düzenli aralıklarla yedeklerinizi almayı unutmayın!
Son zamanlarda yoğun olarak kullanılan Dropbox, Google Drive, Ubuntu One gibi bulut veri depolama sistemleri ile entegre olabilir, fiziksel olarak bu yedekleri elinizde bulundurabilir ya da hosting hizmeti kullandığınız firmadan destek alabilirsiniz.
Yedekleme yaparken bahsettiğimiz host yedeğiniz tüm herşeyi barındıracağından en güvenilir yöntem olacaktır. Buradaki husus da depolama alanınızın kapasitesi ve içerik yoğunluğunuz ile alakalıdır çünkü, tüm site yedeğinizi aldığınızda e-postalarınız, site kök dizininiz, veritabanı yedeğiniz de alınır.
Ek olarak WordPress yönetim panelinizdeki Araçlar > Dışa Aktar yolunu kullanarak tüm içeriğinizi bir XML dosyaları olarak dışarı aktarabilir; FTP programınız ile tema, eklenti ve uploads klasörlerinizi indirip saklayabilirsiniz.
1. MySQL veri taban ismi
Aslında en büyük açığı siz kendiniz oluşturuyorsunuz. wp-config-sample.php dosyasını düzenlerken ilk olarak cpanel üzerinden bir veri tabanı oluşturuyoruz. Sitenizi hacklemeye çalışan bir arkadaş ilk olarak buraya bakar. Elindeki programlar ile olasılıkları tarıyor. Zaten veritaban isimleri öncelikle site adreslerinizden oluşuyor. Cpanel/FTP kullanıcı adınız her ne ise o öncelikle kullanıcı adınız onunla başlıyor. Site isimleri de genellikle cpanel kullanıcı adları ile aynı şekilde oluşturuluyor. Örneğin benim panel kullanıcı adım animasyon olsun. Oluşturacağım database(db) adı animasyon_deneme şeklinde olacaktır. Buradaki deneme ise seçtiğim db ismidir. İşte tam olarak sorun burada başlıyor. Burayı çok kolay bir şey seçmeyin. Misal olarak 32fAs21fQzP4 şeklinde bir şey seçin. Bunu kendiniz bile zor ezberlersiniz ve hem sayı hemde büyük küçük harften oluştuğu için kırılması zor bir olasılıktır.
2. MySQL kullanıcı adı ve şifresi
İkinci olarak önemli olay burada başlıyor. Yine bu bölümde ftp adınız ile başlayan bir kullanıcı oluşturacaksınız. Çünkü wp kurmak istiyorsanız bunun başka bir yolu yok, öyle veya böyle oluşturulacak bu isim. Bunu yine kolay bir şey seçmeyin. Forum kuracaksanız siteniz_forum diye bir kullanıcı adı seçmeyin. Hele siteniz_wordpress gibi bir şey hiç seçmeyin. Şöyle seçin mesela; siteniz_f4O21r9uM bunun algoritma ile kırılması oldukça zordur ve geldik şifre bölümüne. Veri taban isim ve kullanıcı adında özel karakterler kullanamıyorduk. Bu doğru fakat şifre bölümünde öyle bir sıkıntımız yok. Burada öyle bir şifre seçin ki kendiniz bile zor bulun. Hatta hiç bulamayın. Öyle bir şifre olsun. Özel karakterler kullanın fakat ve karakterlerini kullanmayın. Çünkü php kodlama dilinde bunlar ayraçtır. Kullanırsanız bazı sıkıntılar doğabilir. Yine örnek vereyim şöyle bir şifre seçin; aX+4SazQ85&z_G3%-jK) çok süper bir şifre oldu değil mi? İtici geliyor ama kırılması çok zor.
3. PhpmyAdmin tablo ismi
İlk 2 özellik aslında bütün sitemler için gerekli bir şeydi. Sadece wordpress için değil. 3. adımdan sonra tamamen wp ile ilgili güvenlik önlemlerine geçiyoruz. wp-config.php dosyasını düzenlerken 67. satırda;
$table_prefix = wp_;
Böyle bir kod bulunuyor. Normal bir site için değil, wordpress sistemi için en büyük açık bu tablo adlarındadır. Örneğin bir saldırı alıyorsunuz. Adam zaten sizin phpmyadmin tablo isimlerinizi biliyor. wp_comments wp_tags falan filan. Bu açığı kapatmak için bu tablo adını değiştiriyoruz. Örneğin wp_ değilde Jg3KpQY6_ yapalım. Neden wp_ yapıyoruz ki illa? Veya siz kendi kafanıza göre bir şey yapın fakat özel karakterler kullanmayın. Daha sonra phpmyadmine girdiğiniz zaman wp_ tablolarında değil de farklı belirlediğiniz isimlerle tablolar oluştuğunu göreceksiniz.
4. Eşsiz doğrulama anahtarları
Bir diğer wp-config.php güvenliğimiz bu. WordPress secret key adresine giriyoruz. Karşımıza aşağıda verdiğime benzer bir kod dizini veriyor.
Kod:
define(AUTH_KEY, [)))^oe|aC+Om*`Xc1G]s&@.b6Ub_O%}MC5^i?-m(-Nd.]L}w>EjcOuDoRW$J!+{);
define(SECURE_AUTH_KEY, %(}M%-jEZ`]7t@|Vsb(BB_OV4SzN|0-%# :=/H<22>6tVQ]?nF(}+C-/rH/a?@L6′);
define(LOGGED_IN_KEY, `]eRE};9}]UJhYo_{Pz5&H.+BxJN+vU7HKu,2,oKx1I*vW-{&{T<O|Yzak7|(9Oe);
define(NONCE_KEY, x+8)x?<++LA^|xg*7rwhPY,Dco XQ@EV|MS@K;Tmb#-LDE#g+?xHpc6~?I|T@}i|);
define(AUTH_SALT, SZRV*dPNRlqx%Q%J|&G$S]CHa5#7,P|_|2[1_p=EQ=}+:ieB6BZ~(&!?y!x/V}Y^');
define('SECURE_AUTH_SALT', 'RU0sS0tIoJDia~3l6G;S3+EehArG>_[jS&IP>[-43$ EcUo;2IiS3t.-3j1|+yX|');
define('LOGGED_IN_SALT', 'qg3:_)0-K+,.Vgs(DG.+<R;U2SV#s(8n`1p?|q@|)c]s`b<Y-{9Jl7AzEQQhJ2aJ);
define(NONCE_SALT, i1a[vJFB7pFoC-d!wc;zxYmFSc{8oU23z9}GA0EeTlWI0jtK/o{IA@G+U/%8 !MH);
Siz bu kod dizimini alıyorsunuz wp-config bölümdeki secret key bölümüne kopyalıyorsunuz. Buradaki amaç paneldeki çerezleri kabul etmemektir. Kullanıcılar bir girdiği zaman belirli bir süre sonra tekrar giriş yapmalıdır. Bir kişi admin paneline bağlandı, cafeden giriyor bu kişi. Sonra kalktı gitti. AkınSOFT(sadece bir örnek) çerezleri silmiyor, bilgisayar sıfırlanmıyor. Belki bilgisayar kapatılıp açıldığında DeepFrezee siliyor ama ya kapanmazsa? Bütün bilgileriniz çalınabilir. Onun için bu yöntemi de uygulayın derim.
5. wp-admin yolunu değiştirmek
Bir diğer güvenlik önlemimiz wp-admin yolunu değiştirmek. Bir siteye wordpress kurduğunuz zaman admin paneli wp-admin olur. Bunu webmaster arkadaşlarımız iyi bilir. Ben senin admin panelinin nasıl olduğunu biliyorsam sence ne yaparım? Hele de bir hackersam neler yapabilirim bir düşün. Bu panelin yolunu değiştirmek gerekiyor. Bu hack olayını tamamen engellemez ama bulması için biraz uğraşabilir. Bunun için bize Grepwin programı lazım olacak. Çünkü bir çok dosyada değiştirme işlemi yapacağız. Bunu tek tek yaparsanız 3-5 saatinizi alır. Bu programını Grepwin indir bölümünden indirebilirsiniz. Programın kısa bir anlatımı da mevcut. Ona da bakabilirsiniz. Buradan indirdiğimiz wordpress dosyasını .rar(veya .zip) arşivinden çıkartıyoruz. Çıkarttığımız dosyaya sağ tıklıyoruz ve Grepwin ile açıyoruz. Bunu yapmadan önce siteniz zaten kurulu durumdaysa önce bir yedek alın, sorumluluk kabul etmiyorum. Her şeyi anlattığım gibi yaparsanız bir problem çıkmaz. Çıkarsa da ftpden aldığınız yedeği atarsınız.
Yukarıdaki resimde gördüğün gibi wordpress klasörü açılacak. Ben mustafakirmizi.com olarak değiştirdim adını, onun için yukarıdaki gibi görünüyor. Sizde wordress olarak görünecek.
Search for: wp-admin
Replace with: panelim
Yazacaksınız. Burada Search for kısmı değişmeyecek. Replace with bölümünü siz işte panel adresiniz ne olacaksa o şekilde değiştiriyorsunuz. Ben panelim yazdım. mustafakirmizi.com/panelim olarak gireceğim. Siz atıyorum admin yazarsanız siteniz.com/admin olarak girersiniz. Daha sonra enter tuşuna basmayın. Çünkü value(default) değer olarak Search butonu seçili durumda. Şekilden de görebilirsiniz. Siz burada Replace butonuna tıklayacaksınız. Daha sonra karşınıza küçük bir onay kutucuğu gelecek. Ona yes(evet) deyin geçin. Aşağıda bir liste belirecek, bu dosyalarda şu kadar kısım değiştirildi diye. Bittiği zaman tamam deyip çıkın. Daha sonra ana dizinde bulunan wp-admin.php klasörünün adını değiştireceğiz. Burada panelim yazdığım için ben wp-admin.php dosyasının adını panelim.php dosyası olarak değiştireceğim. Siz admin yaptınız diyelim yolu. admin.php olarak değiştireceksiniz. Artık her ne yaptıysanız ona göre isim vereceksiniz. Daha sonra aşağıda verdiğim alt klasör yollarını bulun ve değiştirin.
/wp-admin
/wp-admin/css/wp-admin.css
/wp-admin/css/wp-admin.dev.css
/wp-admin/css/wp-admin-rtl.css
/wp-admin/css/wp-admin-rtl.dev.css
/wp-includes/class-wp-admin-bar.php
Bu dosyaları bulun ve şu şekilde değiştirin.
/panelim
/panelim/css/panelim.css
/panelim/css/panelim.dev.css
/panelim/css/panelim-rtl.css
/panelim/css/panelim-rtl.dev.css
/wp-includes/class-panelim-bar.php
Daha sonra siteniz.com/panelim bölümünün çalışması gerekiyor. wp-admini değiştirmişken wp-login.php bölümünü de değiştirelim ki bir anlamı olsun. Yine grepwin programı ile wordpress klasörünü açıyoruz. Bu defa;
Search for: wp-login
Replace with: girispanelim
Yazalım veya siz kendiniz bir isim koyun, o şekilde değiştirin. Replace(değiştir) butonuna tıklayın. Ana dizinde bulunan wp-login.php dosyasının adını da girispanelim.php olarak değiştirelim. Kullanıcı kayıtları için de bunu yapmak istiyorsanız bunu; wp-register -> kayit olarak değiştirme işlemi yapacaksınız ve wp-register.php dosyasının adını kayit.php olarak değiştireceksiniz. Bu işlemler sonucunda sitenizi güncelleyin. Bazı eklentiler üzerinde de wp-admin , wp-login bölümleri vardır. Sitenizde hata oluşuyorsa bu dediğim işlemleri wp-content/plugins klasörüne de uygulayın. Problem kalmayacaktır. Problem yaşarsanız bu konu altında bilgi verin, yardımcı olayım.
Not: Bunu her wp güncellemesinde yapmak zorundasınız. Bu adımı uygularsanız eklentilerinizde problem olabilir. Bunun için her eklentide bulunan wp-admin kelimesini grepwin programı ile "panelim" kelimesi olarak değiştirmelisiniz.
6. Hata mesajlarını gizlemek
Diyelim ki wp-login sayfasını güncellediniz ve yine bir şekilde buldular giriş sayfasını. Saldırı yapıyorlar veya şifrenizi kırmaya çalışıyorlar. Kullanıcı adı veya şifrenizi hatalı girdiği zaman login sayfası karşı tarafa, şifre hatalı veya kullanıcı adı hatalı şeklinde mesajlar gösterir. Kullanıcı adını tutturursa şayet(ki yüksek ihtimal tutturacaktır, çoğumuz yazıda yazar linki veriyoruz) şifreniz bölümünü kırmaya geçecektir. Programlar ile bunu belki başarabilir. Siz bu hata mesajını gizlerseniz şifre mi hatalı yoksa kullanıcı adı mı diye şaşırtıp zaman kazanabilirsiniz. Bu mesajları engellemek için ise şunu uyguluyoruz. Kullandığınız tema neyse functions.php dosyasını açıyoruz. <?php bölümünün hemen altına şu kodu ekleyeceksiniz;
add_filter(login_errors,create_function($a, return null;));
7. Sürüm gizlemek
Wordpress sürümleri çıktığı zaman belirli bir süre sonra lamer arkadaşlarımız sürümlere göre açıklar bulurlar. Siz eğer ki kullandığınız sürümü gizlerseniz hack olayını bir nebze engellemiş olursunuz. Sürüm gizlemek için yine temanızın functions.php dosyasını açıyoruz ve aşağıdaki kodu ekliyoruz.
remove_action(wp_head, wp_generator);
8. Admin nickini değiştirmek
Admin panelinin giriş kullanıcı adını kesinlikle admin yapmayın. Çünkü ilk deneyecekleri kullanıcı adı budur. Acemi arkadaşlarımızda genelde bu kullanıcı adını seçer. Diyelim ki bir kaza oldu bu şekilde admin kullanıcı adını seçtiniz. Bunun için öncelikle cpanele bağlanıyorsunuz. PhpMyAdmin sayfasına geçiyorsunuz ve hangi tablo ile kurduysanız tabloadı_users bölümünü açıyorsunuz. Admin yazan bölümü herhangi bir kullanıcı adı ile değiştiriyorsunuz. Normal değerlerde wp_users bölümündedir. Tablo adını değiştirmişseniz ona göre tabloyu bulun. Yok ben bunu yapamam derseniz temanızın header.php dosyasını açın. <?php satırından sonra SQL sorgusu oluşturun ve şu kodu kullanın.
UPDATE wp_users SET user_login = Yeni WHERE user_login = Admin;
Yeni yazan yere ise yeni yetkili kişi rumuzunu girin. Ana sayfanıza girin(siteniz.com olarak). Bir defa F5 tuşuna basın. SQL sorgusunu doğru oluşturduysanız kullanıcı adı güncellenecektir. Ben ilk adımı öneririm.
9. .htaccess dosyasını güvenli hale getirmek
Ana dizinde bulunan .htaccess dosyanızı açın. En üstüne ekleyin;
Kod:
ServerSignature Off
LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Bu şekilde .htaccess dosyanız daha güvenli bir hale gelecektir.
10. Dosya izinlerini default değere çekin
Klasörlerin rewrite(tekrar yazma) değerlerini doğru seçmezseniz hack olayı kaçınılmazdır. Muhakkak bir şekilde hack yersiniz. Onun için klasörlerinizi şu özelliklere göre tekrar bir inceleyin. Şu şekilde olmalılar;
Kod:
Ana dizin (public_html veya wordpress dizini): 0755
wp-includes/: 0755
wp-admin/: 0755
wp-admin/js/: 0755
wp-content/: 0755
wp-content/themes/: 0755
wp-content/plugins/: 0755
wp-admin/index.php: 0644
.htaccess: 0644
wp-config.php: 0644
11. Eklentileri gizlemek
Kullandığınız herhangi bir eklentide açık olabilir. Kişiler kullandığınız eklentileri bilirse güvenlik açığı oluşur. Bunun için kullandığınız eklentileri gizlemek zorundasınız. Bunun için wp-content/plugins klasörüne girin. index.html adında bir sayfa oluşturun. Boş bir sayfa da olabilir. Bunu plugins(eklentiler) ana dizinine atın. Böylelikle kişiler kullandığınız bütün eklentileri göremeyecekler.
12. wp-config.php dosyasının yerini değiştirmek
Bu da kilit yöntemlerden bir tanesi. Hack olayını çoğunlukla engeller. Herkes veri taban bağlantı dosyanızın yerini bilirse ne olur? Bence hiç hoş olmaz. Bundan dolayı dosyanızı taşıyalım. Örneğin wp-includes klasörünün içine bir klasör açalım. Klasörün adını da veritabani yapalım. wp-config.php dosyasını da buraya taşıyalım. Yani yeni yolumuz; wp-includes/veritabani/wp-config.php olacak. Taşıma işlemi bittikten sonra wp-load.php dosyasını grepwin ile açıyoruz. Search for kısmına wp-config.php yazıyoruz ve Replace bölümüne ise wp-includes/veritabani/wp-config.php yazıyoruz. Replace butonuna tıklıyoruz. Daha sonra bu değişikliği ftpye tekrar gönderiyoruz. Böylelikle artık hiç kimse veri taban dosyamızın yerini bilmiyor. Tabi siz değişik bir yol seçin, ona göre değiştirin.
