Plesk Panel

Plesk Panel WordPress Güvenlik Ayarları

Merhaba

Bu yazımızda sizlere Plesk Panel üzerinden kurulan WordPress yazılımlarında ekstra güvenlik sağlamak için yapmanız gereken işlemlerden bahsedeceğiz.

1) Öncelikle Plesk Panel’e giriş yapıp hosting panelimizden WordPress alanına giriyoruz.

2) Ardından açılan Pencerede ” Security Status / Güvenlik Durumu ” yazısının yanında yer alan ” View / Görüntüle ” yazısına tıklıyoruz.

3) Açılan ekranda karşımıza tıklayarak seçebileceğimiz bazı seçenekler gelmekte. Ekran görüntüsünde belirtilen şekilde seçenekleri seçiyoruz. Bu seçenekler ve seçeneklerin açıklamaları resim altında yer almaktadır. Siz kendi ihtiyacınıza veya kendi sitenize göre bu seçenekleri değiştirebilirsiniz. Örnek yazarların listelenmesini isteyen kişiler Yazar taramalarını engelle seçeneğini seçmeyebilir. Ya da sitelerinde yayınladıkları görsel resim dosyalarının başka sitelerde kullanılmasından rahatsızlık duymayanlar Hotlink korumasını kapatabilirler.

 
Wp-includes dizininde PHP betiklerinin çalıştırılmasını yasaklayın ( geri alınabilir ) 

Açıklama : Wp-include dizini, web sitenizi ele geçirmek ve istismar etmek için çalıştırılabilen güvenli olmayan PHP dosyaları içerebilir. Bu güvenlik önlemi, wp-include dizinindeki PHP dosyalarının çalıştırılmasını engeller. Bu önlem, sunucu yapılandırma dosyasını değiştirir (Apache, Linux için nginx veya Windows için web.config). .Htaccess veya web.config dosyalarındaki özel yönergelerin bunu geçersiz kılabileceğini unutmayın.

  Wp-content / uploads dizininde PHP betiklerinin çalıştırılmasını yasaklayın ( geri alınabilir )

Açıklama : Wp-content / uploads dizini, web sitenizi ele geçirmek ve sömürmek için çalıştırılabilecek güvenli olmayan PHP dosyaları içerebilir. Bu güvenlik önlemi, wp-content / uploads dizinindeki PHP dosyalarının çalıştırılmasını engeller. Bu önlem, sunucu yapılandırma dosyasını değiştirir (Apache, Linux için nginx veya Windows için web.config). .Htaccess veya web.config dosyalarındaki özel yönergelerin bunu geçersiz kılabileceğini unutmayın.

  WordPress yönetici paneli için komut dosyası birleştirmeyi devre dışı bırakın ( geri alınabilir )

Açıklama : Bu güvenlik önlemi, WordPress Yönetici panelinde çalışan komut dosyalarının birleştirilmesini kapatarak web sitenizin belirli DoS saldırılarından etkilenmesini önler. Komut dosyalarının birleştirilmesini kapatmak, WordPress Yönetici panelinin performansını biraz etkileyebilir, ancak WordPress web sitenizi ziyaretçilerin bakış açısından etkilememelidir.

  Geri pingleri kapat ( geri alınabilir )

Açıklama : Pingback’ler, diğer WordPress web sitelerinin, bu web siteleri bu yayınlara bağlantı verdiğinde, yazılarınızın altına otomatik olarak yorum bırakmasına izin verir. Pingback’ler, web sitenizde DDoS saldırıları başlatmak için kullanılabilir. Bu güvenlik önlemi, web sitenizin tamamı için XML-RPC geri pinglerini kapatır ve ayrıca pingback’lerin etkin olduğu önceden oluşturulmuş gönderiler için pingback’leri devre dışı bırakır.

Hotlink korumasını etkinleştir ( geri alınabilir )

Açıklama : Hotlink koruması, diğer web sitelerinin resimlerinizi görüntülemesini, bağlamasını veya yerleştirmesini engeller. Bu uygulamaya hotlinking denir. Bu seçeneği seçmemeniz durumunda resim veya dosyalarınızın farklı sitelerde kullanılması sonucu olarak bant genişliğiniz yani sitenizin aylık trafik limiti hızla tükenebilir ve web sitenizi kullanılamaz hale getirebilir.

Kullanılmayan komut dosyası dillerini devre dışı bırakın

Açıklama : Bu güvenlik önlemi, Python ve Perl gibi WordPress tarafından kullanılmayan komut dosyası dilleri için desteği kapatır. Bunları kapatmak, web sitenizin bu komut dosyası dillerindeki güvenlik açıklarından yararlanarak tehlikeye atılmamasını sağlar.

WordPress Kontrol Panelinde dosya düzenlemeyi devre dışı bırakın ( geri alınabilir )

Açıklama : WordPress’te dosya düzenlemeyi devre dışı bırakmak, WordPress arayüzündeki eklenti ve tema dosyası kaynaklarını doğrudan düzenleme yeteneğini kaldırır. Bu önlem, WordPress yönetici hesaplarından birinin tehlikeye girmesi durumunda WordPress web sitesi için ek bir koruma katmanı ekler. Özellikle, güvenliği ihlal edilmiş hesapların kötü amaçlı çalıştırılabilir kodları eklentilere veya temalara kolayca eklemesini önler.

Bot korumasını etkinleştir ( geri alınabilir )

Açıklama : Bu önlem, web sitenizi yararsız, kötü niyetli veya başka şekilde zararlı botlardan korur. Web sitenizi güvenlik açıklarına karşı tarayan botları engeller ve web sitenizi istenmeyen isteklerle aşırı yükleyerek kaynakların aşırı kullanımına neden olur. Web sitenizi güvenlik açıklarına karşı taramak için bir çevrimiçi hizmet kullanmayı planlıyorsanız, bu hizmetler de bu tür botları kullanabileceğinden, bu önlemi geçici olarak devre dışı bırakmak isteyebileceğinizi unutmayın.

Potansiyel olarak hassas dosyalara erişimi engelleyin ( geri alınabilir )

Açıklama :  Bu güvenlik önlemi, WordPress web sitenizde bulunabilecek belirli dosyalara (örneğin, günlük dosyaları, kabuk komut dosyaları ve diğer yürütülebilir dosyalar) genel erişimi engeller. Bu dosyalara genel erişim, WordPress web sitenizin güvenliğini potansiyel olarak tehlikeye atabilir.

.Htaccess ve .htpasswd’ye erişimi engelleyin ( geri alınabilir )

Açıklama : .Htaccess ve .htpasswd dosyalarına erişim kazanmak, saldırganların web sitenizi çeşitli istismarlara ve güvenlik ihlallerine maruz bırakmasına olanak tanır. Bu güvenlik önlemi, .htaccess ve .htpasswd dosyalarına kötüye kullananlar tarafından erişilememesini sağlar.

Yazar taramalarını engelle ( geri alınabilir )

Açıklama : Yazar taramaları, bir kullanıcı kimliği kimlik avı biçimidir. Bu taramaların amacı, kayıtlı kullanıcıların (özellikle WordPress yöneticisi) kullanıcı adlarını bulmak ve erişim sağlamak için web sitenizin giriş sayfasına kaba kuvvetle saldırmaktır. Bu güvenlik önlemi, bu tür taramaların bu kullanıcı adlarını öğrenmesini engeller. Web sitenizdeki kalıcı bağlantı yapılandırmasına bağlı olarak, bu önlemin ziyaretçilerin belirli bir yazar tarafından yazılan tüm makaleleri listeleyen sayfalara erişmesini engelleyebileceğini unutmayın.

  Dosyalara ve dizinlere erişimi kısıtlayın

Açıklama : Dosya ve dizinler için erişim izinleri yeterince güvenli değilse, bu dosyalara bilgisayar korsanları tarafından erişilebilir ve web sitenizin güvenliğini ihlal etmek için kullanılabilir. Bu güvenlik önlemi, wp-config dosyasının izinlerini 600’e, diğer dosyalar için 644’e ve dizinler için 755’e ayarlar.

  Güvenlik anahtarlarını yapılandırın

Açıklama : WordPress, kullanıcının çerezlerinde depolanan bilgilerin daha iyi şifrelenmesini sağlamak için güvenlik anahtarları (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY ve NONCE_KEY) kullanır. İyi bir güvenlik anahtarı uzun (60 karakter veya daha uzun), rastgele ve karmaşık olmalıdır. Güvenlik kontrolü, güvenlik anahtarlarının ayarlandığını ve en azından alfabetik ve sayısal karakterler içerdiklerini doğrulamalıdır.

  Dizine göz atmayı engelle ( geri alınabilir )

Açıklama : Dizine göz atma açıksa, bilgisayar korsanları web siteniz hakkında güvenliğini tehlikeye atabilecek çeşitli bilgiler edinebilir. Varsayılan olarak, Plesk’te dizin tarama kapalıdır, ancak açıldığında bu güvenlik önlemi onu engelleyebilir. Bu önlem, sunucu yapılandırma dosyasını değiştirir (Apache, Linux için nginx veya Windows için web.config). .Htaccess veya web.config dosyalarındaki özel yönergelerin bunu geçersiz kılabileceğini unutmayın.

  Wp-config.php’ye yetkisiz erişimi engelleyin ( geri alınabilir )

Açıklama : Wp-config.php dosyası, veritabanı erişim kimlik bilgileri vb. Gibi hassas bilgiler içerir. Herhangi bir nedenle PHP dosyalarının web sunucusu tarafından işlenmesi kapatılırsa, bilgisayar korsanları wp-config.php dosyasının içeriğine erişebilir. Bu güvenlik önlemi, wp-config.php dosyasına yetkisiz erişimi engeller. Bu önlem, sunucu yapılandırma dosyasını değiştirir (Apache, Linux için nginx veya Windows için web.config). .Htaccess veya web.config dosyalarındaki özel yönergelerin bunu geçersiz kılabileceğini unutmayın.

  Önbellek dizinlerinde PHP yürütmeyi devre dışı bırakın ( geri alınabilir )

Açıklama : Güvenliği ihlal edilmiş bir PHP dosyası web sitenizin önbellek dizinlerinden birinde sona ererse, onu çalıştırmak tüm web sitesinin tehlikeye girmesine neden olabilir. Bu güvenlik önlemi, önbellek dizinlerindeki PHP dosyalarının yürütülmesini devre dışı bırakarak bu tür kötüye kullanımların olmasını engeller. Bazı eklentilerin veya temaların, WordPress Güvenlik Ekibinin güvenlik önerilerini göz ardı edebileceğini ve önbellek dizinlerinde geçerli PHP çalıştırılabilir dosyalarını saklayabileceğini unutmayın. Bu tür eklentileri veya temaları çalıştırmanız gerekirse, bu güvenlik önlemini devre dışı bırakmanız gerekebilir.

  Varsayılan veritabanı tablosu önekini değiştir

Açıklama : WordPress veritabanı tabloları, tüm WordPress kurulumlarında aynı standart adlara sahiptir. Veritabanı tablo adları için standart wp_ öneki kullanıldığında, tüm WordPress veritabanı yapısı şeffaftır ve kötü niyetli komut dosyalarının ondan herhangi bir veri almasını kolaylaştırır. Bu güvenlik önlemi, veritabanı tablosu adı önekini varsayılan wp_ önekinden farklı bir şeye değiştirir. Üretim verileri içeren bir web sitesinde veritabanı önekini değiştirmenin tehlikeli olabileceğini unutmayın, bu nedenle bu önlemi uygulamadan önce web sitenizi yedeklemeniz kesinlikle önerilir.

  Hassas dosyalara erişimi engelleyin ( geri alınabilir )

Açıklama : Bu güvenlik önlemi, bağlantı kimlik bilgileri gibi hassas bilgileri veya WordPress web siteniz için hangi bilinen açıklardan yararlanılabileceğini belirlemek için kullanılabilecek çeşitli bilgiler içerebilecek belirli dosyalara genel erişimi engeller.

  Varsayılan yöneticinin kullanıcı adını değiştirin

Açıklama : Kurulum sırasında WordPress, yönetici ayrıcalıklarına ve ‘admin’ kullanıcı adına sahip bir kullanıcı oluşturur. WordPress’teki kullanıcı adları değiştirilemediğinden, yönetici olarak WordPress’e erişmek için bu kullanıcının şifresini zorlamayı denemek mümkündür. Bu güvenlik önlemi, rastgele kullanıcı adı ile WordPress yönetici hesabı oluşturur ve yönetici ayrıcalıklarına ve ‘yönetici’ kullanıcı adına sahip hiçbir kullanıcının olmamasını sağlar. “Yönetici” kullanıcı bulunursa, bu kullanıcıya ait tüm içerik yeni yönetici hesabına yeniden atanır ve “yönetici” kullanıcı hesabı kaldırılır.

 

 


Limitsiz Hosting

İlgili Makaleler