Wordpress dünyadaki en çok kullanılan blog yazılımlarından birisi şüphesiz. Ancak her yazılımın olduğu gibi Wordpress’in de bir çok açığı mevcut. Bu açıklar zaman içerisinde çıkan yamalar ile kapatılsa da, Wordpress blogumuzu korumak için ekstra bazı önlemler de almalıyız.

Güvenilir kaynakların da vurguladığı bazı belli başlı güvenlik açıklarını kapatmak için şunlara mutlaka dikkat edin:

* Mutlaka en son Wordpress sürümünü kullanın, ingilizce için www.wordpress.org ’u takibe alın. Türkçe olarakta önerebileceğim en başarılı Wordpress destek bloglarından birisi olan www.wordpress-tr.com .
* wp-config.php dosyanız asla yazılabilir ya da okunabilir durumda olmasın. wp-config.php (wp-config-sample.php’nin adı değiştirilmiş hali) Wordpress blogunuzu ilk kurarken, bazı temel bilgileri Wordpress’e tanıtmak için kullanılıyor ve blogunuz kurulduktan sonra bir daha işe yaramıyor. Bu yüzden bu dosyanın erişim haklarını mutlaka düzenleyin.
* Wordpress blogunuzu kurduktan sonra install.php dosyasını mutlaka silin.
* Blogunuzu spam yorumlara karşı koruyun. Bunun için bir çok bloggerın kullandığı başarılı spam engelleyicisi Akismet‘i kullanabilirsiniz.
* Wordpress standart olarak kurulduktan sonra kullanıcılar blogunuza çok kolay bir şekilde üye olabilirler. Bu üyelikleri denetim altına almak için bir takım kısıtlamalar getirmek yararınıza olacaktır. Bunun için admin panelinde, Tercihler/Genel sekmesindeki “İsteyen Herkes Üye Olabilsin” tickini kaldırabilir ve yorum yapılması için üye girişi yapılmasını sağlayabilirsiniz. Ayrıca yeni üye olanların haklarını da yine bu bölümden düzenleyebilirsiniz.

wordpress-koruma.jpg

* Varsayılan “admin” kullanıcısını silip, kendinize eşsiz yeni bir admin hesabı ve şifresi yaratın.
* Önemli klasörlerinizin dizin listeleme özelliğini kapatın çünkü özellikle plugins klasörünüzün dizinleme özelliği aktif ise ve eğer bu klasör içinde bir index.php ya da index.html gibi bir başlangıç sayfası bulunmuyorsa, direkt olarak plugins klasörünüze erişen kullanıcılar, blogunuzda kullandığınız bütün pluginleri görebilir ve bazı pluginlerin açıklarından yararlanarak blogunuza saldırabilirler. Bu yüzden, önemli klasörlerinizin içine ya boş bir index.php ya index.htm gibi bir başlangıç sayfası koyun -ki kullanıcılar bu dizinlere erişmek istediğinde boş bir sayfa ile karşılaşsın- ya da serverınızın dizin listeleme özelliğini direkt olarak kapatın.
* Şuradaki Josiah Cole gives a detailed explanation of how to create a .htaccess file yazısında tarif edildiği gibi bir .htaccess dosyası oluşturarak yukarıda sayılan korumaları tek bir dosya halinde blogunuza uygulabilirsiniz. Burada tarif edilen şekilde bir .htaccess dosyası oluşturarak aşağıdaki güvenlik, görsel ve SEO için gerekli bir kaç uygulamayı tek dosya halinde blogunuzda kullanabilirsiniz.

Genel koruma sağlayabilir,
Dijital imzaları kapatabilir,
Dosya gönderme limiti belirleyebilir,
wp-config.php dosyanızı kuruma altına alabilir,
Bazı iplerden gelen balantıları engelleyebilir,
Özelleştirilmiş hata sayfalarına yönlendirme yapabilir,
Dizin listelemeyi kapatabilir,
Eski linkleri, yeni linklere yönlendirebilir,
Hotlink koruması sağlayabilir,
PHP sıkıştırma sağlayabilir,
SEO dostu sabit linkler oluşturabilirsiniz.

Kaynak: BilişimSözlük