Bloglarımız için birkaç güvenlik ipucu..

Yaklaşık 3 aydır üstüste gelişen olaylardan dolayı ne bloga vakit ayırabildim ne de kendime. Bu zaman süreci içerisinde baya bir olumsuz gelişmeler olmuş. Sunucuya düzenlenen ve dertlerinden kurtulamadığım saldırılar halen devam ediyor. Bu işten kurtulmanın tek yolu blogu yeniden inşa edip, teknik altyapıyı güncellemek. Bu konuda yapacağım çalışmalarda sizlere de faydalı olabilecek birkaç not düşmek istedim.

1- Sitenizde barındırdığınız görselleri alt alan adlarına taşıyın ve alt alan adları için ana dizinden ayrı FTP hesapları oluşturun.

2- Sadece görsellerin yer aldığı alt alan adlarınızda PHP desteğini kapatın. Böylece rahat rahat dosya yüklemesi yapabilirsiniz.

3- Blogunuzun ana dizini için oluşturduğunuz FTP hesabını kullanmamak için özen gösterin. Bu nokta gerçekten çok önemli. Kısa bir süre önce FTP programlarından dolayı baya bir sorun yaşadım. Ana dizin FTP hesabınızla sitenize bağlanmayın. Tatsız sonuçlarla karşılaşma olasılığı özellikle son günlerde çok yüksek.

Birçok blog yazarı arkadaşım da bu durumdan şikayetçi. Özellikle WordPress altyapısına sahip tanınmış bloglar sürekli saldırı alıyor. Hatta site girişlerine atılan index’e çeşitli notlar düşülmüş. WordPress yönetici parolası, FTP parolası ve veritabanı kullanıcı parolasını kesinlikle aynı şifrelerden oluşturmayın ve mümkünse tahmin edilmesi zor parolalar seçin.

4- Eklenti kurulum ve güncellemeler konusunda yönetim panelini kullanabilirsiniz. Bazı durumlarda sorunlar çıktığını da belirtmek isterim. En sağlam yol  cPanel/Plesk panel üzerinden eklentileri güncellemektir. Plesk panelin .zip arşivinden ayırma özelliği bulunmadığı için işleminiz uzun sürebilir. WordPress Yönetim Paneli üzerinden yapacağınız güncelleme işlemlerinde yazma izni verdikten sonra eski haline getirmeyi unutmayın. ( Normal şartlarda dosyalar için 644, klasörler için 755 yazma izni yeterli olacaktır)

5- Eğer maddi konularda sıkıntınız yoksa siteniz için ayrı bir IP adresi açtırın ve  onu kullanın. Kendinize özel isim sunucuları oluşturarak, aynı IP üzerinde yer alan sitelerdeki açıklardan faydalanmalarını engelleyin.

6- Klasör şifreleme metodunu kullanarak /wp-admin klasörünüzü şifreleyin. Bu konuda TEAkolik tarafından yazılan yazıyı okuyabilirsiniz. Alternatif yöntemi olan cPanel/Plesk üzerinden parola korumalı dizinler de oluşturabilirsiniz.

7- Sitenizi yeni bir sunucuya taşırken veya kontrol ederken kaynak dosyalarınızı da kontrol etmeyi ihmal etmeyin. Araya zararlı kod parçaları olabilir bunları temizleyin.

8- Eğer geniş bir zamanınız varsa belirli aralıklarla WordPress’i yeniden kurun. Belirli aralıktan kastettiğim süreç 5-6 aydır. Blogunuzu silip yeniden kurmayı deneyebilirsiniz. Bu işlemde içeriklerinizi SQL’den değil de dışarı/içeri aktar metodunu uygulayarak yapın. Kurulum sonrasında eski ayarlarınızı yapılandırmak uzun sürebilir. Bu işlem sayesinde veritabanı temizlenir ve site disk alanından tasarruf etmiş olursunuz. Site performansına da olumlu etki etmektedir.

9- Ne olursa olsun her daim bir köşede güncel yedeğinizi bulundurun. Otomatik yedekleme eklentilerini kullanabileceğiniz gibi cPanel/Plesk üzerinden de yedek alabilirsiniz. Mümkünse yedekleme işlemini 1-2 haftada bir olarak gerçekleştirin. Hatta yapabiliyorsanız günlük site yedekleri alın.

10- Gerek WordPress sürümü gerekse de eklentiler konusunda daima güncel olun. Eski sürüm eklentileri ve eski WordPress sürümlerini kullanmak hırsıza kapıyı açık bırakmak gibidir. WordPress sürümünü de gizlemeyi deneyebilirsiniz.

Nedense bu tarz yazılar yazdıktan sonra içimde bir korku oluşuyor. Siteyi ziyaret edince Hacked yazısını görmekten çekiniyorum.

Yukarıda bahsettiğim ve diğer onlarca güvenlik önlemini alarak bloglarınızın daha güvenli olmasını sağlayabilirsiniz. Yoksa benim gibi haftalarca sorunlarla uğraşmak zorunda kalırsınız. Kısa bir süre sonra yeni bir yapılanma ve bambaşka çalışmalar ile yolumuza kaldığımız yerden devam edeceğiz. Arslania’da WordPress ile alakalı yazılarda artış olacağını da belirtmek isterim. Sağlıcakla kalın..

8 yorum

Bir Cevap Yazın