Wordpress blogunuzu saldırganlara karşı korumak için kolay fakat bir kaç adet ipucunu paylaşmak istiyorum. Matt Cutts‘da yayımlanan bir yazıdan alınmıştır.
/wp-admin/ klasörünü koruyun, bunun için klasöre erişim sağlayacak ip numaralarını kısıtlayın. Eğer kesin olarak bağlandığınız ip numaraları belli ise bunları wp-admin/.htaccess altına kaydederek sadece bu ip numaralarından erişim olmasını sağlayabilirsiniz. Örnek .htaccess dosyası şöyle olabilir;
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all # whitelist home IP address allow from 62.213.168.91 # whitelist work IP address allow from 61.147.114.210 allow from 198.139.126.101 # IP while in Kentucky; delete when back allow from 128.163.2.127
(Buradaki ip adresleri gerçek değildir, örnek olarak yazılmıştır.)
Bu dosya ile burada yazılı olan ip adreslerinin erişimine izin veriliyor, diğer tüm ip adreslerinin erişimi ise engelleniyor.
wp-content/plugins/ klasörünü gizleyin, bu klasörün altına boş index.html (veya index.php) adında bir dosya bırakın. Aksi takdirde, dışarıdan kullandığımız eklentiler hakkkında bilgi alınabilir. Eğer birisi blogunuzu hack etmek isterse, blogunuzdaki günü geçmiş eklentileri keşfedebilir ve bunlar üzerinden exploit (Exploitler sistem üzerindeki üzerindeki herhangi bir program eksikliği veya açıktan yararlanarak normal kullanıcıyı daha yetkili hale getirmeye yararlar.) kullanarak sisteme giriş yapabilir. Denemek için şuraya bir bakınız.
WordPress Development blogu takip edin, böylelikle herhangi bir güncelleme veya güvenlik patchlerinde anında haberdar olursunuz.
Wordpress sürümünüzü gizleyin. Temanızın header.php dosyasında bulunan bir kod hangi wordpress sürümünü kullandığınızı açığa vurmaktadır.
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Eğer eski bir sürüm kullanıyorsanız veya henüz güncelleme yapmadıysanız saldırganların bu bilgiyi kullanabilirler. Bu satırı silerek bu bilgiyi saklayabilirsiniz.